Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
In questo privacy meet-up dello IAPP - International Association of Privacy Professionals, sono state analizzate le recenti decisioni del Garante privacy in materia di telemarketing e le linee guida dello European Data Protection Board sul trattamento dei dati personali sui social media
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...Giulio Coraggio
La sentenza della Corte di Giustizia dell'UE relativa alla controversi c.d. Schrems II sul trasferimento dei dati al di fuori dello Spazio economico europeo obbliga le aziende a valutare l'adeguatezza dei trasferimenti. In questo webinar abbiamo presentato la metodologia sviluppata da DLA Piper di valutazione del trasferimento dei dati verso gli Stati Uniti d'America e altri paesi che non presentano un livello adeguato di tutela dei dati personali.
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Come prepararsi alle ispezioni privacy del Garante ai sensi del GDPR?Giulio Coraggio
Come preparare l'azienda ad un'ispezione da parte del Garante per il trattamento dei dati personali? Quali procedure adottare, documenti privacy preparare e come istruire i propri dipendenti al fine di minimizzare il rischio di sanzioni ai sensi del GDPR
Da recenti studi risulterebbe che ogni minuto circa 5.518 dati vengano sottratti alle aziende attraverso azioni di Data Breach. I nuovi e crescenti rischi informatici, insieme alla recente disposizione legislativa in materia di tutela e protezione dei dati (GDPR), obbligano le aziende ad adottare strumenti di analisi del rischio. Forniremo casi concreti e reali relativi a metodologie e tecniche di Cyber Attack. La violazione di un sito, da un punto di vista giuridico (e organizzativo), richiede una pronta, rapida e consapevole reazione, finalizzata da parte del Titolare nel cercare, una volta individuata la causa, di eliminare gli effetti, limitare i danni e ripristinare, per quanto possibile, la situazione antecedente. Inoltre, la violazione implica l'obbligo (sanzionato) di informare il Garante di quanto è avvenuto (senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza) e, nei casi più gravi, tutte le persone a cui si riferiscono i dati oggetto della violazione. Per ridurre il rischio di una violazione e consentire di gestire al meglio l'eventuale reazione, è necessario aver implementato un Sistema di Gestione Privacy coerente e costantemente aggiornato e monitorato. Verranno indicati e forniti gli strumenti e le metodologie per ridurre dell’80% il rischio di Data Breach.
https://www.swascan.com/it/rischio-data-breach/
Slide presentate nel corso del webinar SUPSI "Il ruolo dei processi nel GDPR: come affrontare senza creare sovrastrutture il nuovo regolamento europeo" del 9 gennaio 2019.
Nel webinar, abbiamo affrontato il tema con un approccio pratico, focalizzato su un approccio per processi orientato alla creazione di un sistema di gestione, mutuato dai modelli ISO (qualità, ambiente, sicurezza informatica)
Trasferimento dei dati extra SEE dopo Schrems II e le nuove SCCGiulio Coraggio
In questa presentazione abbiamo analizzato l'impatto delle nuove clausole contrattuali standard (SCCs) sui trasferimenti dei dati al di fuori dello SEE, delle raccomandazioni del EDPB sui trasferimenti dei dati e di come eseguire un transfer impact assessment alla luce della sentenza Schrems II grazie ai professionisti esperti di privacy dello studio legale DLA Piper
Marketing, CRM e Social Media dopo le decisioni del Garante privacy e dell'EDPBGiulio Coraggio
In questo privacy meet-up dello IAPP - International Association of Privacy Professionals, sono state analizzate le recenti decisioni del Garante privacy in materia di telemarketing e le linee guida dello European Data Protection Board sul trattamento dei dati personali sui social media
Come valutare l'adeguatezza dei trasferimenti di dati extra SEE dopo la sente...Giulio Coraggio
La sentenza della Corte di Giustizia dell'UE relativa alla controversi c.d. Schrems II sul trasferimento dei dati al di fuori dello Spazio economico europeo obbliga le aziende a valutare l'adeguatezza dei trasferimenti. In questo webinar abbiamo presentato la metodologia sviluppata da DLA Piper di valutazione del trasferimento dei dati verso gli Stati Uniti d'America e altri paesi che non presentano un livello adeguato di tutela dei dati personali.
