2. Cloud Computing
Concetti, mercato e opportunità
Ordine degli
Ingegneri
della
Provincia di
Cagliari
Massimo Farina
Founder del Network
http://www.diricto.it/
3. Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
4. INQUADRAMENTO DEL FENOMENO
(la fattispecie)
PRIVATE CLOUD PUBLIC CLOUDHYBRID CLOUD
IAAS SAAS PAAS
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Solo dopo il corretto inquadramento della fattispecie è
possibile individuare la relativa disciplina
IAAS SAAS PAAS
5. Sistematizzazione delle infrastrutture
Riorganizzazione dei flussi informativi e migliore
fruibilità dei dati
Razionalizzazione dei costi (servizi più moderni, più
efficienti e più funzionali)
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
6. Circolazione ultronea (sproporzionata?) dei dati personali
Esternalizzazione e Delocalizzazione dei sistemi e dei
servizi: perdita del controllo diretto ed esclusivo dei dati
Conservazione dei dati in luoghi geografici differenti
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
7. I PRINCIPALI ASPETTI GIURIDICI DI INTERESSE
TUTELA DEI DATI PERSONALI
CHI TRATTA I DATI?
COME LI TRATTA?
DOVE LI TRATTA?
TUTELA DEI DATI PERSONALI
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
INQUADRAMENTO NEGOZIALE
CHE TIPO DI CONTRATTI SONO?
CHE DISCIPLINA SI APPLICA?
8. Assenza di norme giuridiche
dedicate al cloud computing
la normativa europea sulla
protezione dei dati personali risale al
1995
In arrivo
approvazione del nuovo Regolamento
Europeo sulla protezione dei dati che
sostituirà il Codice della Privacy
ISO 27018 (agosto 2014). Si tratta di un set
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
ISO 27018 (agosto 2014). Si tratta di un set
di regole riferito alla disciplina privacy dettata
dalla Direttiva Europea 95/46.
È realizzato sugli standard ISO 27001 (per la
gestione dei rischi dei sistemi IT) e ISO 27002
(per stabilire controlli di sicurezza e linee guida)
Recente introduzione di norme
tecniche ISO dedicate al cloud
computing
Cloud Computing:
INDICAZIONI PER L’USO
CONSAPEVOLE DEI SERVIZI
Cloud Computing:
IL VADEMECUM DEL GARANTE
16 novembre 2011 24 maggio 2012
9. Il trasferimento dei dati all’interno della UE e dei paesi dello
“Spazio Economico Europeo” è disciplinato dalle medesime regole
previste per il trattamento in ambito nazionale
Nel caso di diverso paese di destinazione??
È necessario verificare che il livello di
protezione dei dati personali sia
adeguato a quello vigente in ambito UE
Nel caso non vi sia giudizio di
adeguatezza, affinché il
trasferimento sia consentito
occorre invece fare riferimento
TRASFERIMENTO IN AMBITO EXTRA UE
DIVIETO GENERALE
DI TRASFERIMENTO
DI DATI ALL’ESTERO
(artt. 42-45 d.lgs. 196/03)
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Attualmente risultano in questa
condizione: Andorra, Argentina,
Australia, Canada, Guernsey, Isola di
Man, Isole Faroe, Israele, Jersey, Nuova
Zelanda, Principato di Monaco, Svizzera,
Uruguay.
Per gli stati uniti si applica l’accordo Safe
Harbor (art.44, co. 1, lett. b, CdP)
adeguato a quello vigente in ambito UE occorre invece fare riferimento
a particolari cautele/strumenti
Ottenere il consenso
dall’interessato,salvo
i casi di esonero,
espressamente
disciplinati
Adottare modelli
contrattuali che vincolano il
soggetto ricevente i dati al
rispetto del livello adeguato di
tutela dei dati personali
10. TITOLARETITOLARE
Fruitore del servizio
RESPONSABILERESPONSABILE
(ESTERNO)(ESTERNO)
Cloud Provider
OSSERVAZIONE: pesso la filiera è più complessa. Tra il fruitore del servizio e il cloud
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
OSSERVAZIONE: pesso la filiera è più complessa. Tra il fruitore del servizio e il cloud
provider ci sono, uno o più, intermediari Come inquadrare tutti i soggetti coinvolti?
