Your SlideShare is downloading. ×
0
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Stefano Ricci, Privacy & Cloud Computing

481

Published on

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
481
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
14
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  1. Privacy  &  Cloud  Compu1ng  La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  
  2. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  Cosa   si   intende  per    Cloud  Compu0ng?  
  3. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  Quali  sono  le  ques0oni  in  tema  di  Privacy  che  bisogna   affrontare  quando  ci  si  confronta  con   servizi   di   Cloud  Compu0ng?  
  4. q  Titolarità   del   tra<amento:   cosa   cambia   nella  nuvola?    q  Trasferimento   dei   da1   personali   all’estero:   cosa  prevede  il  codice?    q  Sicurezza   dei   da1:   sono   ancora   sufficien0   le  tradizionali  misure  di  sicurezza?      La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng
  5. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  I  soggeA  previs1  dal  codice  della  privacy.  •  Titolare  del  traAamento  •  Responsabile  del  traAamento  •  Incaricato  del  traAamento  •  Interessato  Titolarità  del  tra<amento  I  soggeA  coinvol1  in  un  servizio  di  cloud  compu1ng:  •  Fornitore  del  servizio  (Cloud  Service  Provider  -­‐  CSP)  •  Cliente  del  CSP  (Utente)  –  che  può  essere  Titolare  di  altri  traAamen0  o  Interessato  Cosa  si  intende  con  tra<amento?  •  Qualunque   operazione   o   complesso   di   operazioni,   effeAua0   anche   senza   lausilio   di  strumen0   eleAronici,   concernen0   la   raccolta,   la   registrazione,   lorganizzazione,   la  conservazione,  la  consultazione,  lelaborazione,  la  modificazione,  la  selezione,  lestrazione,  il  raffronto,   lu0lizzo,   linterconnessione,   il   blocco,   la   comunicazione,   la   diffusione,   la  cancellazione  e  la  distruzione  di  da0,  anche  se  non  registra0  in  una  banca  di  da0.  
  6. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ngLe  ipotesi  che  si  possono  presentare  in  un  servizio  di  Cloud  Compu1ng  sono  tre:  1.  L’Utente   è   un   privato   che   effeAua   il   traAamento   per   finalità  personali   (art.   5   comma   3).   In   questo   caso   il   CSP   è   0tolare   del  traAamento  dei  suoi  da0  e  l’Utente  sarà  l’Interessato.    2.  Autonomia   nella   0tolarità   del   traAamento,   CSP   e   utente   sono  entrambi  0tolari.    Ciò  accade  quando  c’è  una  effeYva,  e  non  solo  formale,   libertà   decisionale   nel   definire   i   caraAeri   essenziali   del  traAamento   da   parte   di   entrambi   e   il   flusso   di   informazioni   verrà  necessariamente   qualificato   in   termini   di   trasmissione   di   da0   fra  autonomi  0tolari  del  traAamento.  3.  Un   0tolare   e   un   responsabile,   rispeYvamente,   il   cliente   ed   il  fornitore.   Lo   scambio   di   da1   potrà   essere   più   semplicemente  ricondo<o   ad   un   flusso   di   informazioni   interno   alle   modalità   di  tra<amento.  
  7. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ngTrasferimento  dei  da1  personali  all’estero:  cosa  prevede  il  Codice  Privacy?  Trasferimento  dei  da1  all’estero,  tre  ipotesi:  •  Trasferimento  di  da0  verso  paesi  dell’UE  (art.  42);  •  Trasferimento  consen00  verso  Paesi  terzi  (art.  43);  •  Altri   trasferimen0   consen00   (art.   44):   l’accordo   Safe  Harbor  e  le  Binding  Corporate  Rules.  
  8. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ngSicurezza   dei   da1:   sono   ancora   sufficien0   le   tradizionali  misure  di  sicurezza?  Misure  di  sicurezza  per  Conservazione  dei  da0    Trasferimento  dei  da0  
  9. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ngLe  misure  minime  di  sicurezza  previste  dal  Codice  a)  Auten0cazione  informa0ca  b)  Adozione  di  procedure  di  ges0one  delle  credenziali  di  auten0cazione  c)  U0lizzazione  di  un  sistema  di  autorizzazione  d)  Aggiornamento   periodico   dell’individuazione  dell’ambito   del   traAamento   consen0to   ai   singoli  incarica0  e  addeY  alla  ges0one  o  alla  manutenzione  degli  strumen0  eleAronici  e)  Protezione   degli   strumen0   eleAronici   e   dei   da0  rispeAo   a   traAamen0   illeci0   di   da0,   ad   accessi   non  consen00  e  a  determina0  programmi  informa0ci  f)  Adozione   di   procedure   per   la   custodia   di   copie   di  sicurezza,  il  ripris0no  della  disponibilità  dei  da0  e  dei  sistemi  
  10. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ngLe  misure  minime  di  sicurezza  previste  dal  codice  sono  sufficien0  per  tutelare  i  da0  personali  nei  servizi  di  Cloud  Compu0ng?        Violazione  di  da0  personali  (Art.  32-­‐bis)  Il  cd.  “Data  breach”.  Le  misure  di  sicurezza  idonee  nei  servizi  di  Cloud  Compu1ng  
  11. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  Inves1gazioni  digitali  e  risorse  informa1che    Il  controllo  dei  lavoratori    
  12. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  Qual  è  la  norma1va  di  riferimento?  •  D.Lgs.  30-­‐6-­‐2003  n.  196,  art.  114  (Controllo  a  distanza)    che  rimandano  allo  Statuto  dei  lavoratori;  •  L.  20-­‐5-­‐1970  n.  300  (Statuto  dei  Lavoratori),  arA.  4  (impian0  audiovisivi)  e  8  (divieto  di  indagini  sulle  opinioni);  •  Prov.  Garante  Privacy  1  marzo  2007  “Linee  guida  in  materia  di  traAamento  di  da0  personali  di  lavoratori  per  finalità  di  ges0one  del  rapporto  di  lavoro  in  ambito  pubblico”;  •  Prov.  Garante  Privacy  27  novembre  2008  “Misure  e  accorgimen0  prescriY  ai  0tolari  dei  traAamen0  effeAua0  con  strumen0  eleAronici  rela0vamente  alle  aAribuzioni  delle  funzioni  di  amministratore  di  sistema”.  
  13. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  Due  interessi  si  contrappongono:    •  Quello  del  datore  di  lavoro  al  controllo  dei  dipenden0  e  alluso  che  viene  faAo  delle  aArezzature  di  lavoro  affidate  per  esclusivi  fini  aziendali  (magari,  con  lesplicitazione  di  un  divieto  datoriale  di   installazione   di   file   personali   sullhard-­‐disk   aziendale   o   di  connessioni  telema0che  non  autorizzate);  •  Quello   del   lavoratore   alla   protezione   di   una   sua   sfera   di  riservatezza  anche  sul  luogo  di  lavoro  (specie  ove  non  aYnente  allespletamento   della   prestazione),   e   dunque   alla   tutela   della  riservatezza   dei   da0   personali   inseri0   nel   computer   dufficio   (e  proteY   da   propria   password   nella   piena   disponibilità   del  dipendente).  
  14. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng        CONCETTO  DI  CONTROLLO      •  Il  controllo  può  essere  spaziale  (a  distanza)  ma  anche  temporale  (nel  tempo)  •  Può   essere   effeAuato   con   strumen1   e   modalità  tradizionali  o  con/su  strumen1  informa1ci.  