Come gestire un data breach da attacco ransomwareGiulio Coraggio
In questo webinar, gli Avv.ti Giulio Coraggio, Cristina Criscuoli e Giulia Zappaterra dello studio legale DLA Piper hanno discusso di come gestire un attacco ransomware e di quali possono essere le conseguenze di una gestione inadeguata di simili incidenti.
Il webinar si è concentrato inoltre sull’importanza di adottare una politica efficace in materia di sicurezza informatica e sulle possibili misure da implementare al fine di prevenire il verificarsi di simili attacchi e mitigarne sensibilmente gli effetti ove dovessero avverarsi.
Il regolamento europeo sui dati personali (GDPR 2016/679) e l'impatto delle nuove regole sulle tecnologie emergenti. Il caso della Blochchain tra criticità ed opportunità.
Identità e biometria, firme e sigilli, blockchain e trattamento del dato sono state le tre macrotematiche discusse dagli esperti che ne hanno messo in rilievo opportunità e pericoli oggettivi.
Identità e biometria, firme e sigilli, blockchain e trattamento del dato sono state le tre macrotematiche discusse dagli esperti che ne hanno messo in rilievo opportunità e pericoli oggettivi.
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
Con l’inizio della fase 2 dell’emergenza COVID-19, l’attività nelle aziende italiane sta riprendendo e le statistiche sul numero di contagi stanno fornendo dati confortanti. Le imprese, tuttavia, avvertono l’esigenza di ridurre al minimo i rischi poiché un mancato controllo potrebbe ulteriormente danneggiare una situazione economica già difficile dopo gli ultimi mesi di lockdown.
Il protocollo condiviso del 24 aprile 2020 ha dato delle indicazioni sulle misure che possono essere adottate e il Garante per la protezione dei dati personali ha anche fornito indicazioni con le sue FAQ. Non ci sono state però indicazioni chiare riguardo a quali test, informazioni e tecnologie possano essere usate per limitare il rischio di contagio.
Allo stesso tempo, la presenza di un accordo sindacale non può essere di per se sufficiente per consentire misure che potrebbero essere in contrasto con disposizioni di legge. Alcune aziende stanno analizzando il problema da un punto di vista unicamente giuslavoristico, mentre altre solo in relazione alle implicazioni relative alla normativa privacy. Questi approcci purtroppo a volte non consentono un’analisi completa delle problematiche, lasciando aperti possibili “gap” che potrebbero essere oggetto di contestazione.
In questa presentazione, DLA Piper si propone di accompagnare le aziende verso la ripresa, gli esperti di diritto del lavoro e di privacy e nuove tecnologie dello studio cercheranno di colmare questo “gap” analizzando – con un approccio in stile “storytelling” – i vari scenari che si possono prospettare, identificando le relative problematiche e suggerendo le azioni da adottare per minimizzare il rischio di contestazione.
Seminario organizzato dal Centro Studi Informatica Giuridica di Milano nell'ambito di SMAU Milano 2012 ("Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali")
Testimonianze aziendali: i rischi da evitare (2)Fondazione CUOA
Testimonianza aziendale di Gianluigi Danieli, Sales Lean Master, EMEA presso Xylem inc, al Convegno del Forum ICT "Business Management e ICT Manager: un dialogo possibile?" - 26 settembre al CUOA
Testimonianze aziendali: i rischi da evitare (1)Fondazione CUOA
Testimonianza aziendale di Antonella Barbieri, CFO di Ylda Group SpA, Partner di Percinque srl, società di temporary management, al Convegno del Forum ICT "Business Management e ICT Manager: un dialogo possibile?" - 26 settembre al CUOA
Social Enterprise - Nuove tecnologie e Modelli di fruizione: Flessibilità e ...Fondazione CUOA
Intervento di Tiziana Rapallini (CEO 4Cust Reply) al Workshop: Crescita e nuove sfide di mercato: 'Social Enterprise' come modello di successo per l'impresa competitiva del 18 ottobre 2012
Intervento di Cecilia Rossignoli, Professore di Organizzazione Aziendale, Università degli Studi di Verona e Referente Scientifico Forum ICT, al Convegno del Forum ICT "Business Management e ICT Manager: un dialogo possibile?" - 26 settembre al CUO
Consumi alimentari e relazioni di filiera: il contributo dei fornitori locali...Fondazione CUOA
Introduzione di Corrado Giacomini, Responsabile scientifico Corso Executive in Management aziende agroalimentari
all'evento Consumi alimentari e relazioni di filiera: il
contributo dei fornitori locali al successo della GDO.
