• Save
Cloud computing: privacy e clausole contrattuali
Upcoming SlideShare
Loading in...5
×
 

Cloud computing: privacy e clausole contrattuali

on

  • 2,957 views

Relazione presentata al convegno AMADIR a Roma il 18 marzo 2011.

Relazione presentata al convegno AMADIR a Roma il 18 marzo 2011.

Statistics

Views

Total Views
2,957
Views on SlideShare
1,880
Embed Views
1,077

Actions

Likes
3
Downloads
0
Comments
0

5 Embeds 1,077

http://pierluigiperri.com 1069
http://pierluigiperri.wordpress.com 3
http://translate.googleusercontent.com 3
url_unknown 1
http://webcache.googleusercontent.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

CC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs LicenseCC Attribution-NonCommercial-NoDerivs License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cloud computing: privacy e clausole contrattuali Cloud computing: privacy e clausole contrattuali Presentation Transcript

  • Profili  contra,ualis/ci,  di  privacy  e  di  sicurezza  dei   da/  connessi  all’u/lizzo  di  servizi  di  cloud   compu)ng:  quale  bilanciamento  tra  diri<  degli   uten/  e  doveri  dei  fornitori       Avv.  Pierluigi  Perri    
  • Chi  parla?  •  Name  partner  dello  studio  •   Professore  Aggregato  di  Informa/ca  Giuridica  Avanzata  •  Ricercatore  presso  la  Facoltà  di  Giurisprudenza  dell’Università   degli  Studi  di  Milano  •  Do,ore   di   ricerca   in   Informa/ca   giuridica   e   Diri,o   dell’informa/ca  presso  l’Università  di  Bologna  •  ...più  una  serie  di  altre  cose  che  leggerete  se  vorrete  cercarmi   (ed  aggiungermi)  su  LinkedIn  
  • Perché  il  cloud?  •  Lato   utente,   non   devono   essere   rispe,a/   par/colari   requisi/   per   l’installazione  di  soUware;  •  Il   cliente   u/lizza   soUware   del   cloud   provider   su   server   del   cloud   provider;  •  Il  cliente  può  corrispondere  impor/  correla/  all’effe<vo  u/lizzo;  •  Si   scarica   sul   cloud   provider   la   responsabilità   di   mantenere   il   soUware  aggiornato  per  evitare  malfunzionamen/;  •  Si   scarica   (parzialmente)   sul   cloud   provider   la   responsabilità   di   tenere  i  da/  sicuri;  •  Si  scarica  sul  cloud  provider  la  responsabilità  di  ges/re  l’hardware  e   la  business  con/nuity;  •  Si  incen/va  il  c.d.  green  compu/ng.  
  • Siamo  già  tu<  cloud?  
  • Quid  iuris?  
  • Il  cloud  per  il  giurista  •  Per   il   giurista,   il   cloud   compu/ng   si   traduce   nella   condivisione   o   conservazione,   da   parte   degli   uten/,   di   da/   o   applicazioni   su   server   di  proprietà  o  ges//  da  terzi,  ai  quali  si  accede  tramite  Internet.  •  Quello   che   noi   vediamo   con   preoccupazione,   quindi,   al   di   là   degli   indubbi   vantaggi   in   termini   di   cos/,   efficienza,   outsourcing   della   ges/one   del   patrimonio   informa/vo,   è   questo   flusso   di   da/   che   viaggia  verso  “nuvole”.  •  Tra,andosi   di   offerte   rivolte   tanto   al   privato   quanto   all’azienda   e   alla   PA,   è   evidente   che   molta   a,enzione   deve   essere   posta   agli   aspe<  di  riservatezza  dei  da/  e  sicurezza  delle  informazioni.    
  • I  problemi  “WWW”  •  Chi  può  accedere  ai  da/?  (Who)  •  Cosa  viene  fa,o  con  i  miei  da/  (What)  •  Dove  sono  i  miei  da/?  (Where)  
  • Rec/us…  •  Quale  legge  è  applicabile  al  contra,o?  •  Qual  è  il  foro  competente?  •  Come  garan/re  la  /tolarità  dei  da/?  •  Come  garan/re  la  salvaguardia  dei  segre/  aziendali?    •  Come  garan/re  la  possibilità  di  acquisizione  forense  di  prove   digitali?    •  Come   garan/re   la   legal   compliance   in   relazione   al   tra,amento  dei  da/  personali?  •  Come   garan/re   la   massima   sicurezza   nel   tra,amento   dei   da/?    •  Ecc…  
  • I  profili  rilevan/  (al  momento)  del   cloud    •  Profili  contra,uali  •  Profili  lega/  al  tra,amento  dei  da/  personali  
  • Legge  applicabile…obscured  by   clouds?  •  In   uno   scenario   /pico,   potremmo   trovare   almeno   qua,ro   diversi   ordinamen/   giuridici   da  tenere  in  considerazione:    •  1)  la  legge  del  cliente/utente  del  servizio;    •  2)  la  legge  del  Paese  del  cloud  provider;    •  3)   la   legge   del   Paese   dove   sono   conserva/   i   da/;    •  4)   la   legge   del   Paese   del   sogge,o   cui   si   riferiscono  i  da/.  
  • Lessons  learned  •  Yahoo!  in  Belgio   –  Alcuni   truffatori   si   scambiavano   informazioni   mediante   Yahoo!  Mail   –  La  polizia  chiede  collaborazione  a  Yahoo!   –  Yahoo!   rifiuta   sostenendo   che   è   una   compagnia   statunitense  e  non  è  sogge,a  alle  leggi  del  Belgio,  quindi  li   esorta  a  seguire  la  strada  della  rogatoria  internazionale   –  Le   autorità   belghe   argomentano   che,   offrendo   Yahoo!   i   propri  servizi  in  Belgio,  deve  intendersi  sogge,a  alle  leggi   belghe,  e  multano  Yahoo!   –  Yahoo!  vince  in  appello  
  • Lessons  learned  /2  •  Google  Brazil   –  Nell’agosto  del  2006,  una  Corte  brasiliana  ordina  a  Google   di  fornire  immediatamente  informazioni  u/li  a  iden/ficare   alcuni   uten/   su   Orkut,   comminando   una   sanzione   di   $23.000  per  ogni  giorno  di  ritardo;   –  Come  nel  caso  di  Yahoo!,  Google  argomenta  che  la  strada   da  seguire  è  quella  delle  rogatorie  internazionali;   –  Nel  luglio  2008  Google  e  le  autorità  brasiliane  raggiungono   un  accordo  volto  alla  apposizione  di  filtri  per  i  contenu/  e   alla  fornitura  di  informazioni  senza  necessità  di  a<vare  gli   strumen/  ordinari.  
  • Contra<  e  legge  applicabile  •  In   ambito   europeo,   potrebbero   soccorrere   all’esigenza   di   individuare  la  legge  applicabile  due  tes/  norma/vi   –  Council   Regula/on   (EC)   No.   593/2008   of   the   European   Parliament  and  of  the  Council  of  17  June  2008  on  the  law   applicable  to  contractual  obliga/ons  (Rome  I),  OJ  2008  No.   L177/6,  04  July  2008.   –  Council   Regula/on   (EC)   No   864/2007   of   the   European   Parliament   and   of   the   Council   of   11   July   2007   on   the   law   applicable   to   non-­‐contractual   obliga/ons   (Rome   II),   OJ   2007  No.  L199/40,  31  July  2007.  
  • La  “Country  of  origin”  rule  •  Sempre   in   ambito   europeo,   la   Dire<va   c.d.   “e-­‐ commerce”  del  2000  stabilisce  che  il  fornitore  di  un   servizio   della   società   dell’informazione   non   deve   preoccuparsi   di   essere   a   norma   con   la   legge   di   tu<   gli   Sta/   membri,   ma   solo   con   quella   del   Paese   d’origine;  •  Analogamente,   la   sede   del   cloud   provider   verrà   collocata   dove   viene   esercitata   l’a<vità   economica,   quindi   dove   ha   sede   il   provider   e   non   dove   risiedono   i  da/.  