  15. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng    SI  INDIVIDUANO    TRE  TIPI  DI  CONTROLLI    a.  IllegiAmi   o   intenzionali   –   Quei   controlli   pos0   in  essere   per   finalità   di   controllo   a   distanza   dei  lavoratori   (art   4   stat.   Lavoratori)   e   quelli   sulle  opinioni   poli0che   e   religiose   o   sindacali   del  lavoratore  (art.  8  stat.  Lavoratori).  b.  LegiAmi   o   preterintenzionali   –   Controlli   per  esigenze  produYve  o  organizza0ve  o  di  sicurezza  sul  lavoro,   previo   accordo   con   le   rappresentanze  sindacali  (art.  4  stat.  Lavoratori).  c.  Difensivi   -­‐   Controlli   a   tutela   del   patrimonio  aziendale,  pos0  in  essere  per  prevenire  o  reprimere  l’u0lizzo   scorreAo   dei   beni   aziendali   da   parte   del  lavoratore  (Cass.  Pen.,  3  aprile  2002,  n.  4746).  
  16. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  L’intervento   del   Garante:   Provvedimento   del  Garante   Privacy   1   marzo   2007   -­‐   Le   linee   guida   del  Garante  per  posta  ele<ronica  e  internet      Il  Garante  ha  stabilito  che:  •  I  datori  di  lavoro  devono  adoAare  e  pubblicare  un  disciplinare  interno  •  I   datori   di   lavoro   priva0   e   pubblici   devono   indicare   chiaramente   le  modalità    di  uso  degli  strumen0  eleAronici  messi  a  disposizione    e  se  e  in  che  misura  e  con  quali  modalità  vengono  effeAua0  controlli;  •  A   seconda   dei   casi   andrebbe   ad   esempio   specificato:   se   determina0  comportamen0  non  sono  tollera0  rispeAo  alla  "navigazione"  in  Internet  (ad  es.,  il  download  di  solware  o  i  file  musicali),  oppure  alla  tenuta  di  file  nella  rete  interna;  in  quale  misura  è  consen0to  u0lizzare  anche  per  ragioni  personali  servizi  di  posta  eleAronica  o  di  rete,  ecc…  •  se,  e  in  quale  misura,  il  datore  di  lavoro  si  riserva  di  effeAuare  controlli  in  conformità  alla  legge,  anche  saltuari  o  occasionali,  indicando  le  ragioni  legiYme  –specifiche  e  non  generiche–  e  le  rela0ve  modalità  in  funzione  di  ciò  devono-­‐  adoAare  e  pubblicare  un  disciplinare  interno  •  In  ogni  caso  tuY  i  traAamen0  devono  rispeAare  i  principi  di:  a)  necessità,  b)  corre<ezza,  c)  per1nenza  e  non  eccedenza    
  17. La  protezione  dei  da1  personali  nell’era  del  Cloud  Compu1ng  L’intervento   del   Garante:   Provvedimento   del  Garante   Privacy   1   marzo   2007   -­‐   Le   linee   guida   del  Garante  per  posta  ele<ronica  e  internet      In  par0colare  il  Garante  ha  specificato  che:  •  deve   essere   per   quanto   possibile   preferito   un   controllo  preliminare   su   da0   aggrega0   (anonimi),   riferi0   allintera  struAura  lavora0va  o  a  sue  aree;  •  il   controllo   anonimo   può   concludersi   con   un   avviso  generalizzato;  in  assenza  di  successive  anomalie  non  è  di  regola  gius0ficato   effeAuare   controlli   su   base   individuale;   va   esclusa  lammissibilità  di  controlli  prolunga0,  costan0  o  indiscrimina0;  •  non  può  ritenersi  consen0to  il  traAamento  effeAuato  mediante  sistemi  hardware  e  so8ware  preordina0  al  controllo  a  distanza,  grazie   ai   quali   sia   possibile   ricostruire   a   volte   anche  minuziosamente  laYvità  di  lavoratori.  
  18. Info  [at]  htlaw.it  -­‐  Grazie  

×