In collaborazione con Largo Consumo.
13 novembre 2014, Villa Valmarana Morosini, Altavilla Vicentina (VI).
Il regolamento europeo sui dati personali (GDPR 2016/679) e l'impatto delle nuove regole sulle tecnologie emergenti. Il caso della Blochchain tra criticità ed opportunità.
Identità e biometria, firme e sigilli, blockchain e trattamento del dato sono state le tre macrotematiche discusse dagli esperti che ne hanno messo in rilievo opportunità e pericoli oggettivi.
Identità e biometria, firme e sigilli, blockchain e trattamento del dato sono state le tre macrotematiche discusse dagli esperti che ne hanno messo in rilievo opportunità e pericoli oggettivi.
I controlli sui dipendenti durante l'emergenza covid-19 Giulio Coraggio
Con l’inizio della fase 2 dell’emergenza COVID-19, l’attività nelle aziende italiane sta riprendendo e le statistiche sul numero di contagi stanno fornendo dati confortanti. Le imprese, tuttavia, avvertono l’esigenza di ridurre al minimo i rischi poiché un mancato controllo potrebbe ulteriormente danneggiare una situazione economica già difficile dopo gli ultimi mesi di lockdown.
Il protocollo condiviso del 24 aprile 2020 ha dato delle indicazioni sulle misure che possono essere adottate e il Garante per la protezione dei dati personali ha anche fornito indicazioni con le sue FAQ. Non ci sono state però indicazioni chiare riguardo a quali test, informazioni e tecnologie possano essere usate per limitare il rischio di contagio.
Allo stesso tempo, la presenza di un accordo sindacale non può essere di per se sufficiente per consentire misure che potrebbero essere in contrasto con disposizioni di legge. Alcune aziende stanno analizzando il problema da un punto di vista unicamente giuslavoristico, mentre altre solo in relazione alle implicazioni relative alla normativa privacy. Questi approcci purtroppo a volte non consentono un’analisi completa delle problematiche, lasciando aperti possibili “gap” che potrebbero essere oggetto di contestazione.
In questa presentazione, DLA Piper si propone di accompagnare le aziende verso la ripresa, gli esperti di diritto del lavoro e di privacy e nuove tecnologie dello studio cercheranno di colmare questo “gap” analizzando – con un approccio in stile “storytelling” – i vari scenari che si possono prospettare, identificando le relative problematiche e suggerendo le azioni da adottare per minimizzare il rischio di contestazione.
Seminario organizzato dal Centro Studi Informatica Giuridica di Milano nell'ambito di SMAU Milano 2012 ("Norma e Tecnica nella gestione e valorizzazione delle informazioni aziendali")
Testimonianze aziendali: i rischi da evitare (2)Fondazione CUOA
Testimonianza aziendale di Gianluigi Danieli, Sales Lean Master, EMEA presso Xylem inc, al Convegno del Forum ICT "Business Management e ICT Manager: un dialogo possibile?" - 26 settembre al CUOA
Testimonianze aziendali: i rischi da evitare (1)Fondazione CUOA
Testimonianza aziendale di Antonella Barbieri, CFO di Ylda Group SpA, Partner di Percinque srl, società di temporary management, al Convegno del Forum ICT "Business Management e ICT Manager: un dialogo possibile?" - 26 settembre al CUOA
Social Enterprise - Nuove tecnologie e Modelli di fruizione: Flessibilità e ...Fondazione CUOA
Intervento di Tiziana Rapallini (CEO 4Cust Reply) al Workshop: Crescita e nuove sfide di mercato: 'Social Enterprise' come modello di successo per l'impresa competitiva del 18 ottobre 2012
Intervento di Cecilia Rossignoli, Professore di Organizzazione Aziendale, Università degli Studi di Verona e Referente Scientifico Forum ICT, al Convegno del Forum ICT "Business Management e ICT Manager: un dialogo possibile?" - 26 settembre al CUO
Consumi alimentari e relazioni di filiera: il contributo dei fornitori locali...Fondazione CUOA
Introduzione di Corrado Giacomini, Responsabile scientifico Corso Executive in Management aziende agroalimentari
all'evento Consumi alimentari e relazioni di filiera: il
contributo dei fornitori locali al successo della GDO.
In collaborazione con Largo Consumo.
13 novembre 2014, Villa Valmarana Morosini, Altavilla Vicentina (VI).
Report di analisi dei risultati dell'indagine "Le aziende e la crisi: come gestirla, come superarla" svolta dall'Osservatorio Legislazione e Mercati di Fondazione CUOA
La Governance In Azienda - Indagine Panel Osservatorio Legislazione e MercatiFondazione CUOA
La Governance in Azienda: la percezione degli attori del mercato.
Il tema della governance appare di estrema attualità e si presta ad interessanti analisi e valutazioni, con molteplici implicazioni e conseguenze: normative, organizzative, gestionali, strategiche, ecc…
L’indagine intende rilevare le percezioni delle imprese in merito al grado di consapevolezza della governance, alle sue possibili implicazioni e al contributo che potrebbe offrire per una maggiore efficienza nella gestione aziendale.
Identikit del Credit Manager: ruolo, competenze, relazioniFondazione CUOA
Cos’è il Credit Management?
Qual è il ruolo del Credit Manager all’interno dell’azienda?
Quali devono essere le competenze specifiche di un Credit Manager?
Come si interfaccia il Credit Manager all’interno dell’azienda?
L'identikit del Credit Manager secondo Fabio Galli, Credit Manager Gruppo Manni HP S.p.A., Verona
I 5 benefici di un MBA - Master of Business AdministrationFondazione CUOA
Ma frequentare un MBA serve davvero? Sulla base delle esperienze dei partecipanti e di ricerche scientifiche sul tema, si può affermare che frequentare un MBA determina un rilevante miglioramento sulle competenze possedute dai partecipanti e sulla loro carriera, e si riscontra un legame significativo fra lo sviluppo competenze trasversali (i.e. soft skills) e l’efficacia professionale degli allievi.
I 5 benefici di un MBA sintetizzati da Andrea Vinelli, Direttore scientifico Programmi MBA Fondazione CUOA
Sandra Puicher Soravia, Project Leader CUOA Executive Education
CUOA CLUB Finance: Risultati survey su accesso al credito e private equityFondazione CUOA
La survey, promossa dal CLUB Finance della Fondazione CUOA, ha voluto rilevare il punto di vista delle imprese rispetto sia all’accesso al credito presso il sistema bancario, sia a canali e strumenti alternativi di finanziamento, con particolare riferimento all’opzione del private equity.
Private Equity e PMI: opportunità o minaccia?Fondazione CUOA
Il funzionamento, i vantaggi e le opportunità del Private Equity per supportare i progetti di sviluppo delle imprese.
A cura di
Francesco Gatto, Direttore Scientifico Executive Master in Finance e Responsabile CUOA Finance
Valeria Lattuada, Consulente esperta di Private Equity e consigliere di amministrazione di diverse società
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudLuca Moroni ✔✔
Presentazione 10 Novembre 2017 all'interno del seminario Contratti Cloud, E-Commerce, CRM: novità legali, profili di cyber-security e regimi fiscali presso lo studio Adacta Vicenza
Daniele Vecchi, Gianni Origoni Grippo Cappelli & Partners, al Meeting Nazionale ACEF 2015
VEDI TUTTI GLI INTERVENTI SU http://www.economiaefinanza.org/atti
La possibilità di gestire, monitorare e tracciare una gran quantità di attività simultaneamente senza vincoli di spazio o di tempo e soprattutto senza dispersione di risorse organizzative ed economiche rappresenta una grande opportunità per le aziende, consentendo una governance ottimizzata ed integrata dei processi interni, a vantaggio del business management e della produttività interna.
Approcciarsi alla “nuvola” sotto il profilo giuridico-legale, significa prima di tutto dover tutelare il patrimonio dati aziendali – principale ricchezza dell’impresa. Questo comporta la necessità di valutare una serie di aspetti organizzativi, a partire da quelli connessi all’individuazione dei contenuti del contratto di erogazione del servizio e dei rapporti con il fornitori, alla gestione degli aspetti privacy previsti dalla normativa privacy, fino a quelli di tutela e di governance.
Attraverso un approccio pratico e diretto, l’intervento mira a delineare i principali aspetti da considerare nell’ottica di una compliance normativa che assicuri all’impresa la conformità dei processi interni, l’integrità delle informazioni gestite e un adeguato controllo dei rischi.
