Democrazia: dal passato, il futuro - di Giacomo Lisi
Uso del cloud e tutela della privacy
1. L’uso del Cloude la tutela della Privacy
Relatore: Avv. Graziano Garrisigrazianogarrisi@studiolegalelisi.it
Digital&LawDepartment -copyright 2014
2. Chi sono
•Avvocato del Foro di Lecce
•Componente del Direttivo di ANORC–www.anorc.it(Associazione Nazionale Operatori e Responsabili della Conservazione sostitutiva)
•Vice-coordinatore nazionale di ABIRT (AdvisoryBoard Italiano Responsabili Trattamento dati personali)
•Docente di ABI (Associazione Bancaria Italiana)
•Membro del Digital&LawDepartment dello Studio Legale Lisi (www.studiolegalelisi.it)
•Consulente privacy ed esperto in diritto delle nuove tecnologie;
•Iscritto al Registro «ANORC Professioni», livello professionale expert;
•Fa parte, in qualità di esperto, della Commissione UNINFO SC 27e E-Business.
Digital&Law Department -copyright 2014
5. UBICAZIONE DEI DATI
Conosciamoilluogodoveèallocatolospaziodimemoria?
Questelocalitàgodonodiunadeguatolivellodituteladeidatipersonali?
PRIVACY
•Abbiamolagaranziachelacifraturasiadisponibileatuttiilivelliechetalecrittografiasiafornitadaespertidelramo?
•SipossonoimpiegareisistemiclouddelocalizzandoidatidegliutentiinsistemiCRMgestitiinpaesiextraUEperprofilareleattivitàdeiclienti?
Digital&Law Department -copyright 2014
6. RESPONSABILITÀ IN CASO DI ACCESSI ABUSIVI E DISPERSIONE DEI DATI
•Chièilsoggettoresponsabileincasodiperditadeidati?
•Cosaaccadeaidatiqualorailcloudproviderinterrompalafornituradelservizio?
Ladefinizionedellaresponsabilitàgiuridicaedeipoteridiaccessoecontrollotralepartièmoltoimportante:sonopotericheunTitolaredevepoteresercitarequaleconseguenzadellasuaposizionedivertice
Digital&Law Department -copyright 2014
7. L’ASSENZA DI UNA DISCIPLINA UNIFORME PER TUTTI I CONTRATTI INFORMATICI DEL MONDO IT
CIÓ VALE ANCHE PER I CONTRATTI CLOUD
Digital&Law Department -copyright 2014
11. Parere del Garante su “Linee-guida per il Disaster Recovery delle pubbliche amministrazioni”
Servizi cloud
ilfornitoredeveindicareconappositadichiarazioneresainsedecontrattuale,l'esattalocalizzazione,oleesattelocalizzazionideidatigestiti:
ciòserveacapiresequestaparticolaremodalitàdirealizzazionedelserviziorispettieffettivamentelanormativaprivacyel’articolo45delCodice,chevietailtrasferimento“anchetemporaneofuoridelterritoriodelloStato,conqualsiasiformaomezzo,didatipersonalioggettoditrattamento,direttoversounPaesenonappartenenteall'Unioneeuropea”,qualora“l'ordinamentodelPaesedidestinazioneoditransitodeidatinonassicuraunlivellodituteladellepersoneadeguato”
osservareilprovvedimento“Misureeaccorgimentiprescrittiaititolarideitrattamentieffettuaticonstrumentielettronicirelativamentealleattribuzionidellefunzionidiamministrazionedisistema"del27novembre2008»
applicazionedelleclausolespecificheelaboratedallaCommissioneEuropeaneicontrattidifornituradelservizio:
sitrattadiclausole,effettivedal15maggio2010,chetrasferisconopartedelleresponsabilitàsultrattamentodatiachieffettivamentetrattaidati;poichél’attivitàdioutsourcingpuòesseresubappaltataanchepiùvolte,nell’ambitodelmedesimoservizio,deveesseregarantitachiarezzasuchisiailresponsabileperlasicurezzadeidati. DECISIONE DELLA COMMISSIONE del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio
12. Inserire un riferimento al documento del Garante “Cloudcomputing: indicazioni per l'utilizzo consapevole dei servizi”
favorire l'adozione consapevolee responsabiledi questa tipologia di servizi
CAUTELA
Cloud computing, CO e DR
+osservareilprovvedimento“Misureeaccorgimentiprescrittiaititolarideitrattamentieffettuaticonstrumentielettronicirelativamentealleattribuzionidellefunzionidiamministrazionedisistema"del27novembre2008”
21. I contratti cloude la task force UE
Creata una task force per definire le regole e le garanzie nei rapporti tra fornitori e clienti, le cui prime Linee guida sono state pubblicate il 26 giugno 2014.
