CLOUD COMPUTING: OPPORTUNITA’ DI BUSINESS E PROBLEMATICHE LEGALI Avv. Juri Monducci
<ul><li>CHI SONO </li></ul><ul><li>CHI È MPS </li></ul><ul><li>Socio fondatore   dello studio legale Monducci  Perri Spedi...
Perché diventare “ cloud ” ? <ul><li>Lato utente, non devono essere rispettati particolari requisiti per l’installazione d...
Ma soprattutto… <ul><li>The Centre for Economics and Business Research predicts that Europe's five largest economies could...
Siamo già tutti più o meno “ cloud ” ?
E il diritto?
Le “nuvole” da un punto di vista giuridico <ul><li>Per il giurista, il cloud computing si traduce nella condivisione o con...
I problemi “WWW” <ul><li>Chi può accedere ai dati? (Who) </li></ul><ul><li>Cosa viene fatto con i miei dati (What) </li></...
O meglio… <ul><li>Quale legge è applicabile al contratto? </li></ul><ul><li>Qual è il foro competente? </li></ul><ul><li>C...
I profili (al momento) più rilevanti del cloud <ul><li>Profili contrattuali </li></ul><ul><li>Profili legati al trattament...
Legge applicabile…“ obscured by clouds ” ? <ul><li>In uno scenario tipico, potremmo trovare almeno quattro diversi ordinam...
Lessons learned <ul><li>Yahoo! in Belgio </li></ul><ul><ul><li>Alcuni truffatori si scambiavano informazioni mediante Yaho...
Lessons learned /2 <ul><li>Google Brazil </li></ul><ul><ul><li>Nell’agosto del 2006, una Corte brasiliana ordina a Google ...
Contratti e legge applicabile <ul><li>In ambito europeo, potrebbero soccorrere all’esigenza di individuare la legge applic...
La “Country of origin” rule <ul><li>Sempre in ambito europeo, la Direttiva c.d. “e-commerce” del 2000 stabilisce che il fo...
Riassumendo… <ul><li>La transnazionalità dei servizi cloud pone molti problemi relativamente a quale legge regolamenta il ...
I rischi da evitare <ul><li>Lock-in verso uno specifico fornitore; </li></ul><ul><li>Perdita del proprio patrimonio inform...
In una parola: clausole contrattuali <ul><li>Bisogna predisporre delle clausole contrattuali molto precise, concentrandosi...
Cosa sta accadendo, in pratica? <ul><li>Diversi cloud provider stanno optando per la collocazione di una sede e di un data...
Some  quotes… <ul><li>«The processing of sensitive data generally should not be allowed in cloud computing systems, or onl...
Other quotes… <ul><li>«One reason you should not use web applications to do your computing is that you lose  control. It’s...
In particolare in Italia <ul><li>Secondo il Garante italiano, «la nuova tecnologia del “ cloud computing ” , con la quale ...
Punti critici <ul><li>Applicabilità del d.lgs. 196/2003 al cloud provider </li></ul><ul><li>Ruolo del cloud provider nel t...
Applicabilità <ul><li>È possibile applicare il Codice al cloud provider quanto quest’ultimo: </li></ul><ul><ul><li>è stabi...
Contitolare o responsabile? <ul><li>Il TITOLARE del trattamento è la «persona fisica, la persona giuridica, la pubblica am...
Problemi applicativi <ul><li>L’art. 29, d.lgs. 196/2003, pone qualche problema applicativo… </li></ul><ul><ul><li>«Il resp...
Trasferimento dei dati all’estero <ul><li>Art. 43, d.lgs. 196/2003 </li></ul><ul><ul><li>1. Il trasferimento anche tempora...
Trasferimento dei dati all’estero /2 <ul><li>Art. 44, d.lgs. 196/2003 </li></ul><ul><ul><li>«Il trasferimento di dati pers...
Trasferimento di dati all’estero /3 <ul><li>Art. 45, d.lgs. 196/2003 </li></ul><ul><li>«Fuori dei casi di cui agli articol...
Riassumendo <ul><li>In conclusione, per effettuare un trasferimento di dati all’estero conforme al Codice Privacy, è possi...
Cloud e sicurezza dei dati <ul><li>I RISCHI CONNESSI ALL’ACCESSO AI DATI </li></ul><ul><li>«Before, the bad guys usually n...