  • Riassumendo…  •  La   transnazionalità   dei   servizi   cloud   pone   mol/   problemi   rela/vamente  a  quale  legge  regolamenta  il  servizio;  •  Il   cloud   provider   e   l’utente   hanno   gli   strumen/   giuridici   per   definire  contra,ualmente  il  regime  giuridico  applicabile;  •  Vi  sono,  tu,avia,  altri  aspe<  che  non  possono  essere  coper/   dal   diri,o   privato,   quindi   la   scelta   della   sede,   da   parte   del   cloud   provider,   è   un   fa,ore   strategico   sia   per   il   provider   sia   per  l’utente;  •  A   seconda   dei   da/   che   si   vorranno   collocare   sulla   nuvola,   bisognerà  analizzare  i  poteri  d’accesso  che  la  legge  dello  Stato   ove  ha  sede  il  provider  consente  alle  forze  dell’ordine  (ad  es.   Patriot  Act  per  gli  USA  come  nel  casp  PbD  vs.  SWIFT).  
  • I  rischi  da  evitare  •  Lock-­‐in  verso  uno  specifico  fornitore;  •  Perdita  del  proprio  patrimonio  informa/vo  a  seguito   di  vicende  societarie  del  provider;  •  Difficoltà   nel   determinare   il   luogo   dell’obbligazione   e   la  legge  applicabile;  •  Difficoltà   nella   cos/tuzione   di   elemen/   di   prova   per   far  valere  una  propria  pretesa  in  giudizio;  •  Tu,o  ciò  che  riguarda  la  sicurezza  dei  da/;  •  Tu,o  ciò  che  riguarda  la  business  con/nuity.  
  • In  una  parola:  clausole  •  Bisogna  predisporre  delle  clausole  contra,uali  molto  precise,   concentrandosi   sui   seguen/   pun/   (la   lista   è   integrabile   dal   pubblico):   –  Legge  applicabile  e  foro  competente;   –  S e r v i c e   L e v e l   A g r e e m e n t   ( o v v e r o   g a r a n z i e   e   responsabilità);   –  Prezzo  del  servizio  e  scalabilità  dello  stesso;   –  Misure   di   sicurezza   ado,ate   (backup,   disaster   recovery,   ecc.);   –  Supporto;   –  Forma/  di  esportazione  dei  da/.  
  • Cosa  sta  accadendo  in  pra/ca?  •  Diversi   cloud   provider   stanno   optando   per   la   collocazione   di   una   sede   e   di   un   datacenter   all’interno  dell’UE;  •  Siamo   in   trepidante   a,esa   delle   modifiche   alla   Dire<va  95/46/EC;  •  E  questo  ci  porta  a  parlare  dei  profili  di  privacy  :-­‐)  
  • Quotes…  •  «The   processing   of   sensi/ve   data   generally   should   not   be   allowed   in   cloud   compu/ng   systems,   or   only   if   the   relevant   servers   are   located  in  the  EU»                        (Mr.  Axel  Voss)  •  «EU   law   should   apply   when   EU   data   are   processed  anywhere  in  the  world»                                (Mrs.  Viviane  Reding)  
  • Other  quotes…  •  «One  reason  you  should  not  use  web  applica/ons  to  do  your  compu/ng  is   that  you  lose     control.  It’s  just  as  bad  as  using  a  proprietary  program.  Do   your  own  compu/ng  on  your  own  computer  with  your  copy  of  a  freedom-­‐ respec/ng  program.  If  you  use  a  proprietary  program  or  somebody  else’s   web   server,   you’re   defenseless.   You’re   pu,y   in   the   hands   of   whoever   developed  that  soUware»                (Richard  Stallman)  •  «Occorre   rifle,ere   anche   sui   rischi   che   pone   la   nuova   tecnologia   del   “cloud   compu/ng”,   con   la   quale   i   da/   verranno   sempre   più   so,ra<   alla   disponibilità   materiale   di   chi   li   produce   e   usa,   e   ges//   da   enormi   server  colloca/  in  ogni  parte  del  pianeta»              (Francesco  Pizze<)  