SoftInstigate - Modelli di ingaggio nello sviluppo softwareSoftInstigate
Questa presentazione illustra tre principali modelli d'ingaggio nei contratti di sviluppo software: a corpo, incrementale (o Agile) e multiprogetto.
La parola contratto pone automaticamente le parti sulla difensiva.
Un’offerta commerciale è sufficiente a concludere un accordo. Ma... È chiaro chi fa cosa e come?
È chiara la modalità operativa? (Ad es: come vengono avviate le attività, come vengono gestite le modifiche delle richieste cd. Changes request ecc..
È prevista una modalità oggettiva di valutazione/collaudo del Sw ?
È stabilita una modalità di consegna del Sw?
Il fornitore presta una garanzia?
Chi è il proprietario del SW alla conclusione del contratto ?
Quindi….
Il contratto deve essere lo strumento per raggiungere gli obiettivi desiderati, tutelando entrambe le parti.
Jobs Act: cosa cambia per davvero nella gestione del lavoro? Punto per punto,...Fondazione CUOA
Le slide dell'intervento di Simone Baghin, Docente Faculty MBA Imprenditori CUOA Business School e Consulente del lavoro al seminario "Jobs Act: cosa cambia per davvero nella gestione del lavoro?"
10 dicembre 2014, Fondazione CUOA
I consumi alimentari in Italia e all’estero. Tendenze evolutive, criticità ed...Fondazione CUOA
Intervento di Paolo Bono, Economista NOMISMA
all'evento Consumi alimentari e relazioni di filiera: il
contributo dei fornitori locali al successo della GDO.
In collaborazione con Largo Consumo.
13 novembre 2014, Villa Valmarana Morosini, Altavilla Vicentina (VI).
Il progetto ha riguardato una piccola azienda vicentina ("one man company") con processi artigianali di produzione e di personalizzazione di caschi jet "vintage" da moto.
Il nostro lavoro ha avuto l'obiettivo di strutturare un piano di business a 4 anni per indirizzare lo sviluppo organizzativo, produttivo, commerciale dell'azienda. Nel corso dell'analisi abbiamo evidenziato le criticità esistenti, indirizzando/proponendo nuove soluzioni, individuando i trend che consentiranno all'azienda di crescere e di sfruttare l'attuale vantaggio competitivo nei prossimi anni.
Vinitaly 2014 - La sostenibilità ambientale della filiera vinicola Intervento...
Cristina Franchi, Alberto Rigoni - Orientarsi tra i contratti cloud
1. Orientarsi tra i contratti cloud Avv. Cristina Franchi
cristina.franchi@mognonpartners.com
Avv. Alberto Rigoni
alberto.rigoni@mognonpartners.com
23 maggio 2011
2. I contratti dei fornitori
• Contratti per adesione
– personalizzazione tramite scelta dei servizi
• Matrice americana
– limitazioni di responsabilità e garanzie
– legge applicabile
• Contratti con i rivenditori vs clienti finali
– responsabilità del rivenditore in assenza di garanzie “back to back”
• Contratti “B2B” e accordi con i consumatori
avv. Cristina Franchi - avv. Alberto Rigoni 2
3. I problemi chiave
• Sicurezza
• Privacy
• SLA e continuità di servizio
• Reversibilità e fine del contratto
avv. Cristina Franchi - avv. Alberto Rigoni 3
4. La struttura degli accordi cloud tra il grande
operatore e il cliente
• Ordini
• Contratti
• White Papers
• Policies
• Policies e White Papers possono fare parte integrante dei
contratti (ma non sempre!)
• Gerarchia tra le fonti contrattuali
• Chi è il cliente?