Cloud e sicurezza dei dati /2 <ul><li>I RISCHI CONNESSI ALLA CONSERVAZIONE DEI DATI </li></ul><ul><ul><li>come garantirsi ...
Cloud e sicurezza dei dati: i casi <ul><li>Sidekick (ottobre 2009). Diversi utenti “perdono” i dati conservati sul cloud o...
Cloud provider e privacy: a cosa prestare attenzione <ul><li>Livello minimo del servizio in relazione alla protezione dei ...
Controllo del servizio? <ul><li>Tale attività, potrà consistere in: </li></ul><ul><li>- Verifica della rispondenza di quan...
Il (probabile) futuro… <ul><li>Da più parti, si invoca la firma di una Convenzione universale che disciplini il trattament...
<ul><li>STUDIO LEGALE ASSOCIATO </li></ul><ul><li>MILANO </li></ul><ul><li>Via Larga, 6  </li></ul><ul><li>20122 Milano </...
Upcoming SlideShare
Loading in...5
×

Smau Bologna 2011 Juri Monducci

698

Published on

Cloud computing: opportunità di business e problematiche legali

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
698
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smau Bologna 2011 Juri Monducci

  1. 1. CLOUD COMPUTING: OPPORTUNITA’ DI BUSINESS E PROBLEMATICHE LEGALI Avv. Juri Monducci
  2. 2. <ul><li>CHI SONO </li></ul><ul><li>CHI È MPS </li></ul><ul><li>Socio fondatore dello studio legale Monducci Perri Spedicato & Partners. </li></ul><ul><li>Dottore di ricerca in Informatica giuridica e diritto dell’informatica. </li></ul><ul><li>Ricercatore in Informatica giuridica presso l’Università degli Studi di Milano. </li></ul><ul><li>Professore aggregato di Informatica giuridica avanzata presso l’Università degli Studi di Milano. </li></ul><ul><li>Membro del comitato scientifico di AIPSI e IISFA. </li></ul><ul><li>Lo Studio legale associato Monducci Perri Spedicato & Partners è una law boutique specializzata in proprietà intellettuale, diritto delle nuove tecnologie e diritto dell’innovazione. </li></ul><ul><li>Affianca chi fa dell’innovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nell’attività day by day e assistendolo nelle operazioni più complesse. </li></ul>
  3. 3. Perché diventare “ cloud ” ? <ul><li>Lato utente, non devono essere rispettati particolari requisiti per l’installazione di software; </li></ul><ul><li>Il cliente utilizza software del cloud provider su server del cloud provider; </li></ul><ul><li>Il cliente può corrispondere importi correlati all’effettivo utilizzo; </li></ul><ul><li>Si scarica sul cloud provider la responsabilità di mantenere il software aggiornato per evitare malfunzionamenti; </li></ul><ul><li>Si scarica (parzialmente) sul cloud provider la responsabilità giuridica di tenere i dati in sicurezza; </li></ul><ul><li>Si scarica sul cloud provider la responsabilità di gestire l’hardware e la business continuity; </li></ul><ul><li>Si incentiva il c.d. green computing. </li></ul>
  4. 4. Ma soprattutto… <ul><li>The Centre for Economics and Business Research predicts that Europe's five largest economies could save €177bn each year for the next five years if all their businesses were to switch over at the expected rate. </li></ul>
  5. 5. Siamo già tutti più o meno “ cloud ” ?
  6. 6. E il diritto?
  7. 7. Le “nuvole” da un punto di vista giuridico <ul><li>Per il giurista, il cloud computing si traduce nella condivisione o conservazione, da parte degli utenti, di dati o applicazioni su server di proprietà o gestiti da terzi, ai quali si accede tramite Internet. </li></ul><ul><li>Quello che noi vediamo con preoccupazione, quindi, al di là degli indubbi vantaggi in termini di costi, efficienza, outsourcing della gestione del patrimonio informativo, è questo flusso di dati che viaggia verso “nuvole”. </li></ul><ul><li>Trattandosi di offerte rivolte tanto al privato quanto all’azienda e alla PA, è evidente che molta attenzione deve essere posta agli aspetti di riservatezza dei dati e sicurezza delle informazioni. </li></ul>
  8. 8. I problemi “WWW” <ul><li>Chi può accedere ai dati? (Who) </li></ul><ul><li>Cosa viene fatto con i miei dati (What) </li></ul><ul><li>Dove sono i miei dati? (Where) </li></ul>
  9. 9. O meglio… <ul><li>Quale legge è applicabile al contratto? </li></ul><ul><li>Qual è il foro competente? </li></ul><ul><li>Come garantire la titolarità dei dati? </li></ul><ul><li>Come garantire la salvaguardia dei segreti aziendali? </li></ul><ul><li>Come garantire la possibilità di acquisizione forense di prove digitali? </li></ul><ul><li>Come garantire la legal compliance in relazione al trattamento dei dati personali? </li></ul><ul><li>Come garantire la massima sicurezza nel trattamento dei dati? </li></ul><ul><li>Ecc… </li></ul>
  10. 10. I profili (al momento) più rilevanti del cloud <ul><li>Profili contrattuali </li></ul><ul><li>Profili legati al trattamento dei dati personali </li></ul>
  11. 11. Legge applicabile…“ obscured by clouds ” ? <ul><li>In uno scenario tipico, potremmo trovare almeno quattro diversi ordinamenti giuridici da tenere in considerazione: </li></ul><ul><li>1) la legge del cliente/utente del servizio; </li></ul><ul><li>2) la legge del Paese del cloud provider; </li></ul><ul><li>3) la legge del Paese dove sono conservati i dati; </li></ul><ul><li>4) la legge del Paese del soggetto cui si riferiscono i dati. </li></ul>
  12. 12. Lessons learned <ul><li>Yahoo! in Belgio </li></ul><ul><ul><li>Alcuni truffatori si scambiavano informazioni mediante Yahoo! Mail </li></ul></ul><ul><ul><li>La polizia chiede collaborazione a Yahoo! </li></ul></ul><ul><ul><li>Yahoo! rifiuta sostenendo che è una compagnia statunitense e non è soggetta alle leggi del Belgio, quindi li esorta a seguire la strada della rogatoria internazionale </li></ul></ul><ul><ul><li>Le autorità belghe argomentano che, offrendo Yahoo! i propri servizi in Belgio, deve intendersi soggetta alle leggi belghe, e multano Yahoo! </li></ul></ul><ul><ul><li>Yahoo! vince in appello </li></ul></ul>
  13. 13. Lessons learned /2 <ul><li>Google Brazil </li></ul><ul><ul><li>Nell’agosto del 2006, una Corte brasiliana ordina a Google di fornire immediatamente informazioni utili a identificare alcuni utenti su Orkut, comminando una sanzione di $23.000 per ogni giorno di ritardo; </li></ul></ul><ul><ul><li>Come nel caso di Yahoo!, Google argomenta che la strada da seguire è quella delle rogatorie internazionali; </li></ul></ul><ul><ul><li>Nel luglio 2008 Google e le autorità brasiliane raggiungono un accordo volto alla apposizione di filtri per i contenuti e alla fornitura di informazioni senza necessità di attivare gli strumenti ordinari. </li></ul></ul>
  14. 14. Contratti e legge applicabile <ul><li>In ambito europeo, potrebbero soccorrere all’esigenza di individuare la legge applicabile due testi normativi </li></ul><ul><ul><li>Council Regulation (EC) No. 593/2008 of the European Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I), OJ 2008 No. L177/6, 04 July 2008. </li></ul></ul><ul><ul><li>Council Regulation (EC) No 864/2007 of the European Parliament and of the Council of 11 July 2007 on the law applicable to non-contractual obligations (Rome II), OJ 2007 No. L199/40, 31 July 2007. </li></ul></ul>