I contratti diventano un aspetto nodale per lo sviluppo del mercato dei servizi cloud
New guidelines to help EU businesses use the Cloudhttp://europa.eu/rapid/press-release_IP-14-743_en.htm
UnteamUEhalavoratoallaricercadicondizionicontrattualipiùaffidabiliedequeperl’utilizzodeiservizidicloudcomputingperincrementarelafiduciaeagevolarequindilastipuladiaccorditrafornitorieutenti.Sonostatidefinitifondamentalicriteridituteladellasicurezzaedellaprivacychenonpotrannoveniremenonelrapportodifornituradeinuoviservizi.IlquadrogiuridicoacuilavoralataskforceandràinoltreacompletarelerecentipropostediriformainmateriadiprotezionedeidatigiàpresentateinCommissionedalParlamentoeuropeoconl’obiettivodifacilitarelacreazionediunmercatounicoinambitoeuropeoperiservizicloudedigitali.
Costituitadaesperti,fornitori,consumatori,esponentidelmondoaccademicoegiuristi,lataskforcehalavoratoalladefinizionediclausolecontrattualiche,perilmomento,sarannosuggeritesubasefacoltativaconlaprospettiva,inseguito,dopolenecessarieverifichedidiventareobblighidilegge.Leclausolestandarddovrebberoridurremoltepreoccupazionicheancoraoggitengonolontaniconsumatorieimprese–soprattuttopiccole–dall’acquistodeiservizicloud.
22. I punti di attenzionee i falsi miti
Digital&Law Department -copyright 2014
23. Il cloudestremizza le problematiche relative a:
Asimmetria informativa
Riservatezza
Lock in
Internazionalità dell’accordo
Licenze software (e necessità di ridefinire tutti i propri assetinformatici?)
Deleghe di servizi
Interruzioni di servizio
Necessità di definire SLAspecifici
Privacy e accountability
CloudDesign Service
Digital&Law Department -copyright 2014
24. Contract by design nel Cloud?
È possibile?
L’interlocutore è unico e spesso vengono garantiti una
moltitudine di servizi scalari e controllabili e livelli di
servizio differenti a seconda del tipo di esigenza
Digital&Law Department - copyright 2014
27. Suggerimenti:
Verificare adesione a standard di sicurezza da parte del Cloudprovider
Differenziare i servizi (crittografia, accessi differenziati, livelli di sicurezza etc.) a seconda della tipologia di dati, informazioni, documenti trattati
Garantire gli storage(disasterrecovery/business continuity) anche attraverso l’utilizzo di altro Cloudprovider
Verificare l’interoperabilità dei servizi forniti
Verificare il modello di Cloudscelto in base alle effettive necessità aziendali o personali
Controlli da parte di CloudAuditor
Conoscere bene il CloudProvider e suoi eventuali subfornitori
Porre attenzione al Security IncidentMangemente alle attività di Reporting / Logging
Verificare l’utilizzabilità delle licenze
Digital&Law Department -copyright 2014
29. A cosa prestare attenzione:
Sceltaopportunadeifornitorieclausolecontrattualie/oaccordidiservizio(iservizicloudpossonoessereopportunamenteprogettatieregolamentatisecondoleesigenzedellevarieorganizzazioni)
Regolareidirittidell’interessatoeprevedereobblighidiacquisizionedelconsensoediinformativa
Disciplinareattentamenteiruoliecompitideisoggetticheeffettuanoiltrattamento(iltitolare,ilresponsabile,gliincaricati);
Identificareeindicareconprecisioneirequisitieivincolicontrattualiacuidevesottostareilfornitorediservizi;
Adottaregliadempimentielemisurepergarantirelacorrettagestioneetrattamentodeidati(soprattuttoquellisensibili)elasicurezzadeidatiedeisistemi(inparticolareneltitoloVIIdeld.lgs.196/2003cheregolail“Trasferimentodeidatiall’estero”);
RispettodellaDecisione2010/87/UEdel5febbraio2010(relativaalleclausolecontrattualitipoperiltrasferimentodeidatipersonalieincaricatideltrattamentostabilitiinpaesiterzi),aseguitodellaqualeilGarantehaemanatoun’Autorizzazionegenerale(27maggio2010).
30. E le PA?
Anche in Italia, con l’art. 47 della legge n. 35/2012 (di conversione del D.L. n. 5/2012), sono state individuate una serie di misure da adottare per il perseguimento degli obiettivi dell’Agenda digitale italiana, tra le quali, alla lett. d), è espressamente menzionata la “promozione della diffusione e del controllo di architetture di cloudcomputingper le attività e i servizi delle pubbliche amministrazioni”.
Digital&Law Department -copyright 2014
35. Avv. Graziano GarrisiDigital&LawDepartment Studio Legale Lisi
www.studiolegalelisi.it
Tel. 0832/256065 –Fax 0832/244802e.mail: grazianogarrisi@studiolegalelisi.it
Grazie per l’attenzione
…e per contatti o ulteriori informazioni: