SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau milano 2012 massimo farina cloud
1. La privacy nel
Cloud Computing
Di Massimo Farina
http://www.massimofarina.it
http://www.diricto.it
1/20
22/10/2012 Titolo della presentazione
2. ijflhsgòfahdglàakgàykèpè
pkùykjpmùpok
In materia ci sono due
principali interventi del
Garante per la protezione
dei dati personali
16 novembre 2011
Cloud Computing: 24 maggio 2012
INDICAZIONI PER L’USO Cloud Computing:
CONSAPEVOLE DEI SERVIZI IL VADEMECUM DEL GARANTE
Massimo Farina - massimo@massimofarina.it
3/20
2/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
3. Insieme di tecnologie e di modalità
di fruizione di servizi informatici che Tutto può essere demandato
favoriscono l’utilizzo e l’erogazione all’esterno, in outsourcing, e a un
di software, la possibilità di costo potenzialmente limitato, in
conservare e di elaborare grandi quanto le risorse informatiche
quantità di informazioni via Internet necessarie per i servizi richiesti
possono essere condivise con altri
soggetti che hanno le stesse
esigenze.
Il cloud consente di usufruire di
servizi complessi senza doversi Il cloud offre, a seconda dei casi, il
necessariamente dotare né di trasferimento della conservazione o
computer e altri hardware avanzati, dell’elaborazione dei dati dai
né di personale in grado di computer degli utenti ai sistemi del
programmare o gestire il sistema. fornitore.
Massimo Farina - massimo@massimofarina.it
3/20
3/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
4. (o “nuvola privata”) è una infrastruttura informatica (rete di computer collegati per
offrire servizi) per lo più dedicata alle esigenze di una singola organizzazione,
ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma
dell’hosting dei server), nei confronti del quale il titolare dei dati può esercitare un
controllo puntuale.
Es. Le “nuvole private” possono essere paragonate ai
tradizionali “data center” nei quali, però, sono usati
degli accorgimenti tecnologici che permettono di
ottimizzare l’utilizzo delle risorse disponibili e di
potenziarle agevolmente in caso di necessità.
Massimo Farina - massimo@massimofarina.it
3/20
4/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
5. (o “nuvola pubblica”) è l’infrastruttura di proprietà di un fornitore specializzato
nell’erogazione di servizi che mette a disposizione di utenti, aziende o
amministrazioni i propri sistemi attraverso la condivisione e l’erogazione via Internet
di applicazioni informatiche, di capacità elaborativa e di “stoccaggio” dati.
La fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento dei soli
dati o anche dell’attività di elaborazione presso i sistemi del fornitore del servizio, il quale
assume un ruolo importante in ordine all’efficacia delle misure adottate per garantire la
protezione delle informazioni che gli sono state affidate.
Con la cessione dei dati si cede anche una parte
importante del controllo esercitabile su di essi
Massimo Farina - massimo@massimofarina.it
3/20
5/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
6. (o “altre nuvole” o “nuvole miste”) si tratta di sistemi :
1) caratterizzati da soluzioni che prevedono l’utilizzo di servizi erogati da
infrastrutture private accanto a servizi acquisiti da cloud pubblici –
2) cloud di gruppo (community cloud), in cui l’infrastruttura è condivisa da
diverse organizzazioni a beneficio di una specifica comunità di utenti
Massimo Farina - massimo@massimofarina.it
3/20
6/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
7. infrastruttura cloud resa
disponibile come servizio
- Il fornitore del servizio cloud offre,
secondo un modello “a consumo”, gli
strumenti hardware e software di base
Es. server virtuali remoti
(spazi di memoria, sistemi operativi,
che l’utente finale può
programmi di virtualizzazione…) utilizzare in sostituzione
Caratteristiche
o in affiancamento ai
principali sistemi già presenti nei
locali dell’azienda o
- Tali fornitori sono in genere dell’amministrazione
operatori di mercato specializzati,
che dispongono di un’infrastruttura
tecnologica, complessa e spesso
distribuita in aree geografiche
diverse.
Massimo Farina - massimo@massimofarina.it
3/20
7/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
8. software erogato come
serviziodel cloud
- Il fornitore eroga via Internet una
serie di servizi applicativi ponendoli
a disposizione degli utenti finali
Caratteristiche
principali
Es. applicazioni comunemente usate negli uffici erogate in modalità
web quali l’elaborazione di fogli di calcolo o di testi, la gestione del
protocollo e delle regole per l’accesso informatico ai documenti, la
rubrica dei contatti e i calendari condivisi, ma anche ai più avanzati
servizi di posta elettronica.
