Profili	  contra,ualis/ci,	  di	  privacy	  e	  di	  sicurezza	  dei	      da/	  connessi	  all’u/lizzo	  di	  servizi	  di...
Chi	  parla?	  •  Name	  partner	  dello	  studio	  •  	  Professore	  Aggregato	  di	  Informa/ca	  Giuridica	  Avanzata	...
Perché	  il	  cloud?	  •  Lato	   utente,	   non	   devono	   essere	   rispe,a/	   par/colari	   requisi/	   per         ...
Siamo	  già	  tu<	  cloud?	  
Quid	  iuris?	  
Il	  cloud	  per	  il	  giurista	  •  Per	   il	   giurista,	   il	   cloud	   compu/ng	   si	   traduce	   nella	   condi...
I	  problemi	  “WWW”                                      	  •  Chi	  può	  accedere	  ai	  da/?	  (Who)	  •  Cosa	  viene...
Rec/us…	  •  Quale	  legge	  è	  applicabile	  al	  contra,o?	  •  Qual	  è	  il	  foro	  competente?	  •  Come	  garan/re...
I	  profili	  rilevan/	  (al	  momento)	  del	                         cloud      	  	  •  Profili	  contra,uali	  •  Profili...
Legge	  applicabile…obscured	  by	                     clouds?	  •  In	   uno	   scenario	   /pico,	   potremmo	   trovare...
Lessons	  learned	  •  Yahoo!	  in	  Belgio	      –  Alcuni	   truffatori	   si	   scambiavano	   informazioni	   mediante ...
Lessons	  learned	  /2	  •  Google	  Brazil	      –  Nell’agosto	  del	  2006,	  una	  Corte	  brasiliana	  ordina	  a	  G...
Contra<	  e	  legge	  applicabile	  •  In	   ambito	   europeo,	   potrebbero	   soccorrere	   all’esigenza	   di         ...
La	  “Country	  of	  origin”	  rule	  •  Sempre	   in	   ambito	   europeo,	   la	   Dire<va	   c.d.	   “e-­‐   commerce”	...
Riassumendo…	  •  La	   transnazionalità	   dei	   servizi	   cloud	   pone	   mol/	   problemi                  	     rel...
I	  rischi	  da	  evitare	  •  Lock-­‐in	  verso	  uno	  specifico	  fornitore;	  •  Perdita	  del	  proprio	  patrimonio	 ...
In	  una	  parola:	  clausole	  •  Bisogna	  predisporre	  delle	  clausole	  contra,uali	  molto	  precise,              ...
Cosa	  sta	  accadendo	  in	  pra/ca?	  •  Diversi	   cloud	   provider	   stanno	   optando	   per	   la  	     collocazi...
Quotes…	  •  «The	   processing	   of	   sensi/ve	   data	   generally	     should	   not	   be	   allowed	   in	   cloud	...
Other	  quotes…	  •  «One	  reason	  you	  should	  not	  use	  web	  applica/ons	  to	  do	  your	  compu/ng	  is	       ...
In	  par/colare…	  •  Secondo	   il	   Garante	   italiano,	   «la	   nuova	   tecnologia	   del	   “cloud    	     compu/...
Pun/	  cri/ci                                     	  •  Applicabilità	   del	   d.lgs.	   196/2003	   al	   cloud	     pro...
Applicabilità	  •  È	   possibile	   applicare	   il	   Codice	   al	   cloud	   provider	   quanto              	     que...
Titolare	  o	  responsabile?	  •  CONTITOLARE	  O	  RESPONSABILE	  DEL	  TRATTAMENTO?	  •  Il	   TITOLARE	   del	   tra,am...
Problemi	  applica/vi                                             	  •  L’art.	  29,	  d.lgs.	  196/2003,	  pone	  qualche...
Trasferimento	  dei	  da/	  all’estero	  •    Art.	  43,	  d.lgs.	  196/2003	        –  1.	   Il	   trasferimento	   anche...
Trasferimento	  dei	  da/	  all’estero	  /2	  •    Art.	  44,	  d.lgs.	  196/2003	        –  «Il	   trasferimento	   di	  ...
Trasferimento	  di	  da/	  all’estero	  /3	  •  Art.	  45,	  d.lgs.	  196/2003	  •  «Fuori	   dei	   casi	   di	   cui	   ...
Riassumendo	  	  In	   conclusione,	   per	   effe,uare	   un	   trasferimento	   di	   da/	   all’estero	   conforme	   al...
Cloud	  e	  sicurezza	  dei	  da/	  •  I	  RISCHI	  CONNESSI	  ALL’ACCESSO	  AI	  DATI	  «Before,	   the	   bad	   guys	  ...
Cloud	  e	  sicurezza	  dei	  da/	  /2	  •  I	  RISCHI	  CONNESSI	  ALLA	  CONSERVAZIONE	  DEI	  DATI	        –  come	  ga...
Cloud	  provider	  e	  privacy:	  a	  cosa	               prestare	  a,enzione       	  •  Livello	   minimo	   del	   ser...
Controllo	  del	  servizio?	  •  Tale	  a<vità,	  potrà	  consistere	  in:	  •  -­‐	   Verifica	   della	   rispondenza	   ...
Il	  (probabile)	  futuro…	  •  Da	  più	  par/,	  si	  invoca	  la	  firma	  di	  una	  Convenzione	  universale         	...
Spero	  di…	  
GRAZIE!                    	     Avv.	  Prof.	  Aggr.	  Pierluigi	  Perri           	  c/o	  Università	  degli	  Studi	  ...
Cloud computing: privacy e clausole contrattuali
Upcoming SlideShare
Loading in …5
×

Cloud computing: privacy e clausole contrattuali

3,918
-1

Published on

Relazione presentata al convegno AMADIR a Roma il 18 marzo 2011.

Published in: Education
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,918
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Cloud computing: privacy e clausole contrattuali

  1. 1. Profili  contra,ualis/ci,  di  privacy  e  di  sicurezza  dei   da/  connessi  all’u/lizzo  di  servizi  di  cloud   compu)ng:  quale  bilanciamento  tra  diri<  degli   uten/  e  doveri  dei  fornitori       Avv.  Pierluigi  Perri    
  2. 2. Chi  parla?  •  Name  partner  dello  studio  •   Professore  Aggregato  di  Informa/ca  Giuridica  Avanzata  •  Ricercatore  presso  la  Facoltà  di  Giurisprudenza  dell’Università   degli  Studi  di  Milano  •  Do,ore   di   ricerca   in   Informa/ca   giuridica   e   Diri,o   dell’informa/ca  presso  l’Università  di  Bologna  •  ...più  una  serie  di  altre  cose  che  leggerete  se  vorrete  cercarmi   (ed  aggiungermi)  su  LinkedIn  
  3. 3. Perché  il  cloud?  •  Lato   utente,   non   devono   essere   rispe,a/   par/colari   requisi/   per   l’installazione  di  soUware;  •  Il   cliente   u/lizza   soUware   del   cloud   provider   su   server   del   cloud   provider;  •  Il  cliente  può  corrispondere  impor/  correla/  all’effe<vo  u/lizzo;  •  Si   scarica   sul   cloud   provider   la   responsabilità   di   mantenere   il   soUware  aggiornato  per  evitare  malfunzionamen/;  •  Si   scarica   (parzialmente)   sul   cloud   provider   la   responsabilità   di   tenere  i  da/  sicuri;  •  Si  scarica  sul  cloud  provider  la  responsabilità  di  ges/re  l’hardware  e   la  business  con/nuity;  •  Si  incen/va  il  c.d.  green  compu/ng.  
  4. 4. Siamo  già  tu<  cloud?  
  5. 5. Quid  iuris?  
  6. 6. Il  cloud  per  il  giurista  •  Per   il   giurista,   il   cloud   compu/ng   si   traduce   nella   condivisione   o   conservazione,   da   parte   degli   uten/,   di   da/   o   applicazioni   su   server   di  proprietà  o  ges//  da  terzi,  ai  quali  si  accede  tramite  Internet.  •  Quello   che   noi   vediamo   con   preoccupazione,   quindi,   al   di   là   degli   indubbi   vantaggi   in   termini   di   cos/,   efficienza,   outsourcing   della   ges/one   del   patrimonio   informa/vo,   è   questo   flusso   di   da/   che   viaggia  verso  “nuvole”.  •  Tra,andosi   di   offerte   rivolte   tanto   al   privato   quanto   all’azienda   e   alla   PA,   è   evidente   che   molta   a,enzione   deve   essere   posta   agli   aspe<  di  riservatezza  dei  da/  e  sicurezza  delle  informazioni.    