– rivenditore
– impresa
– consumatore
avv. Cristina Franchi - avv. Alberto Rigoni 4
5. Informazioni sugli esempi utilizzati
• Gli esempi utilizzati sono tutti tratti da materiale
pubblicamente disponibile in Internet, ma:
le clausole sono state sintetizzate ed estrapolate dal
contesto ai fini di presentazione; per valutarne con
precisione la portata bisogna leggere tutto il
contratto a cui si riferiscono
potrebbero non essere corrispondenti alle versioni
attualmente disponibili in rete
avv. Cristina Franchi - avv. Alberto Rigoni 5
6. La struttura degli accordi: il caso più
frequente
Le disposizioni più specifiche prevalgono su
quelle più generali
– AWS Service Terms prevalgono su AWS Customer
Agreement in caso di conflitto
– i Termini Ulteriori prevalgono su quelli Universali
nei Termini di Servizio Google
– il Contratto Online Google Apps prevede che gli
ordini prevalgano sul contratto e condizioni
reperibili negli URL
avv. Cristina Franchi - avv. Alberto Rigoni 6
7. La struttura degli accordi: altre soluzioni
• Il Contratto Online Google Apps for business
prevede anche che il contratto cartaceo prevalga
su quello online
• Contratto Google Apps: le condizioni di contratto
e qualsiasi URL citato prevalgono su ogni altro
documento inclusi gli ordini di acquisto
• Microsoft Azure Online Subscription: convivenza
di più contratti che compongono l’accordo senza
una gerarchia definita
avv. Cristina Franchi - avv. Alberto Rigoni 7
8. Sicurezza
• Conservazione e integrità dei dati
• Accessibilità (continuità di servizio)
• Condivisione degli spazi di archiviazione
• Protezione dalle intrusioni esterne
• Protezione dalle intrusioni “interne”
• Cancellazione dei dati
• Condivisione delle responsabilità tra fornitore
e cliente (back-up)
8
9. Security Policies: Google
Google Security White Paper
• Archiviazione con modalità distribuita
• Impegno alla sicurezza tramite 10 componenti
strategiche tra le quali:
– classificazione e archiviazione dei dati per data
chunks
– team dedicato per la sicurezza organizzativa
– valutazione di richieste di disclosure
9
10. Security Policies: Amazon
Web Service Risk and compliance; Security and
compliance center
• Enfasi su certificazioni ISO e audit interni e
dichiarata volontà di continuo aggiornamento
• I controlli forniscono “ragionevole assicurazione”
su diversi aspetti tra i quali:
– esistenza di procedure per minimizzare gli effetti dei
malfunzionamenti
– integrità dei dati
– accesso logico e fisico limitati nei casi di condivisione
10
11. Security Policies: Microsoft Azure
Panoramica tecnica delle funzionalità di protezione
della piattaforma Windows Azure
• Piattaforma progettata con più livelli di difesa per
contenere il rischio in caso di guasto di un
meccanismo di protezione
– router di filtraggio
– firewall
– protezione crittografica dei messaggi
– gestione delle patch di protezione del software
– monitoraggio
– segmentazione della rete
11
12. Responsabilità: impegni contrattuali
• Generalmente esclusi i danni indiretti e la perdita di profitti
o di danno all’immagine
• Google Apps: in nessun caso la responsabilità supererà i
500$
• Online Google Apps for business: importo massimo pari a
quello pagato dal Cliente nei 12 mesi precedenti all’evento
• AWS Customer Agreement: responsabilità del gruppo
Amazon limitata all’importo pagato dal Cliente negli ultimi
12 mesi
• Microsoft Online Subscription: compatibilmente con la
legge applicabile, responsabilità limitata all’importo pagato
durante il periodo della licenza o negli ultimi 12 mesi prima
della proposizione del reclamo
12
13. Co-responsabilità del cliente
• Il cliente è generalmente responsabile per:
– riservatezza della password e dell’account
– la designazione dei dipendenti autorizzati all’accesso e
i limiti dell’autorizzazione
– sicurezza, protezione e backup dei dati
– eventuale uso della crittografia
• Anche il cliente condivide la responsabilità di
cercare di minimizzare le probabilità del danno e i
suoi effetti
• Assicurazione?