  • In  par/colare…  •  Secondo   il   Garante   italiano,   «la   nuova   tecnologia   del   “cloud   compu/ng”,  con  la  quale  i  da/  verranno  sempre  più  so,ra<   alla  disponibilità  materiale  di  chi  li  produce  e  usa  e  ges//  da   enormi   server   colloca/   in   ogni   parte   del   pianeta»   cos/tuirà   «un   fenomeno   che   mol/plicherà   i   servizi   di   “remote   hard   disk”  e  renderà  sempre  più  ampio  il  ricorso  alloutsourcing  e   allhos/ng   dei   sistemi,   mol/plicando   i   servizi   forni/   da   terzi   secondo   modalità   che   favoriscono   sempre   di   più   la   delocalizzazione  dei  da/  conserva/».  •  Per  ques/  mo/vi,  invoca  la  creazione  di  «un  elenco  esaus/vo   delle   banche   da/   di   interesse   nazionale   e   della   loro   dislocazione,  comprese  quelle  ges/te  da  priva/».  
  • Pun/  cri/ci  •  Applicabilità   del   d.lgs.   196/2003   al   cloud   provider  •  Ruolo   del   cloud   provider   nel   tra,amento   dei   da/  •   Trasferimento  dei  da/  all’estero  
  • Applicabilità  •  È   possibile   applicare   il   Codice   al   cloud   provider   quanto   quest’ul/mo:   –  è  stabilito  in  Italia  (art.  5,  co.  1);   –  è   stabilito   nel   territorio   di   un   Paese   non   appartenente   all’Unione   europea   e   impiega,   per   il   tra,amento,   strumen/  situa/  in  Italia  anche  diversi  da  quelli  ele,ronici,   salvo   che   essi   siano   u/lizza/   solo   ai   fini   di   transito   nel   territorio  dell’Unione  europea  (art.  5,  co.  2).        •  Se   il   cloud   provider   ha   la   propria   sede   e   le   proprie   infrastru,ure   al   di   fuori   del   territorio   dello   Stato   non   potrà   essere  assogge,ato  al  Codice  
  • Titolare  o  responsabile?  •  CONTITOLARE  O  RESPONSABILE  DEL  TRATTAMENTO?  •  Il   TITOLARE   del   tra,amento   è   la   «persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione   e   qualsiasi   altro   ente,   associazione   od   organismo  cui  competono,  anche  unitamente  ad  altro  /tolare,  le  decisioni   in   ordine   alle   finalità,   alle   modalità   del   tra,amento   di   da/   personali   e   agli   strumen/   u/lizza/,   ivi   compreso   il   profilo   della   sicurezza»   (art.   4,   co.   1,   le,.  f).  •  Il   RESPONSABILE   del   tra,amento   è   la   «persona   fisica,   la   persona   giuridica,   la   pubblica   amministrazione   e   qualsiasi   altro   ente,   associazione   od   organismo  prepos/  dal  /tolare  al  tra,amento  di  da/  personali»  (art.  4,  co.   1,  le,.  g).  
  • Problemi  applica/vi  •  L’art.  29,  d.lgs.  196/2003,  pone  qualche  problema  applica/vo…   –  «Il  responsabile  è  designato  dal  /tolare  facolta/vamente.   –  Se   designato,   il   responsabile   è   individuato   tra   sogge<   che   per   esperienza,   capacità   ed     affidabilità   forniscano   idonea   garanzia   del   pieno   rispe,o   delle   vigen/   disposizioni   in     materia   di   tra,amento,   ivi  compreso  il  profilo  rela/vo  alla  sicurezza.   –  Ove   necessario   per   esigenze   organizza/ve,   possono   essere   designa/   responsabili  più    sogge<,  anche  mediante  suddivisione  di  compi/.   –  I   compi(   affida(   al   responsabile   sono   anali(camente   specifica(   per   iscri4o  dal  (tolare.   –  Il   responsabile   effe,ua   il   tra,amento   a4enendosi   alle   istruzioni   impar(te   dal   (tolare   il   quale,   anche   tramite   verifiche   periodiche,   vigila   sulla   puntuale   osservanza   delle   disposizioni   di   cui  al  comma  2  e  delle  proprie  istruzioni».  
  • Trasferimento  dei  da/  all’estero  •  Art.  43,  d.lgs.  196/2003   –  1.   Il   trasferimento   anche   temporaneo   fuori   del   territorio   dello   Stato,   con   qualsiasi   forma   o   mezzo,   di   da/   personali   ogge,o   di   tra,amento,   se   dire,o   verso  un  Paese  non  appartenente  all’Unione  europea  è  consen/to  quando:   •  a)  l’interessato  ha  manifestato  il  proprio  consenso  espresso  o,  se  si  tra,a   di  da/  sensibili,  in  forma  scri,a;   •  b)  è  necessario  per  lesecuzione  di  obblighi  derivan/  da  un  contra,o  del   quale  e  parte  linteressato  o  per  adempiere,  prima  della  conclusione  del   contra,o,  a  specifiche  richieste  dellinteressato,  ovvero  per  la  conclusione   o  per  lesecuzione  di  un  contra,o  s/pulato  a  favore  dellinteressato;   •  (…)   •  h)   il   tra,amento   concerne   da/   riguardan/   persone   giuridiche,   en/   o   associazioni.  
  • Trasferimento  dei  da/  all’estero  /2  •  Art.  44,  d.lgs.  196/2003   –  «Il   trasferimento   di   da/   personali   ogge,o   di   tra,amento,   dire,o   verso   un   Paese   non   appartenente   allUnione   europea,   è   altresì   consen/to   quando   è   autorizzato   dal   Garante   sulla   base   di   adeguate   garanzie   per   i   diri<   dell’interessato:   •  a)  individuate  dal  Garante  anche  in  relazione  a  garanzie  prestate  con  un   contra,o;   •  b)  individuate  con  le  decisioni  previste  dagli  ar/coli  25,  paragrafo  6,  e  26,   paragrafo   4,   della   dire<va   95/46/CE   del   Parlamento   europeo   e   del   Consiglio,   del   24   o,obre   1995,   con   le   quali   la   Commissione   europea   constata  che       –  un   Paese   non   appartenente   allUnione   europea   garan(sce   un   livello   di   protezione  adeguato  o     –  che  alcune  clausole  contra4uali  offrono  garanzie  sufficien(.  
  • Trasferimento  di  da/  all’estero  /3  •  Art.  45,  d.lgs.  196/2003  •  «Fuori   dei   casi   di   cui   agli   ar/coli   43   e   44,   il   trasferimento   anche   temporaneo   fuori   del   territorio   dello   Stato,   con   qualsiasi   forma   o   mezzo,   di   da/   personali   ogge,o   di   tra,amento,   dire,o   verso   un   Paese   non   appartenente   all’Unione  europea,  è  vietato  quando  l’ordinamento  del  Paese   di  des/nazione  o  di  transito  dei  da/  non  assicura  un  livello  di   tutela   delle   persone   adeguato.   Sono   valutate   anche   le   modalità   del   trasferimento   e   dei   tra,amen/   previs/,   le   rela/ve  finalità,  la  natura  dei  da/  e  le  misure  di  sicurezza».  
  • Riassumendo    In   conclusione,   per   effe,uare   un   trasferimento   di   da/   all’estero   conforme   al   Codice  Privacy,  è  possibile  seguire  una  delle  seguen/  strade:      ü  Trasferimento  di  da(  verso  i  soli  Paesi  che  offrono  garanzie  adeguate:  ad  oggi  si  tra,a   di  (Svizzera,  Canada,  Argen/na,  Isola  di  Guernsey,  Isola  di  Man,  Isola  di  Jersey,  Isole  Far   Oer,  Andorra,  USA  limitatamente  alle  imprese  che  aderiscono  al  c.d.  Safe  Harbor)    ü  Inserimento   nel   contra,o   delle   clausole   contra4uali   standard   approvate   dalla   Commissione   europea   (cfr.   da   ul/mo   le   decisioni   della   Commissione   europea   2004/915/CE  e  2010/87/UE)      ü  Previsione   di   binding   corporate   rules   (applicabili   tu,avia   solo   ai   trasferimen/   di   da/   all’interno  di  gruppi  di  società)    ü  Consenso  espresso  dell’interessato  ex  art.  43  del  Codice  