LE FIGURE SOGGETTIVE PREVISTE DALLA DISCIPLINA ATTUALMENTE IN VIGORE SONO INADEGUATE
PER FENOMENI COMPLESSI COME IL CLOUD
L’attuale disciplina contempla soltanto il titolare, il contitolare e il responsabile del
trattamento ma questo è insufficiente per il cloud
11. Può capitare che i Cloud Provider (o gli
intermediari) abbiano una forza
(contrattuale/commerciale) che li sottrae al
controllo del fruitore (titolare)
NON SEMPRE IL FRUITORE DEL
SERVIZIO CLOUD HA UN RUOLO
PREMINENTE
CONSIDERANDO 47 DELLA DIRETTIVA 95/46/CE: TITOLARI (controllers) SUPPLEMENTARI PER LA
FORNITURA DEL SERVIZIO DI COMUNICAZIONI ELETTRONICHE
IN TAL CASO ?????
(47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio di
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
(47) considerando che, laddove un messaggio contenente dati personali sia trasmesso tramite un servizio di
telecomunicazioni o di posta elettronica, finalizzato unicamente alla trasmissione di siffatti messaggi, si considera,
di norma, responsabile del trattamento dei dati personali contenuti del messaggio la persona che lo ha emanato e
non la persona che presta il servizio di trasmissione; che tuttavia le persone che prestano tali servizi sono di
norma considerate responsabili del trattamento dei dati personali supplementari necessari per il
funzionamento del servizio
(47) Whereas where a message containing personal data is transmitted by means of a telecommunications or electronic mail service,
the sole purpose of which is the transmission of such messages, the controller in respect of the personal data contained in the
message will normally be considered to be the person from whom the message originates, rather than the person offering the
transmission services; whereas, nevertheless, those offering such services will normally be considered controllers in respect of
the processing of the additional personal data necessary for the operation of the service;
12. (d) 'controller' shall mean the natural or
legal person, public authority, agency or
any other body which alone or jointly with
others determines the purposes and
means of the processing of personal data;
where the purposes and means of
processing are determined by national or
Community laws or regulations, the
d) "responsabile del trattamento": la persona
fisica o giuridica, l'autorità pubblica, il servizio
o qualsiasi altro organismo che, da solo o
insieme ad altri, determina le finalità e gli
strumenti del trattamento di dati personali.
Quando le finalità e i mezzi del trattamento
sono determinati da disposizioni legislative o
regolamentari nazionali o comunitarie, il
responsabile del trattamento o i criteri
Articolo 2 – Definizioni (Direttiva 95/46/CE)
È il Titolare codificatoÈ il Titolare codificato
nella disciplina italiananella disciplina italiana
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Community laws or regulations, the
controller or the specific criteria for his
nomination may be designated by national
or Community law;
(e) 'processor' shall mean a natural or legal
person, public authority, agency or any
other body which processes personal data
on behalf of the controller;
responsabile del trattamento o i criteri
specifici per al sua designazione possono
essere fissati dal diritto nazionale o
comunitario;
e) "incaricato del trattamento": la persona
fisica o giuridica, l'autorità pubblica, il servizio
o qualsiasi altro organismo che elabora dati
personali per conto del responsabile del
trattamento;
13. MISURE
MINIME DI
SICUREZZA
Il Titolare (Fruitore del servizio cloud) dei dati deve
assicurarsi che:
siano adottate misure tecniche e organizzative volte a ridurre
al minimo i rischi di distruzione o perdita anche accidentale
dei dati, di accesso non autorizzato, di trattamento non
consentito o non conforme alle finalità della raccolta, di
modifica dei dati in conseguenza di interventi non autorizzati
o non conformi alle regole.
MISURE
Per i trattamenti eseguiti in cloud, le misure devono essere
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
•Il cliente (cd. interessato) dovrebbe,
ad esempio, accertarsi che i dati siano sempre “disponibili”
(che si possa cioè sempre accedere ai dati) e “riservati” (che
l’accesso cioè sia consentito solo a chi ne ha diritto).
MISURE
IDONEE DI
SICUREZZA
Per i trattamenti eseguiti in cloud, le misure devono essere
adottate dal Cloud Provider (Responsabile esterno del
trattamento – art. 29 D.lgs. 196/03)
14. Art. 13 L'interessato o la persona presso la quale sono raccolti
i dati personali sono previamente informati oralmente o per
iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i
dati;
b) la natura obbligatoria o facoltativa del conferimento dei
dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a
conoscenza in qualità di responsabili o incaricati, e l'ambito
INFORMATIVA
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
conoscenza in qualità di responsabili o incaricati, e l'ambito
di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
Art. 161: La violazione delle disposizioni di cui all'articolo 13 è
punita con la sanzione amministrativa del pagamento di una
somma da seimila euro a trentaseimila euro.