13
14. Privacy
• Le responsabilità del titolare dei dati nei
confronti degli interessati
• Dati gestiti da terzi o trasferiti all’estero
• Safe Harbour e Model Clauses
• Cancellazione dei dati a fine contratto
avv. Cristina Franchi - avv. Alberto Rigoni 14
15. La nuova proposta di Regolamento UE
• Tendenza all’uniformità nell’UE
• Notifica a una sola autorità nazionale
• Maggiore responsabilità e obbligo di report per
chi tratta i dati
• Diritto alla portabilità (facilitata) dei dati
• Il responsabile deve notificare i casi di violazione
all’autorità entro 24 ore
• Sanzioni pecuniarie fino a 2.000.000 di Euro o
pari al 2 % del fatturato mondiale
avv. Cristina Franchi - avv. Alberto Rigoni 15
16. Privacy: le diverse politiche adottate
• Google:
– trasparenza nei confronti dei clienti
– server in cui risiedono i dati non localizzabili
– cookies disattivabili
• Amazon:
– Safe Harbour
– i clienti scelgono l’area geografia in cui risiederanno i dati (US East, US
West, EU, Asia Pacific Singapore/Tokyo)
– cookies disattivabili
• Microsoft:
– Safe Harbour
– informazioni archiviate in USA o in qualsiasi altro paese dove sia
presente Microsoft o i suoi providers
– potrà usare cookies
avv. Cristina Franchi - avv. Alberto Rigoni 16
17. IPRs dei fornitori
• Google:
– titolare di tutti i diritti sui servizi
– il cliente non può usare i segni distintivi Google salvo
specifico accordo
• Amazon:
– titolare di tutti i diritti sui servizi
– il cliente può usare i segni distintivi Amazon secondo
le istruzioni ricevute e in relazione all’uso dei servizi
• Microsoft:
– i prodotti Microsoft sono protetti da copyright
avv. Cristina Franchi - avv. Alberto Rigoni 17
18. IPRs dei clienti
• Google:
– non ha alcun diritto di proprietà intellettuale sul contenuto
fatta salva la licenza funzionale alla sua distribuzione
(Termini di Servizi di Google)
• Amazon:
– non ha diritti di proprietà sul contenuto del cliente ma può
utilizzarlo per fornire i propri servizi al cliente stesso e agli
utenti finali (AWS Customer Agreement)
• Microsoft:
– non acquista diritti sui dati del cliente che non siano i diritti
che il licenziatario concede a Microsoft per il servizio
online applicabile (Microsoft Contratto online subscription)
avv. Cristina Franchi - avv. Alberto Rigoni 18
19. SLA (Service Level Agreement)
• Google Apps sarà disponibile almeno il 99.90 % del tempo
nell’arco di un mese.
• AWS farà ogni ragionevole sforzo per mantenere il servizio
Amazon EC2 disponibile con una disponibilità minima del
99.95% del tempo durante l’anno.
• Microsoft Access Control promette una disponibilità del
servizio dal 99 al 99,9% su base mensile.
In tutti i casi se il livello di servizio non è mantenuto, il Cliente
ha diritto ad un credito a fronte di futuri pagamenti secondo
le previsioni contrattuali
avv. Cristina Franchi - avv. Alberto Rigoni 19
20. Continuità e fine del servizio
• La continuità tecnica con lo stesso provider è
sostanzialmente un problema di sicurezza (Security
Policy, White Paper)
• Il cliente può essere contrattualmente responsabile per
le misure aggiuntive di sicurezza e backup
• Il fornitore può impegnarsi a consentire/assistere il
cliente a riappropriarsi dei dati al momento della
risoluzione del contratto
• Il fornitore può normalmente terminare il contratto a
sua discrezione (con o senza preavviso)
• Il cliente può terminare il contratto in qualsiasi
momento
avv. Cristina Franchi - avv. Alberto Rigoni 20
21. Legge applicabile e giurisdizione
• La legge applicabile può comportare una
sostanziale differenza nella portata della clausole
contrattuali
• Limitazione di responsabilità: US vs UE
• Privacy: esempio di applicabilità extraterritoriale
• Il luogo e le modalità di risoluzione delle
controversie implicano costi e oneri molto diversi
e possono tradursi in un autentico impedimento
a far valere i propri diritti
avv. Cristina Franchi - avv. Alberto Rigoni 21
22. Conclusioni
• I fornitori di servizi cloud hanno cercato di dare delle risposte
documentali ai problemi dei Servizi
• Gli accordi sono generalmente composti da una pluralità di
documenti e vanno interpretati nel loro insieme
• I grandi operatori offrono impegni a prendere misure
specifiche (sicurezza) e a rispettare gli SLA piuttosto che
garanzie di risultato
• Il Cliente deve farsi carico della comprensione delle condizioni
contrattuali e dell’adozione delle misure supplementari
necessarie o opportune
• La privacy è in evoluzione, deve essere gestita
• La legge applicabile è determinante per far valere i propri
diritti
avv. Cristina Franchi - avv. Alberto Rigoni 22