  7. 7. I  problemi  “WWW”  •  Chi  può  accedere  ai  da/?  (Who)  •  Cosa  viene  fa,o  con  i  miei  da/  (What)  •  Dove  sono  i  miei  da/?  (Where)  
  8. 8. Rec/us…  •  Quale  legge  è  applicabile  al  contra,o?  •  Qual  è  il  foro  competente?  •  Come  garan/re  la  /tolarità  dei  da/?  •  Come  garan/re  la  salvaguardia  dei  segre/  aziendali?    •  Come  garan/re  la  possibilità  di  acquisizione  forense  di  prove   digitali?    •  Come   garan/re   la   legal   compliance   in   relazione   al   tra,amento  dei  da/  personali?  •  Come   garan/re   la   massima   sicurezza   nel   tra,amento   dei   da/?    •  Ecc…  
  9. 9. I  profili  rilevan/  (al  momento)  del   cloud    •  Profili  contra,uali  •  Profili  lega/  al  tra,amento  dei  da/  personali  
  10. 10. Legge  applicabile…obscured  by   clouds?  •  In   uno   scenario   /pico,   potremmo   trovare   almeno   qua,ro   diversi   ordinamen/   giuridici   da  tenere  in  considerazione:    •  1)  la  legge  del  cliente/utente  del  servizio;    •  2)  la  legge  del  Paese  del  cloud  provider;    •  3)   la   legge   del   Paese   dove   sono   conserva/   i   da/;    •  4)   la   legge   del   Paese   del   sogge,o   cui   si   riferiscono  i  da/.  
  11. 11. Lessons  learned  •  Yahoo!  in  Belgio   –  Alcuni   truffatori   si   scambiavano   informazioni   mediante   Yahoo!  Mail   –  La  polizia  chiede  collaborazione  a  Yahoo!   –  Yahoo!   rifiuta   sostenendo   che   è   una   compagnia   statunitense  e  non  è  sogge,a  alle  leggi  del  Belgio,  quindi  li   esorta  a  seguire  la  strada  della  rogatoria  internazionale   –  Le   autorità   belghe   argomentano   che,   offrendo   Yahoo!   i   propri  servizi  in  Belgio,  deve  intendersi  sogge,a  alle  leggi   belghe,  e  multano  Yahoo!   –  Yahoo!  vince  in  appello  
  12. 12. Lessons  learned  /2  •  Google  Brazil   –  Nell’agosto  del  2006,  una  Corte  brasiliana  ordina  a  Google   di  fornire  immediatamente  informazioni  u/li  a  iden/ficare   alcuni   uten/   su   Orkut,   comminando   una   sanzione   di   $23.000  per  ogni  giorno  di  ritardo;   –  Come  nel  caso  di  Yahoo!,  Google  argomenta  che  la  strada   da  seguire  è  quella  delle  rogatorie  internazionali;   –  Nel  luglio  2008  Google  e  le  autorità  brasiliane  raggiungono   un  accordo  volto  alla  apposizione  di  filtri  per  i  contenu/  e   alla  fornitura  di  informazioni  senza  necessità  di  a<vare  gli   strumen/  ordinari.  
  13. 13. Contra<  e  legge  applicabile  •  In   ambito   europeo,   potrebbero   soccorrere   all’esigenza   di   individuare  la  legge  applicabile  due  tes/  norma/vi   –  Council   Regula/on   (EC)   No.   593/2008   of   the   European   Parliament  and  of  the  Council  of  17  June  2008  on  the  law   applicable  to  contractual  obliga/ons  (Rome  I),  OJ  2008  No.   L177/6,  04  July  2008.   –  Council   Regula/on   (EC)   No   864/2007   of   the   European   Parliament   and   of   the   Council   of   11   July   2007   on   the   law   applicable   to   non-­‐contractual   obliga/ons   (Rome   II),   OJ   2007  No.  L199/40,  31  July  2007.  