  • Cloud  e  sicurezza  dei  da/  •  I  RISCHI  CONNESSI  ALL’ACCESSO  AI  DATI  «Before,   the   bad   guys   usually   needed   to   get   their   hands   on   people’s  computers  to  see  their  secrets;  in  today’s  cloud  all  you  need  is  a  password»                (Jonathan  Zi,rain)  •  da  parte  di  crackers  •  da  parte  di  concorren/  •  da  parte  di  autorità  pubbliche  •  da   parte   dello   stesso   provider   o   di   suoi   dipenden/   infedeli  
  • Cloud  e  sicurezza  dei  da/  /2  •  I  RISCHI  CONNESSI  ALLA  CONSERVAZIONE  DEI  DATI   –  come  garan/rsi  che  i  da/  siano  sempre  recuperabili  e  che   essi  non  vengano  corro<?   –  come  garan/rsi  in  caso  di  fallimento  del  cloud  provider?  •  I  RISCHI  CONNESSI  ALLA  CANCELLAZIONE  DEI  DATI   –  alcune   norme   prevedono   la   cancellazione   di   determinate   categorie  di  da/  decorso  un  certo  periodo  di  tempo  dalla   loro  raccolta;   –  in  altri  casi  il  /tolare  potrebbe  avere  interesse  a  cancellare   in  modo  defini/vo,  per  svariate  ragioni,  alcuni  da/   –  come   accertarsi   che   i   da/   che   il   /tolare   deve/vuole   cancellare  non  siano  più  recuperabili?  
  • Cloud  provider  e  privacy:  a  cosa   prestare  a,enzione  •  Livello   minimo   del   servizio   in   relazione   alla   protezione   dei  da/  e  alla  con/nuità;  •  Trasparenza   in   merito   alla   logica   applicata   al   tra,amento;  •  Personalizzazione  della  sicurezza  lato  utente;  •  Controllo  del  servizio  per  tu,a  la  durata  del  rapporto.  
  • Controllo  del  servizio?  •  Tale  a<vità,  potrà  consistere  in:  •  -­‐   Verifica   della   rispondenza   di   quanto   desumibile   dal   contra,o   con   il   servizio  concretamente  offerto;  •  -­‐  Iden/ficazione  e  immediata  segnalazione  delle  eventuali  problema/che;  •  -­‐   In   ragione   dei   da/   tra,a/,   richiesta   di   repor/s/ca   u/le   a   illustrare   il   pieno  rispe,o  dei  parametri  inseri/  negli  SLAs;  •  -­‐   Verifica,   in   capo   al   fornitore,   di   eventuali   cer/ficazioni   sulla   sicurezza   informa/ca.  
  • Il  (probabile)  futuro…  •  Da  più  par/,  si  invoca  la  firma  di  una  Convenzione  universale   che   disciplini   il   tra,amento   dei   da/   da   parte   di   sogge<   che   offrono  servizi  tali  per  cui  i  da/  sono  “ubiqui”;  •  Il   raggiungimento   di   tale   obie<vo   può   sicuramente   essere   agevolato   da   una   visione   comune   di   privacy   policy   ado,ata   dai  vari  cloud  provider;  •  Alcuni  conta<  sono  già  in  essere,  quali  quelli  dell’EU-­‐US  High   Level   Contact   Group   (cfr.   U.S.,   EU   Issue   Statement   on   Common  Data  Privacy  and  Protec/on  Principles).  
  • Spero  di…  
  • GRAZIE!   Avv.  Prof.  Aggr.  Pierluigi  Perri  c/o  Università  degli  Studi  di  Milano   Facoltà  di  Giurisprudenza   Via  Festa  del  Perdono,  7   20122  Milano   pierluigi.perri@unimi.it