Massimo Farina - massimo@massimofarina.it
3/20
8/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
9. piattaforme software fornite
PAAS via Internet come servizio
- Il fornitore offre soluzioni evolute di
sviluppo software che rispondono alle
specifiche esigenze del cliente. Es. applicativi per la
gestione finanziaria, della
Caratteristiche contabilità o della
logistica
principali
- In genere questo tipo di servizi è
rivolto a operatori di mercato che li
utilizzano per sviluppare e ospitare
soluzioni applicative proprie, allo
scopo di assolvere a esigenze
interne, oppure per fornire a loro
volta servizi a terzi.
Massimo Farina - massimo@massimofarina.it
3/20
9/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
10. Assenza di un quadro normativo la normativa europea sulla
dedicato al cloud computing protezione dei dati risale al 1995.
Nuovo obbligo, per le società
d.lgs. 69 e 70 / 2012, recepimento telefoniche e gli internet provider:
delle direttive 2009/136/EC “in
materia di trattamento dei dati
-notificare alle rispettive Authority tutte le
personali e tutela della vita privata
violazioni di sicurezza relative ai dati personali;
nel settore delle comunicazioni
elettroniche”, e 2009/140/C “in
- la notifica va effettuata anche agli utenti
materia di reti e servizi di
“quando la violazione di dati personali
comunicazione elettronica”
rischia di arrecare pregiudizio ai dati
personali o alla riservatezza di contraente o
di altra persona”.
Il prossimo futuro approvazione del nuovo Regolamento
(entro il 2014) europeo sulla protezione dei dati che
sostituirà il Codice della Privacy
Massimo Farina - massimo@massimofarina.it
3/20
10/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
11. Corretto inquadramento del titolare
e del rapporto con i responsabili e
TITOLARE gli incaricati
DIVIETO GENERALE: consentito
solo verso paesi che garantiscono
“un adeguato livello di tutela”
Facilitato nei casi di cloud provider che aderiscano a
programmi di protezione dati come Safe Harbor (accordo
bilaterale Ue-Usa che definisce regole sicure e condivise
TRASFERIMENTO DI per il trasferimento dei dati personali effettuato verso
aziende presenti sul territorio americano.
DATI ALL’ESTERO
Particolare attenzione per i
trasferimenti infragruppo delle
multinazionali
Massimo Farina - massimo@massimofarina.it
3/20
11/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
12. Il titolare dei dati deve assicurarsi che:
siano adottate misure tecniche e organizzative volte a
ridurre al minimo i rischi di distruzione o perdita anche
accidentale dei dati, di accesso non autorizzato, di
trattamento non consentito o non conforme alle finalità
della raccolta, di modifica dei dati in conseguenza di
interventi non autorizzati o non conformi alle regole.
MISURE DI
SICUREZZA Il cliente dovrebbe, ad esempio, accertarsi che i dati
siano sempre “disponibili” (che si possa cioè sempre
accedere ai dati) e “riservati” (che l’accesso cioè sia
consentito solo a chi ne ha diritto).
Per garantire che i dati siano al sicuro, non sono
importanti solo le modalità con cui sono conservati, ma
anche quelle con cui sono trasmessi (ad esempio
utilizzando tecniche di cifratura).
Massimo Farina - massimo@massimofarina.it
3/20
12/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
13. Art. 13 L'interessato o la persona presso la quale sono
raccolti i dati personali sono previamente informati oralmente
o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i
dati;
b) la natura obbligatoria o facoltativa del conferimento dei
dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
INFORMATIVA d) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a
conoscenza in qualità di responsabili o incaricati, e l'ambito di
diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
Art. 161: La violazione delle disposizioni di cui all'articolo 13 è
punita con la sanzione amministrativa del pagamento di una
somma da seimila euro a trentaseimila euro.
Massimo Farina - massimo@massimofarina.it
3/20
13/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
14. Aspetti negoziali: i contratti per l’erogazione dei servizi
Sviluppo: software housing
Contratti atipici misti
mautenzione
hosting
Licenza d’uso
Massimo Farina - massimo@massimofarina.it
3/20
14/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
15. Grazie per l’attenzione
http://www.massimofarina.it
http://www.diricto.it
massimo@massimofarina.it
Massimo Farina - massimo@massimofarina.it
3/20
15/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it
16. LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero:
di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera
di creare opere derivate
Alle seguenti condizioni:
Attribuzione. Devi riconoscere il contributo dell'autore originario.
Non commerciale. Non puoi usare quest’opera per scopi commerciali.
Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
Massimo Farina - massimo@massimofarina.it
3/20
16/20
22/10/2012 Titolo della presentazione
http://www.massimofarina.it - http://www.diricto.it