  14. 14. La  “Country  of  origin”  rule  •  Sempre   in   ambito   europeo,   la   Dire<va   c.d.   “e-­‐ commerce”  del  2000  stabilisce  che  il  fornitore  di  un   servizio   della   società   dell’informazione   non   deve   preoccuparsi   di   essere   a   norma   con   la   legge   di   tu<   gli   Sta/   membri,   ma   solo   con   quella   del   Paese   d’origine;  •  Analogamente,   la   sede   del   cloud   provider   verrà   collocata   dove   viene   esercitata   l’a<vità   economica,   quindi   dove   ha   sede   il   provider   e   non   dove   risiedono   i  da/.  
  15. 15. Riassumendo…  •  La   transnazionalità   dei   servizi   cloud   pone   mol/   problemi   rela/vamente  a  quale  legge  regolamenta  il  servizio;  •  Il   cloud   provider   e   l’utente   hanno   gli   strumen/   giuridici   per   definire  contra,ualmente  il  regime  giuridico  applicabile;  •  Vi  sono,  tu,avia,  altri  aspe<  che  non  possono  essere  coper/   dal   diri,o   privato,   quindi   la   scelta   della   sede,   da   parte   del   cloud   provider,   è   un   fa,ore   strategico   sia   per   il   provider   sia   per  l’utente;  •  A   seconda   dei   da/   che   si   vorranno   collocare   sulla   nuvola,   bisognerà  analizzare  i  poteri  d’accesso  che  la  legge  dello  Stato   ove  ha  sede  il  provider  consente  alle  forze  dell’ordine  (ad  es.   Patriot  Act  per  gli  USA  come  nel  casp  PbD  vs.  SWIFT).  
  16. 16. I  rischi  da  evitare  •  Lock-­‐in  verso  uno  specifico  fornitore;  •  Perdita  del  proprio  patrimonio  informa/vo  a  seguito   di  vicende  societarie  del  provider;  •  Difficoltà   nel   determinare   il   luogo   dell’obbligazione   e   la  legge  applicabile;  •  Difficoltà   nella   cos/tuzione   di   elemen/   di   prova   per   far  valere  una  propria  pretesa  in  giudizio;  •  Tu,o  ciò  che  riguarda  la  sicurezza  dei  da/;  •  Tu,o  ciò  che  riguarda  la  business  con/nuity.  
  17. 17. In  una  parola:  clausole  •  Bisogna  predisporre  delle  clausole  contra,uali  molto  precise,   concentrandosi   sui   seguen/   pun/   (la   lista   è   integrabile   dal   pubblico):   –  Legge  applicabile  e  foro  competente;   –  S e r v i c e   L e v e l   A g r e e m e n t   ( o v v e r o   g a r a n z i e   e   responsabilità);   –  Prezzo  del  servizio  e  scalabilità  dello  stesso;   –  Misure   di   sicurezza   ado,ate   (backup,   disaster   recovery,   ecc.);   –  Supporto;   –  Forma/  di  esportazione  dei  da/.  
  18. 18. Cosa  sta  accadendo  in  pra/ca?  •  Diversi   cloud   provider   stanno   optando   per   la   collocazione   di   una   sede   e   di   un   datacenter   all’interno  dell’UE;  •  Siamo   in   trepidante   a,esa   delle   modifiche   alla   Dire<va  95/46/EC;  •  E  questo  ci  porta  a  parlare  dei  profili  di  privacy  :-­‐)  
  19. 19. Quotes…  •  «The   processing   of   sensi/ve   data   generally   should   not   be   allowed   in   cloud   compu/ng   systems,   or   only   if   the   relevant   servers   are   located  in  the  EU»                        (Mr.  Axel  Voss)  •  «EU   law   should   apply   when   EU   data   are   processed  anywhere  in  the  world»                                (Mrs.  Viviane  Reding)  
  20. 20. Other  quotes…  •  «One  reason  you  should  not  use  web  applica/ons  to  do  your  compu/ng  is   that  you  lose     control.  It’s  just  as  bad  as  using  a  proprietary  program.  Do   your  own  compu/ng  on  your  own  computer  with  your  copy  of  a  freedom-­‐ respec/ng  program.  If  you  use  a  proprietary  program  or  somebody  else’s   web   server,   you’re   defenseless.   You’re   pu,y   in   the   hands   of   whoever   developed  that  soUware»                (Richard  Stallman)  •  «Occorre   rifle,ere   anche   sui   rischi   che   pone   la   nuova   tecnologia   del   “cloud   compu/ng”,   con   la   quale   i   da/   verranno   sempre   più   so,ra<   alla   disponibilità   materiale   di   chi   li   produce   e   usa,   e   ges//   da   enormi   server  colloca/  in  ogni  parte  del  pianeta»              (Francesco  Pizze<)  