15. Quale schema negoziale adottano le parti del Cloud?
I contratti
più ricorrenti
Contratto di licenza
Software
Contratto di
sviluppo Software
Contratto di fornitura
Hardware
Hosting Housing
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
più ricorrenti sviluppo Software
Contratto di
assistenza e
manutenzione
Hardware
16. I contratti
più ricorrenti
LOCAZIONE
(art. 1571 s.s. c.c.)
APPALTO
(ART. 1655 ss c.c.)
VENDITA
(art. 1470 s.s. c.c.)
Quale schema negoziale adottano le parti del Cloud?
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
più ricorrenti (ART. 1655 ss c.c.)
CONTRATTO
D’OPERA
(ART. 2222 ss c.c.)
(art. 1470 s.s. c.c.)
17. Rievoca il fenomeno della
“esternalizzazione”, ossia quel processo in
virtù del quale alcune attività produttive di
una impresa sono affidate a terzi ed in tal
modo portate al di fuori dell’azienda stessa
(= esternalizzate)
È un modello possibile?
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
(= esternalizzate)
…..perché l’outsourcing non è un modello contrattuale tipico ma formato da una
pluralità di fattispecie eterogenee, tra le quali l’appalto di servizi
Ma questo non risolve il problema
18. Cloud Computing vs Outsourcing
Il contratto di outsourcing realizza
non solamente un’esternalizzazione
delle risorse strutturali ma anche delle
c.d. risorse umane;
Il contratto di Pubblic cloud
computing è connotato da uno
schema di erogazione “uno a molti” ,
dove i contratti sono per lo più
standardizzati e destinate ad
un’ampia platea di soggetti;
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
un’ampia platea di soggetti;
Esternalizzazione delle risorse umane
non è così per il contratto di cloud
computing, che realizza
esclusivamente un’esternalizzazione
delle risorse strutturali
non è così per i contratti di
outsourcing nei quali il rapporto è
fiduciario e “uno a uno”.
Intuitu personae
(rapporto fiduciario)
19. 1. Inquadramento delle singole fattispecie al fine di identificare la disciplina
applicabile;
2. Più discipline concorrenti (necessità di coordinamento)
3. Complessità soggettiva (più soggetti coinvolti su differenti contratti
collegati)
PRINCIPALI PROBELMATICHE
per i contratti del Cloud
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Art. 1322, II comma, c.c. - Autonomia
contrattuale
“[…] Le parti possono anche concludere
contratti che non appartengano ai tipi
aventi una disciplina particolare, purché
siano diretti a realizzare interessi
meritevoli di tutela secondo
l’ordinamento giuridico”
Art. 1372 c.c. - Efficacia del
contratto
“Il contratto ha forza di legge tra le
parti […] ”
20. Che tipo di contratto è? TIPICO O ATIPICO?
Quale disciplina si applica???
È sempre bene che le parti prevedano ogni minimo dettaglio nel contratto
Luogo in cui si trova il cloud providerIndagine
preliminare su
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Luogo in cui si trova l’infrastruttura
Presenza di altri soggetti (intermediari) tra cloud provider e cliente e
luogo di ubicazione degli intermediari e delle loro infrastrutture
Luogo in cui risiedono fisicamente i dati
Metodo di raccolta e trattamento dei dati del clienti e dei suoi
Sorte dei dati dopo la cessazione del rapporto contrattuale
preliminare su
21. Soggetto che tratta i dati?
Luogo di trattamento dei dati?
Soggetto del Cloud e Luogo del Cloud
Con il Cloud Computing non è
sempre chiaro chi sono i soggetti
che trattano i dati e dove.
Tuttavia, tramite il contratto è
possibile delimitare il perimetro
con apposite clausole contrattuali
CORRETTIVI
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
divieto esplicito di subappato / subfornitura / subcontratto; (art.1656 c.c)
divieto esplicito di cessione
indicazione geografica dei server
legge applicabile, foro competente
CORRETTIVI
22. Sicurezza Informatica
Anche nel cloud computing è necessario
assicurare l'integrità, la riservatezza e la
disponibilità del dato trattato
CORRETTIVI
Soggetto del Cloud e Luogo del Cloud
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Disciplinare l'adozione di misure di sicurezze idonee mediante allegati,
prevedendo l'utilizzo di canali crittografati;
Risoluzione per inadempimento in caso di mancato rispetto di standard di
sicurezza;
Eventuali penali (art. 1382 c.c.).