  15. 15. La “Country of origin” rule <ul><li>Sempre in ambito europeo, la Direttiva c.d. “e-commerce” del 2000 stabilisce che il fornitore di un servizio della società dell’informazione non deve preoccuparsi di essere a norma con la legge di tutti gli Stati membri, ma solo con quella del Paese d’origine; </li></ul><ul><li>Analogamente, la sede del cloud provider verrà collocata dove viene esercitata l’attività economica, quindi dove ha sede il provider e non dove risiedono i dati. </li></ul>
  16. 16. Riassumendo… <ul><li>La transnazionalità dei servizi cloud pone molti problemi relativamente a quale legge regolamenta il servizio; </li></ul><ul><li>Il cloud provider e l’utente hanno gli strumenti giuridici per definire contrattualmente il regime giuridico applicabile; </li></ul><ul><li>Vi sono, tuttavia, altri aspetti che non possono essere coperti dal diritto privato, quindi la scelta della sede, da parte del cloud provider, è un fattore strategico sia per il provider sia per l’utente; </li></ul><ul><li>A seconda dei dati che si vorranno collocare sulla nuvola, bisognerà analizzare i poteri d’accesso che la legge dello Stato ove ha sede il provider consente alle forze dell’ordine (ad es. Patriot Act per gli USA come nel casp PbD vs. SWIFT). </li></ul>
  17. 17. I rischi da evitare <ul><li>Lock-in verso uno specifico fornitore; </li></ul><ul><li>Perdita del proprio patrimonio informativo a seguito di vicende societarie del provider; </li></ul><ul><li>Difficoltà nel determinare il luogo dell’obbligazione e la legge applicabile; </li></ul><ul><li>Difficoltà nella costituzione di elementi di prova per far valere una propria pretesa in giudizio; </li></ul><ul><li>Tutto ciò che riguarda la sicurezza dei dati; </li></ul><ul><li>Tutto ciò che riguarda la business continuity. </li></ul>
  18. 18. In una parola: clausole contrattuali <ul><li>Bisogna predisporre delle clausole contrattuali molto precise, concentrandosi sui seguenti punti (la lista è integrabile dal pubblico presente): </li></ul><ul><ul><li>Legge applicabile e foro competente; </li></ul></ul><ul><ul><li>Service Level Agreement (ovvero garanzie e responsabilità); </li></ul></ul><ul><ul><li>Prezzo del servizio e scalabilità dello stesso; </li></ul></ul><ul><ul><li>Misure di sicurezza adottate (backup, disaster recovery, ecc.); </li></ul></ul><ul><ul><li>Supporto; </li></ul></ul><ul><ul><li>Formati di esportazione dei dati. </li></ul></ul>
  19. 19. Cosa sta accadendo, in pratica? <ul><li>Diversi cloud provider stanno optando per la collocazione di una sede e di un datacenter all’interno dell’UE; </li></ul><ul><li>Siamo in trepidante attesa delle modifiche alla Direttiva 95/46/EC; </li></ul><ul><li>E questo ci porta a parlare dei profili di privacy e di sicurezza :-) </li></ul>
  20. 20. Some quotes… <ul><li>«The processing of sensitive data generally should not be allowed in cloud computing systems, or only if the relevant servers are located in the EU» </li></ul><ul><li> (Mr. Axel Voss) </li></ul><ul><li>«EU law should apply when EU data are processed anywhere in the world» </li></ul><ul><li> (Mrs. Viviane Reding) </li></ul>
  21. 21. Other quotes… <ul><li>«One reason you should not use web applications to do your computing is that you lose control. It’s just as bad as using a proprietary program. Do your own computing on your own computer with your copy of a freedom-respecting program. If you use a proprietary program or somebody else’s web server, you’re defenseless. You’re putty in the hands of whoever developed that software» </li></ul><ul><li>(Richard Stallman) </li></ul><ul><li>«Occorre riflettere anche sui rischi che pone la nuova tecnologia del “ cloud computing ” , con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta» </li></ul><ul><li>(Francesco Pizzetti) </li></ul>
  22. 22. In particolare in Italia <ul><li>Secondo il Garante italiano, «la nuova tecnologia del “ cloud computing ” , con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa e gestiti da enormi server collocati in ogni parte del pianeta» costituirà «un fenomeno che moltiplicherà i servizi di “ remote hard disk ” e renderà sempre più ampio il ricorso all'outsourcing e all'hosting dei sistemi, moltiplicando i servizi forniti da terzi secondo modalità che favoriscono sempre di più la delocalizzazione dei dati conservati». </li></ul><ul><li>Per questi motivi, invoca la creazione di «un elenco esaustivo delle banche dati di interesse nazionale e della loro dislocazione, comprese quelle gestite da privati » . </li></ul>
  23. 23. Punti critici <ul><li>Applicabilità del d.lgs. 196/2003 al cloud provider </li></ul><ul><li>Ruolo del cloud provider nel trattamento dei dati </li></ul><ul><li>Trasferimento dei dati all’estero </li></ul>
  24. 24. Applicabilità <ul><li>È possibile applicare il Codice al cloud provider quanto quest’ultimo: </li></ul><ul><ul><li>è stabilito in Italia (art. 5, co. 1); </li></ul></ul><ul><ul><li>è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati in Italia anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea (art. 5, co. 2). </li></ul></ul><ul><li>Se il cloud provider ha la propria sede e le proprie infrastrutture al di fuori del territorio dello Stato non potrà essere assoggettato al Codice </li></ul>
  25. 25. Contitolare o responsabile? <ul><li>Il TITOLARE del trattamento è la «persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare , le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza» (art. 4, co. 1, lett. f). </li></ul><ul><li>Il RESPONSABILE del trattamento è la «persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali» (art. 4, co. 1, lett. g). </li></ul>
  26. 26. Problemi applicativi <ul><li>L’art. 29, d.lgs. 196/2003, pone qualche problema applicativo… </li></ul><ul><ul><li>«Il responsabile è designato dal titolare facoltativamente. </li></ul></ul><ul><ul><li>Se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. </li></ul></ul><ul><ul><li>Ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. </li></ul></ul><ul><ul><li>I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. </li></ul></ul><ul><ul><li>Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche , vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni». </li></ul></ul>
  27. 27. Trasferimento dei dati all’estero <ul><li>Art. 43, d.lgs. 196/2003 </li></ul><ul><ul><li>1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all’Unione europea è consentito quando: </li></ul></ul><ul><ul><ul><li>a) l’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; </li></ul></ul></ul><ul><ul><ul><li>b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; </li></ul></ul></ul><ul><ul><ul><li>(…) </li></ul></ul></ul><ul><ul><ul><li>h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. </li></ul></ul></ul>
  28. 28. Trasferimento dei dati all’estero /2 <ul><li>Art. 44, d.lgs. 196/2003 </li></ul><ul><ul><li>«Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell’interessato: </li></ul></ul><ul><ul><ul><li>a) individuate dal Garante anche in relazione a garanzie prestate con un contratto; </li></ul></ul></ul><ul><ul><ul><li>b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che </li></ul></ul></ul><ul><ul><li>un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o </li></ul></ul><ul><ul><li>che alcune clausole contrattuali offrono garanzie sufficienti. </li></ul></ul>
  29. 29. Trasferimento di dati all’estero /3 <ul><li>Art. 45, d.lgs. 196/2003 </li></ul><ul><li>«Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza». </li></ul>
  30. 30. Riassumendo <ul><li>In conclusione, per effettuare un trasferimento di dati all’estero conforme al Codice Privacy, è possibile seguire una delle seguenti strade: </li></ul><ul><li>Trasferimento di dati verso i soli Paesi che offrono garanzie adeguate : ad oggi si tratta di (Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer, Andorra, USA limitatamente alle imprese che aderiscono al c.d. Safe Harbor ) </li></ul><ul><li>Inserimento nel contratto delle clausole contrattuali standard approvate dalla Commissione europea (cfr. da ultimo le decisioni della Commissione europea 2004/915/CE e 2010/87/UE) </li></ul><ul><li>Previsione di binding corporate rules (applicabili tuttavia solo ai trasferimenti di dati all’interno di gruppi di società) </li></ul><ul><li>Consenso espresso dell’interessato ex art. 43 del Codice </li></ul>
  31. 31. Cloud e sicurezza dei dati <ul><li>I RISCHI CONNESSI ALL’ACCESSO AI DATI </li></ul><ul><li>«Before, the bad guys usually needed to get their hands on people’s computers to see their secrets; in today’s cloud all you need is a password» </li></ul><ul><li>(Jonathan Zittrain) </li></ul><ul><li>da parte di criminali informatici </li></ul><ul><li>da parte di concorrenti </li></ul><ul><li>da parte di autorità pubbliche </li></ul><ul><li>da parte dello stesso provider o di suoi dipendenti infedeli </li></ul>
  32. 32. Cloud e sicurezza dei dati /2 <ul><li>I RISCHI CONNESSI ALLA CONSERVAZIONE DEI DATI </li></ul><ul><ul><li>come garantirsi che i dati siano sempre recuperabili e che essi non vengano corrotti? </li></ul></ul><ul><ul><li>come garantirsi in caso di fallimento del cloud provider? </li></ul></ul><ul><li>I RISCHI CONNESSI ALLA CANCELLAZIONE DEI DATI </li></ul><ul><ul><li>alcune norme prevedono la cancellazione di determinate categorie di dati decorso un certo periodo di tempo dalla loro raccolta; </li></ul></ul><ul><ul><li>in altri casi il titolare potrebbe avere interesse a cancellare in modo definitivo, per svariate ragioni, alcuni dati </li></ul></ul><ul><ul><li>come accertarsi che i dati che il titolare deve/vuole cancellare non siano più recuperabili? </li></ul></ul>
  33. 33. Cloud e sicurezza dei dati: i casi <ul><li>Sidekick (ottobre 2009). Diversi utenti “perdono” i dati conservati sul cloud operato da T-Mobile e Microsoft. </li></ul><ul><li>Gmail (febbraio 2009) va offline per 2 ore e mezzo per via di una procedura di manutenzione presso un datacenter che comporta un overflow verso un altro datacenter e il conseguente blocco del servizio. </li></ul><ul><li>Google docs (marzo 2009) contiene un bug (ora risolto) che rendeva possibile la condivisione dei file senza che l’utente ne fosse a conoscenza. </li></ul><ul><li>Twitter (2009) vengono recuperati tramite un’e-mail secondaria di un dipendente dell’azienda (scaduta e nuovamente registrata) i dati di accesso a diverse informazioni sensibili dell’azienda, tra cui le credenziali per la gestione di alcuni nomi di dominio ad essa intestati. </li></ul>
  34. 34. Cloud provider e privacy: a cosa prestare attenzione <ul><li>Livello minimo del servizio in relazione alla protezione dei dati e alla continuità; </li></ul><ul><li>Trasparenza in merito alla logica applicata al trattamento; </li></ul><ul><li>Personalizzazione della sicurezza lato utente; </li></ul><ul><li>Controllo del servizio per tutta la durata del rapporto. </li></ul>
  35. 35. Controllo del servizio? <ul><li>Tale attività, potrà consistere in: </li></ul><ul><li>- Verifica della rispondenza di quanto desumibile dal contratto con il servizio concretamente offerto; </li></ul><ul><li>- Identificazione e immediata segnalazione delle eventuali problematiche; </li></ul><ul><li>- In ragione dei dati trattati, richiesta di reportistica utile a illustrare il pieno rispetto dei parametri inseriti negli SLAs; </li></ul><ul><li>- Verifica, in capo al fornitore, di eventuali certificazioni sulla sicurezza informatica. </li></ul>
  36. 36. Il (probabile) futuro… <ul><li>Da più parti, si invoca la firma di una Convenzione universale che disciplini il trattamento dei dati da parte di soggetti che offrono servizi tali per cui i dati sono “ubiqui”; </li></ul><ul><li>Il raggiungimento di tale obiettivo può sicuramente essere agevolato da una visione comune di privacy policy adottata dai vari cloud provider; </li></ul><ul><li>Alcuni contatti sono già in essere, quali quelli dell’EU-US High Level Contact Group (cfr. U.S., EU Issue Statement on Common Data Privacy and Protection Principles). </li></ul>
  37. 37. <ul><li>STUDIO LEGALE ASSOCIATO </li></ul><ul><li>MILANO </li></ul><ul><li>Via Larga, 6 </li></ul><ul><li>20122 Milano </li></ul><ul><li>Tel. 02.89926248 </li></ul><ul><li>Email: milano.desk@mpslaw.it </li></ul><ul><li>  </li></ul><ul><li>BOLOGNA </li></ul><ul><li>Via dell’Indipendenza, 36 </li></ul><ul><li>40121 Bologna </li></ul><ul><li>Tel. 051.7878043 </li></ul><ul><li>Email: bologna.desk@mpslaw.it  </li></ul><ul><li>IMOLA </li></ul><ul><li>Via Garibaldi, 40 </li></ul><ul><li>40026 Imola (Bo) </li></ul><ul><li>Tel. 0542.30702 </li></ul><ul><li>Email: imola.desk@mpslaw.it </li></ul><ul><li>  </li></ul><ul><li>GRAZIE DELL’ATTENZIONE! </li></ul><ul><li>Avv. Juri Monducci </li></ul><ul><li>email: juri.monducci@mpslaw.it </li></ul>
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×