  21. 21. In  par/colare…  •  Secondo   il   Garante   italiano,   «la   nuova   tecnologia   del   “cloud   compu/ng”,  con  la  quale  i  da/  verranno  sempre  più  so,ra<   alla  disponibilità  materiale  di  chi  li  produce  e  usa  e  ges//  da   enormi   server   colloca/   in   ogni   parte   del   pianeta»   cos/tuirà   «un   fenomeno   che   mol/plicherà   i   servizi   di   “remote   hard   disk”  e  renderà  sempre  più  ampio  il  ricorso  alloutsourcing  e   allhos/ng   dei   sistemi,   mol/plicando   i   servizi   forni/   da   terzi   secondo   modalità   che   favoriscono   sempre   di   più   la   delocalizzazione  dei  da/  conserva/».  •  Per  ques/  mo/vi,  invoca  la  creazione  di  «un  elenco  esaus/vo   delle   banche   da/   di   interesse   nazionale   e   della   loro   dislocazione,  comprese  quelle  ges/te  da  priva/».  
  22. 22. Pun/  cri/ci  •  Applicabilità   del   d.lgs.   196/2003   al   cloud   provider  •  Ruolo   del   cloud   provider   nel   tra,amento   dei   da/  •   Trasferimento  dei  da/  all’estero  
  23. 23. Applicabilità  •  È   possibile   applicare   il   Codice   al   cloud   provider   quanto   quest’ul/mo:   –  è  stabilito  in  Italia  (art.  5,  co.  1);   –  è   stabilito   nel   territorio   di   un   Paese   non   appartenente   all’Unione   europea   e   impiega,   per   il   tra,amento,   strumen/  situa/  in  Italia  anche  diversi  da  quelli  ele,ronici,   salvo   che   essi   siano   u/lizza/   solo   ai   fini   di   transito   nel   territorio  dell’Unione  europea  (art.  5,  co.  2).        •  Se   il   cloud   provider   ha   la   propria   sede   e   le   proprie   infrastru,ure   al   di   fuori   del   territorio   dello   Stato   non   potrà   essere  assogge,ato  al  Codice  
  24. 24. Titolare  o  responsabile?  •  CONTITOLARE  O  RESPONSABILE  DEL  TRATTAMENTO?  •  Il   TITOLARE   del   tra,amento   è   la   «persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione   e   qualsiasi   altro   ente,   associazione   od   organismo  cui  competono,  anche  unitamente  ad  altro  /tolare,  le  decisioni   in   ordine   alle   finalità,   alle   modalità   del   tra,amento   di   da/   personali   e   agli   strumen/   u/lizza/,   ivi   compreso   il   profilo   della   sicurezza»   (art.   4,   co.   1,   le,.  f).  •  Il   RESPONSABILE   del   tra,amento   è   la   «persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione   e   qualsiasi   altro   ente,   associazione   od   organismo  prepos/  dal  /tolare  al  tra,amento  di  da/  personali»  (art.  4,  co.   1,  le,.  g).  
  25. 25. Problemi  applica/vi  •  L’art.  29,  d.lgs.  196/2003,  pone  qualche  problema  applica/vo…   –  «Il  responsabile  è  designato  dal  /tolare  facolta/vamente.   –  Se   designato,   il   responsabile   è   individuato   tra   sogge<   che   per   esperienza,   capacità   ed     affidabilità   forniscano   idonea   garanzia   del   pieno   rispe,o   delle   vigen/   disposizioni   in     materia   di   tra,amento,   ivi  compreso  il  profilo  rela/vo  alla  sicurezza.   –  Ove   necessario   per   esigenze   organizza/ve,   possono   essere   designa/   responsabili  più    sogge<,  anche  mediante  suddivisione  di  compi/.   –  I   compi(   affida(   al   responsabile   sono   anali(camente   specifica(   per   iscri4o  dal  (tolare.   –  Il   responsabile   effe,ua   il   tra,amento   a4enendosi   alle   istruzioni   impar(te   dal   (tolare   il   quale,   anche   tramite   verifiche   periodiche,   vigila   sulla   puntuale   osservanza   delle   disposizioni   di   cui  al  comma  2  e  delle  proprie  istruzioni».  
  26. 26. Trasferimento  dei  da/  all’estero  •  Art.  43,  d.lgs.  196/2003   –  1.   Il   trasferimento   anche   temporaneo   fuori   del   territorio   dello   Stato,   con   qualsiasi   forma   o   mezzo,   di   da/   personali   ogge,o   di   tra,amento,   se   dire,o   verso  un  Paese  non  appartenente  all’Unione  europea  è  consen/to  quando:   •  a)  l’interessato  ha  manifestato  il  proprio  consenso  espresso  o,  se  si  tra,a   di  da/  sensibili,  in  forma  scri,a;   •  b)  è  necessario  per  lesecuzione  di  obblighi  derivan/  da  un  contra,o  del   quale  e  parte  linteressato  o  per  adempiere,  prima  della  conclusione  del   contra,o,  a  specifiche  richieste  dellinteressato,  ovvero  per  la  conclusione   o  per  lesecuzione  di  un  contra,o  s/pulato  a  favore  dellinteressato;   •  (…)   •  h)   il   tra,amento   concerne   da/   riguardan/   persone   giuridiche,   en/   o   associazioni.  
  27. 27. Trasferimento  dei  da/  all’estero  /2  •  Art.  44,  d.lgs.  196/2003   –  «Il   trasferimento   di   da/   personali   ogge,o   di   tra,amento,   dire,o   verso   un   Paese   non   appartenente   allUnione   europea,   è   altresì   consen/to   quando   è   autorizzato   dal   Garante   sulla   base   di   adeguate   garanzie   per   i   diri<   dell’interessato:   •  a)  individuate  dal  Garante  anche  in  relazione  a  garanzie  prestate  con  un   contra,o;   •  b)  individuate  con  le  decisioni  previste  dagli  ar/coli  25,  paragrafo  6,  e  26,   paragrafo   4,   della   dire<va   95/46/CE   del   Parlamento   europeo   e   del   Consiglio,   del   24   o,obre   1995,   con   le   quali   la   Commissione   europea   constata  che       –  un   Paese   non   appartenente   allUnione   europea   garan(sce   un   livello   di   protezione  adeguato  o     –  che  alcune  clausole  contra4uali  offrono  garanzie  sufficien(.  
  28. 28. Trasferimento  di  da/  all’estero  /3  •  Art.  45,  d.lgs.  196/2003  •  «Fuori   dei   casi   di   cui   agli   ar/coli   43   e   44,   il   trasferimento   anche   temporaneo   fuori   del   territorio   dello   Stato,   con   qualsiasi   forma   o   mezzo,   di   da/   personali   ogge,o   di   tra,amento,   dire,o   verso   un   Paese   non   appartenente   all’Unione  europea,  è  vietato  quando  l’ordinamento  del  Paese   di  des/nazione  o  di  transito  dei  da/  non  assicura  un  livello  di   tutela   delle   persone   adeguato.   Sono   valutate   anche   le   modalità   del   trasferimento   e   dei   tra,amen/   previs/,   le   rela/ve  finalità,  la  natura  dei  da/  e  le  misure  di  sicurezza».  
  29. 29. Riassumendo    In   conclusione,   per   effe,uare   un   trasferimento   di   da/   all’estero   conforme   al   Codice  Privacy,  è  possibile  seguire  una  delle  seguen/  strade:      ü  Trasferimento  di  da(  verso  i  soli  Paesi  che  offrono  garanzie  adeguate:  ad  oggi  si  tra,a   di  (Svizzera,  Canada,  Argen/na,  Isola  di  Guernsey,  Isola  di  Man,  Isola  di  Jersey,  Isole  Far   Oer,  Andorra,  USA  limitatamente  alle  imprese  che  aderiscono  al  c.d.  Safe  Harbor)    ü  Inserimento   nel   contra,o   delle   clausole   contra4uali   standard   approvate   dalla   Commissione   europea   (cfr.   da   ul/mo   le   decisioni   della   Commissione   europea   2004/915/CE  e  2010/87/UE)      ü  Previsione   di   binding   corporate   rules   (applicabili   tu,avia   solo   ai   trasferimen/   di   da/   all’interno  di  gruppi  di  società)    ü  Consenso  espresso  dell’interessato  ex  art.  43  del  Codice  
  30. 30. Cloud  e  sicurezza  dei  da/  •  I  RISCHI  CONNESSI  ALL’ACCESSO  AI  DATI  «Before,   the   bad   guys   usually   needed   to   get   their   hands   on   people’s  computers  to  see  their  secrets;  in  today’s  cloud  all  you  need  is  a  password»                (Jonathan  Zi,rain)  •  da  parte  di  crackers  •  da  parte  di  concorren/  •  da  parte  di  autorità  pubbliche  •  da   parte   dello   stesso   provider   o   di   suoi   dipenden/   infedeli  
  31. 31. Cloud  e  sicurezza  dei  da/  /2  •  I  RISCHI  CONNESSI  ALLA  CONSERVAZIONE  DEI  DATI   –  come  garan/rsi  che  i  da/  siano  sempre  recuperabili  e  che   essi  non  vengano  corro<?   –  come  garan/rsi  in  caso  di  fallimento  del  cloud  provider?  •  I  RISCHI  CONNESSI  ALLA  CANCELLAZIONE  DEI  DATI   –  alcune   norme   prevedono   la   cancellazione   di   determinate   categorie  di  da/  decorso  un  certo  periodo  di  tempo  dalla   loro  raccolta;   –  in  altri  casi  il  /tolare  potrebbe  avere  interesse  a  cancellare   in  modo  defini/vo,  per  svariate  ragioni,  alcuni  da/   –  come   accertarsi   che   i   da/   che   il   /tolare   deve/vuole   cancellare  non  siano  più  recuperabili?  
  32. 32. Cloud  provider  e  privacy:  a  cosa   prestare  a,enzione  •  Livello   minimo   del   servizio   in   relazione   alla   protezione   dei  da/  e  alla  con/nuità;  •  Trasparenza   in   merito   alla   logica   applicata   al   tra,amento;  •  Personalizzazione  della  sicurezza  lato  utente;  •  Controllo  del  servizio  per  tu,a  la  durata  del  rapporto.  
  33. 33. Controllo  del  servizio?  •  Tale  a<vità,  potrà  consistere  in:  •  -­‐   Verifica   della   rispondenza   di   quanto   desumibile   dal   contra,o   con   il   servizio  concretamente  offerto;  •  -­‐  Iden/ficazione  e  immediata  segnalazione  delle  eventuali  problema/che;  •  -­‐   In   ragione   dei   da/   tra,a/,   richiesta   di   repor/s/ca   u/le   a   illustrare   il   pieno  rispe,o  dei  parametri  inseri/  negli  SLAs;  •  -­‐   Verifica,   in   capo   al   fornitore,   di   eventuali   cer/ficazioni   sulla   sicurezza   informa/ca.  
  34. 34. Il  (probabile)  futuro…  •  Da  più  par/,  si  invoca  la  firma  di  una  Convenzione  universale   che   disciplini   il   tra,amento   dei   da/   da   parte   di   sogge<   che   offrono  servizi  tali  per  cui  i  da/  sono  “ubiqui”;  •  Il   raggiungimento   di   tale   obie<vo   può   sicuramente   essere   agevolato   da   una   visione   comune   di   privacy   policy   ado,ata   dai  vari  cloud  provider;  •  Alcuni  conta<  sono  già  in  essere,  quali  quelli  dell’EU-­‐US  High   Level   Contact   Group   (cfr.   U.S.,   EU   Issue   Statement   on   Common  Data  Privacy  and  Protec/on  Principles).  
  35. 35. Spero  di…  
  36. 36. GRAZIE!   Avv.  Prof.  Aggr.  Pierluigi  Perri  c/o  Università  degli  Studi  di  Milano   Facoltà  di  Giurisprudenza   Via  Festa  del  Perdono,  7   20122  Milano   pierluigi.perri@unimi.it  

×