23. Interoperabilità;
Cancellazione/distruzione dei dati;
Restituzione su determinato supporto/formato;
VINCOLI SOGGETTIVI (Lock-in)
E
CLAUSOLE WAY-OUT
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Clausole Way-Out
CORRETTIVO
24. Divieto di cessione
Localizzazione dei Server
Divieto di subappalto
Legge applicabile
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Legge applicabile
Foro Competente
Misure di sicurezza (risoluzione e penali per il mancato
adeguamento)
Lock-in e way out (garanzia d’uscita e di distruzione del dato)
25. “Il Fornitore dichiara espressamente di trattare i dati personali di soggetti terzi che le verranno
comunicati nell'adempimento del Contratto come previsto dalla attuale normativa in materia di
Privacy.
Il Fornitore dichiara inoltre di adottare misure di sicurezza idonee in relazione alle
conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita,
anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o
non conforme alle finalità della raccolta.
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
Il Fornitore, in qualsivoglia momento, farà sottoporre gli elaboratori utilizzati per il
trattamento dei dati personali, su richiesta del Titolare, a verifiche da parte di quest'ultima e/o
da soggetti dalla stessa delegati e/o di un organismo ispettivo composto da soggetti
indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di
riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo,
al fine di verificare l'effettiva l'adozione delle misure di sicurezza di cui all'articolo precedente”.
26. Aspetti principali dello standard ISO 27018 (1/2)
• l’interessato deve avere la possibilità di esercitare i propri diritti nei confronti del Titolare,
anche se i suoi dati sono trattati da un responsabile esterno (cloud provider) e in una
nuvola informatica. Lo standard obbliga il fornitore ad offrire al Titolare del trattamento,
suo cliente, dei tools appropriati che assicurino l’esercizio dei diritti da parte dei soggetti cui i
dati si riferiscono.
• il trattamento è esattamente rispondente a quanto indicato nella policy (informativa) resa
nota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso un
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
nota all’acquirente dei servizi fin dall’inizio, con esplicita previsione che, nel caso un
mutamento di mezzi si rendesse necessario per ragioni tecniche, il cliente ne sia
prontamente informato e abbia la facoltà di opporsi oppure uscire dal contratto.
• i dati personali in cloud non sono trattati per ragioni di marketing diretto o pubblicitarie, a
meno che non vi sia l’esplicito consenso dell’interessato, ma in ogni caso ciò non può mai
costituire una precondizione posta dal fornitore al cliente per la fornitura del servizio.
27. Aspetti principali dello standard ISO 27018
• i clienti hanno il diritto, fin da subito di conoscere i nomi degli eventuali sub-processors
(intermediari del cloud provider), e il luogo di stabilimento degli stessi, con diritto di opporsi
ad eventuali modifiche nella catena dei subfornitori, ovvero dei paesi di loro stabilimento.
Può anche essere prevista l’opzione di risolvere il contratto a fronte di tali mutamenti.
• i clienti hanno diritto di ricevere notizia tempestiva delle violazioni di dati personali (data
breaches), al fine di poter a loro volta darne notizia alle autorità di controllo (e agli
interessati) nei tempi previsti dalla legge.
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
• siano disciplinate le modalità di restituzione dei dati personali al cliente una volta
terminato il contratto (cd. transfer back).
• i suoi servizi siano soggetti a verifiche periodiche di conformità agli standard di sicurezza, di
cui sia fornita evidenza ai clienti.
• tutto il suo personale addetto al trattamento di dati personali sia vincolato da patti di
riservatezza (non disclosure agreements) e riceva adeguata formazione.
28. Grazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzioneGrazie per l’attenzione
Massimo Farina
http://www.massimofarina.it
http://www.diricto.it/
http://ict4forensics.diee.unica.it/
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
MUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWAREMUOVERSI NELLA JUNGLA DEI CONTRATTI DEL SOFTWARE
di Massimo Farina
http://www.diricto.it/
http://ict4forensics.diee.unica.it/
massimo@massimofarina.it
29. Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati dall’autore o da chi
ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in
Licenza
Aspetti giuridici nel settore pubblico e privato.
Impatto normativo, trattamento dei dati personali e contrattualistica
MASSIMO FARINA
http://www.massimofarina.it/ - massimo@massimofarina.it
ti ha dato l’opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in
cui tu usi l’opera.
Non commerciale. Non puoi usare quest’opera per fini commerciali.
Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per crearne
un’altra, puoi distribuire l’opera risultante solo con una licenza identica o equivalente a
questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra