Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Smau Bologna 2014 - L’uso del cloud e la tutela della privacy

737 visualizaciones

Publicado el

Publicado en: Tecnología
  • Sé el primero en comentar

Smau Bologna 2014 - L’uso del cloud e la tutela della privacy

  1. 1. Relatore: Avv. Graziano Garrisi grazianogarrisi@studiolegalelisi.it Privacy e Cloud, profili organizzativi, responsabilità e aspetti problematici della contrattualizzazione
  2. 2. Riferimento al documento del Garante “Cloud computing: indicazioni per l'utilizzo consapevole dei servizi” favorire l'adozione consapevole e responsabile di questa tipologia di servizi CAUTELA Cloud computing, CO e DR + osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministrazione di sistema" del 27 novembre 2008”
  3. 3. PRIVATE CLOUD (o nuvola privata): infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei server), nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale. Le private cloud sono simili ai tradizionali “data center” nei quali, però, sono usati degli accorgimenti tecnologici che permettono di ottimizzare l’utilizzo delle risorse disponibili e di potenziarle attraverso investimenti contenuti e attuati progressivamente nel tempo. PUBLIC CLOUD: l’infrastruttura è di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti - aziende o PA - e quindi condivide tra di essi i propri sistemi attraverso l’erogazione dei servizi via web (applicazioni informatiche, capacità elaborativa e di stoccaggio). La fruizione di questi servizi avviene tramite la rete Internet. Il fornitore del servizio assume un ruolo importante in ordine all’efficacia delle misure adottate per garantire la protezione dei dati che gli sono stati affidati.
  4. 4. “Il cloud si presenta come uno dei mezzi più economici per assicurare a una gran parte dei servizi di eGovernment quelle caratteristiche di efficacia, efficienza, trasparenza, partecipazione, condivisione, cooperazione, interoperabilità e sicurezza previste dal Codice dell'Amministrazione Digitale”. (CAD – D.Lgs 82/2005) 1) Raccomandazioni e proposte sull'utilizzo del cloud computing nella Pubblica Amministrazione (DigitPA - ora Agenzia per l’Italia Digitale) 2) Linee Guida Garante Privacy
  5. 5. INTERNAZIONALITÀ IMPLICITA • Quale legge si applica al rapporto contrattuale intercorrente tra provider e cliente? (lato privacy è lo stabilimento del Titolare a determinare la legge applicabile; quindi definire se un cloud provider è titolare o responsabile ha conseguenze decisive sulle norme applicabili) • Ci sono delle clausole contrattuali redatte con formule standard che possono essere nulle per un determinato ordinamento? • Quale Autorità Giudiziaria è competente a decidere sull’interpretazione di quel contratto? • In quale Stato si aziona il diritto? individuazione della disciplina specifica applicabile al trattamento (art. 19, comma 3, 20 e 22, d.lgs. 196/2003): la trasmissione di dati ad altro titolare integra una comunicazione che presuppone l’esistenza di una norma di legge o di regolamento come condizione di liceità)
  6. 6. UBICAZIONE DEI DATI Conosciamo il luogo dove è allocato lo spazio di memoria? Queste località godono di un adeguato livello di tutela dei dati personali? PRIVACY • Abbiamo la garanzia che la cifratura sia disponibile a tutti i livelli e che tale crittografia sia fornita da esperti del ramo? • Si possono impiegare i sistemi cloud delocalizzando i dati degli utenti in sistemi CRM gestiti in paesi extra UE per profilare le attività dei clienti?
  7. 7. RESPONSABILITÀ IN CASO DI ACCESSI ABUSIVI E DISPERSIONE DEI DATI • Chi è il soggetto responsabile in caso di perdita dei dati? • Cosa accade ai dati qualora il cloud provider interrompa la fornitura del servizio? La definizione della responsabilità giuridica e dei poteri di accesso e controllo tra le parti è molto importante: sono poteri che un Titolare deve poter esercitare quale conseguenza della sua posizione di vertice
  8. 8. L’ASSENZA DI UNA DISCIPLINA UNIFORME PER TUTTI I CONTRATTI INFORMATICI DEL MONDO IT CIÓ VALE ANCHE PER I CONTRATTI CLOUD
  9. 9. Il criterio principale in materia di contrattualistica, soprattutto internazionale, è quello dell’AUTONOMIA PRIVATA Il principio di libertà di scelta tra le parti prevale su ogni altro criterio previsto dalle convenzioni internazionali
  10. 10. Sono quelle che stabiliscono a favore di colui che le ha predisposte: • limitazioni di responsabilità; • facoltà di recedere dal contratto o di sospenderne l'esecuzione a carico dell'altro contraente; • sanciscono decadenze, limitazioni alla facoltà di opporre eccezioni, restrizioni alla libertà contrattuale nei rapporti coi terzi, tacita proroga o rinnovazione del contratto, deroghe alla competenza dell'autorità giudiziaria (art. 1341, II comma, c.c.) ATTENZIONE! SE NON SONO SPECIFICAMENTE APPROVATE PER ISCRITTO, ALCUNE CONDIZIONI SONO INEFFICACI
  11. 11. Il servizio prescelto potrebbe essere solo il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio COME HA OSSERVATO L’AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI: A fronte di tali responsabilità complesse, il cliente potrebbe non sempre essere messo in grado di sapere chi può accedere a determinati dati fra i diversi gestori di servizi intermedi
  12. 12. Il servizio virtuale, in assenza di adeguate garanzie in merito alla qualità della connettività di rete, potrebbe occasionalmente risultare degradato in presenza di elevati picchi di traffico o addirittura indisponibile laddove si verifichino eventi anomali quali, ad esempio, guasti, impedendo l’accessibilità temporanea ai dati in esso conservati In assenza di un’accurata previsione contrattuale dei livelli di servizio garantiti (c.d. SERVICE LEVEL AGREEMENT), il cliente potrebbe non riuscire a valutare l’esatto e diligente adempimento della prestazione
  13. 13. E’ consigliabile ricorrere a servizi di cloud computing privilegiando servizi basati su formati e standard aperti (nelle modalità SaaS, PaaS o IaaS), che facilitino la transizione da un sistema cloud a un altro, anche se gestiti da fornitori diversi. Ciò al fine di: PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA PORTABILITÀ DEI DATI PER EVITARE IL VENDOR LOCK-IN Evitare che possibili modifiche unilaterali dei contratti di servizio da parte di uno qualunque degli operatori della catena di fornitura si traducano in condizioni peggiorative vincolanti Facilitare eventuali successivi passaggi da un fornitore all’altro
  14. 14. In fase di acquisizione del servizio cloud: • l’UTENTE dovrebbe accertare il termine ultimo, successivo alla scadenza del contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono stati affidati; • il FORNITORE dovrà garantire che i dati non saranno conservati oltre i suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con l’utente stesso. In ogni caso, i dati dovranno essere sempre conservati nel rispetto della normativa applicabile, delle finalità e delle modalità concordate, escludendo duplicazioni e comunicazioni a terzi VERIFICARE LE POLITICHE DI PERSISTENZA DEI DATI LEGATE ALLA LORO CONSERVAZIONE E PORRE ATTENZIONE AL DATA PRESERVATION
  15. 15. Per proteggere la confidenzialità dei dati, occorre VALUTARE ANCHE LE MISURE DI SICUREZZA utilizzate per consentire l’allocazione dei dati in cloud, privilegiando i fornitori che utilizzano tecniche di trasmissione sicure, tramite CONNESSIONI CIFRATE coadiuvate da sistemi di IDENTIFICAZIONE dei soggetti autorizzati all'accesso. LA COMPLESSITÀ DI TALI MISURE DI SICUREZZA DEVE ESSERE COMMISURATAALLA CRITICITÀ DEI DATI Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati, quali quelli strategici, personali o addirittura sensibili, per i quali sono maggiormente pregnanti le esigenze di riservatezza, si raccomanda l'utilizzo di protocolli sicuri nella fase di trasmissione e la conservazione in forma cifrata sui sistemi del fornitore di servizio. ESIGERE E ADOTTARE OPPORTUNE CAUTELE PER TUTELARE LA CONFIDENZIALITÀ DEI DATI
  16. 16. • La sicurezza informatica e il corretto trattamento dei dati personali non rappresentano un punto debole del cloud ma, al contrario, consentono di raggiungere livelli di sicurezza impensabili per un CED di piccole e medie dimensioni • Vi è la necessità di una contrattazione delle modalità e finalità del trattamento, compreso i livelli di sicurezza da garantire (SLA e PLA) • Problema dell’allocazione di ruoli e responsabilità quando si valuta la migrazione dei dati in una struttura cloud: il cloud provider potrebbe essere considerato quale titolare autonomo del trattamento (scelta ragionevole) o quale responsabile ex art. 29 d.lgs. 196/2003 (come invece avviene nella prassi) • Il cloud provider ha un ruolo esclusivo, rispetto al buyer, nel decidere il profilo della sicurezza e la modalità di erogazione del proprio servizio, incluse le scelte relative alla circolazione dei dati nei diversi luoghi e tra distinti soggetti (come, ad esempio, i suoi subfornitori) Considerazioni su Sicurezza e Privacy:
  17. 17. In caso di trasferimenti infragruppo, questi possono essere realizzati utilizzando lo schema di BCR elaborato dal Gruppo "Articolo 29" dei Garanti europei integrato dal WP 195 del 6 giugno 2012 contenente un nuovo modello di norme vincolanti d’impresa definito “BCR for processor”. Codice Privacy per il “trasferimento dei dati, anche temporaneo, verso un Paese terzo che non garantisca un livello di protezione adeguato” (artt. 42, 43 e 45 del Codice) Misure previste: - trasferimento consentito se autorizzato dal Garante qualora il livello di garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della Commissione europea oppure - qualora il titolare presti opportune garanzie in sede contrattuale mediante l’adozione di regole di condotta infragruppo (le cosiddette binding corporate rules, BCR) o mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle relative decisioni della Commissione europea (art. 44 del Codice)
  18. 18. Parere del Garante su “Linee-guida per il D.R. delle PA” Servizi cloud  il fornitore deve indicare con apposita dichiarazione resa in sede contrattuale, l'esatta localizzazione, o le esatte localizzazioni dei dati gestiti: ciò serve a capire se questa particolare modalità di realizzazione del servizio rispetti effettivamente la normativa privacy e l’articolo 45 del Codice, che vieta il trasferimento “anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea”, qualora “l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato”  applicazione delle clausole specifiche elaborate dalla Commissione Europea nei contratti di fornitura del servizio: si tratta di clausole, effettive dal 15 maggio 2010, che trasferiscono parte delle responsabilità sul trattamento dati a chi effettivamente tratta i dati; poiché l’attività di outsourcing può essere subappaltata anche più volte, nell’ambito del medesimo servizio, deve essere garantita chiarezza su chi sia il responsabile per la sicurezza dei dati. osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministrazione di sistema" del 27 novembre 2008» DECISIONE DELLA COMMISSIONE del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio
  19. 19.  la nomina del Responsabile del trattamento dei dati (riguardo anche a eventuali subappaltatori);  la definizione di regole per il trattamento dei dati al di fuori dell’Unione europea;  la specifica individuazione dei poteri di controllo nei confronti del Responsabile del trattamento e la relativa verifica della corretta esecuzione delle istruzioni impartite;  il monitoraggio delle prestazioni del sistema;  il backup dei dati allocati nel cloud con periodicità almeno giornaliera;  la definizione della politica di persistenza dei dati nel cloud;  la certificazione sul rispetto di determinati standard di sicurezza nella gestione dei dati (ovvero ISO 27001:2005). I cloud provider dovranno adempiere a PLA riguardanti:
  20. 20. A cosa prestare attenzione:  Scelta opportuna dei fornitori e clausole contrattuali e/o accordi di servizio (i servizi cloud possono essere opportunamente progettati e regolamentati secondo le esigenze delle varie organizzazioni)  Regolare i diritti dell’interessato e prevedere obblighi di acquisizione del consenso e di informativa (DOMANDA: posso prescindere dall’acquisire il consenso degli interessati per il trasferimento all’estero in paesi extra UE se quel paese – magari l’azienda X che opera negli Stati Uniti – ha aderito Safe Harbour?)  Disciplinare attentamente i ruoli e compiti dei soggetti che effettuano il trattamento (il titolare, il responsabile, gli incaricati);  Identificare e indicare con precisione i requisiti e i vincoli contrattuali a cui deve sottostare il fornitore di servizi;  Adottare gli adempimenti e le misure per garantire la corretta gestione e trattamento dei dati (soprattutto quelli sensibili) e la sicurezza dei dati e dei sistemi (in particolare nel titolo VII del d.lgs. 196/2003 che regola il “Trasferimento dei dati all’estero”);  Rispetto della Decisione 2010/87/UE del 5 febbraio 2010 (relativa alle clausole contrattuali tipo per il trasferimento dei dati personali e incaricati del trattamento stabiliti in paesi terzi), a seguito della quale il Garante ha emanato un’Autorizzazione generale (27 maggio 2010).
  21. 21. CASO CONRETO: Titolare residente nella Unione europea che appalta il servizio a un Responsabile (comunitario) che a sua volta subappalta ad un terzo (previo accordo con il titolare) stabilito al di fuori dell’UE: 1. sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo (che lo farà in qualità di importatore e non di sub-incaricato e per questo dovrà essere designato responsabile: l’importatore infatti risponde direttamente al titolare di eventuali illiceità mentre se firmasse come sub-incaricato la responsabilità rimarrebbe in capo all'appaltatore che ha il ruolo di responsabile); 2. conferimento al Responsabile, da parte del titolare, di un mandato con rappresentanza, generale o speciale, per la sottoscrizione delle clausole con il terzo (il titolare rimane esportatore ed il sub-incaricato è importatore in quanto importa i dati dal responsabile) facendo menzione del mandato tra gli incarichi e i compiti previsti dall'atto di designazione; in questo caso, devono essere sottoscritte clausole contrattuali tipo ad hoc per ogni specifica commessa, non potendo accettarsi accordi quadro o clausole contrattuali tipo sottoscritte tra il responsabile ed il sub incaricato per regolare genericamente l'affidamento del servizio (anche se questi hanno diversi rapporti contrattuali al di là della specifica commessa); 3. sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato che siano però in grado di fornire le stesse garanzie previste dalle “clausole contrattuali tipo”: solo in questo caso il contratto deve essere vagliato dall'Autorità che potrà o meno autorizzare il trattamento.
  22. 22. L’Autorità ha precisato, altresì, che nell’ambito di un rapporto contrattuale di affidamento in subappalto di determinate attività, fra un titolare stabilito nella Unione europea e un responsabile (residente in un Paese extra-UE, c.d. importatore) che non fornisca adeguate garanzie e affidi il trattamento a un soggetto terzo (anch’esso residente in un Paese extra-UE, c.d. sub-incaricato), è previsto che il subcontratto possa effettuarsi: - previo consenso scritto dell’esportatore; - ovvero se l’importatore faccia sottoscrivere al sub-incaricato le medesime clausole contrattuali tipo; - ovvero se l’importatore rimane l’unico responsabile nei confronti dell’esportatore per eventuali inadempimenti da parte del sub-incaricato. La finalità perseguita da tali prescrizioni è ovviamente quella che il titolare non perda il controllo sui dati nel corso delle diverse fasi del trattamento. Si lascia più spazio alla volontà negoziale delle parti per la corretta gestione del trattamento del dato, introducendo una maggiore responsabilità e obblighi di rendicontazione per chi tratta i dati in qualità di titolare/esportatore o importatore
  23. 23. TITOLO PRESENTAZIONE Relatore Gestire correttamente i propri documenti e le proprie informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire l’attribuibilità, l’integrità, l’autenticità, la sicurezza, la corretta archiviazione e la conservazione nel tempo al proprio patrimonio di dati digitali Gestire correttamente i propri documenti e le proprie informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire l’attribuibilità, l’integrità, l’autenticità, la sicurezza, la corretta archiviazione e la conservazione nel tempo al proprio patrimonio di dati digitali Le nuove regole tecniche sulla conservazione, coordinate anche con le altrettanto importanti Regole tecniche in materia di protocollo informatico comportano per tutte le PA e le Imprese coinvolte nei processi di digitalizzazione documentale la predisposizione di un nuovo assetto organizzativo in grado di presidiare un sistema di conservazione che soddisfi quando previsto dall’art. 44, 1° comma del Codice dell’amministrazione digitale Avv. Graziano Garrisi- copyright 2014
  24. 24. TITOLO PRESENTAZIONE Relatore Al Codice della Amministrazione Digitale: Art. 44 (Requisiti per la conservazione dei documenti informatici) 1. Il sistema di conservazione dei documenti informatici garantisce: a) l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445; b) l’integrità del documento; c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari; d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in Allegato B a tale decreto. Avv. Graziano Garrisi- copyright 2014
  25. 25. TITOLO PRESENTAZIONE Relatore Le più importanti novità che impattano su Privacy e Sicurezza: - l’attenzione ai piani di disaster recovery e l'introduzione del concetto di continuità operativa nella P.A. (parere del Garante sullo schema di “Linee-guida per il Disaster Recovery delle pubbliche amministrazioni” del 4 luglio 2013); - la conferma della possibilità (anche per la PA) di affidare in outsourcing i processi di conservazione digitale; - la possibilità di far accreditare presso DigitPA i propri processi di conservazione sotto il profilo della sicurezza e della qualità; - la possibilità di ricorrere a soluzioni di «cloud computing» per sopperire a carenze infrastrutturali e allocare i documenti e i dati personali; - Corretta regolamentazione dei ruoli e delle responsabilità in ambito privacy (viene superato il divieto in base al quale un Responsabile non può nominare a sua volta un altro Responsabile). Avv. Graziano Garrisi- copyright 2014
  26. 26. Un buon contratto di outsourcing di servizi di conservazione dei documenti in cloud non dovrà limitarsi alla corretta applicazione delle norme contenute nel Codice Civile e nel Codice Privacy (regolamentando i processi di sicurezza e privacy e stabilendo con quali modalità e da chi viene garantita la sicurezza informatica dei dati), ma dovrà prevedere anche l’applicazione di norme internazionali o standard ISO (come ad esempio la ISO 27001, la ETSI TR 101 533, UNI 11386- SinCRO, etc..). Avv. Graziano Garrisi- copyright 2014
  27. 27. Di conseguenza, nel gestire al meglio la contrattualizzazione del servizio di cloud computing applicato ai processi di conservazione digitale risulta fondamentale l’applicazione di quel concetto di “interoperabilità intellettuale” tra legali, informatici, archivisti e coloro che, in qualità di responsabili (interni o esterni all’organizzazione), gestiscono il processo di conservazione digitale dei documenti. Avv. Graziano Garrisi- copyright 2014
  28. 28. TITOLO PRESENTAZIONE Relatore La digitalizzazione documentale ha aperto la strada all’avvento di NUOVE FIGURE PROFESSIONALI deputate a gestire i nostri documenti informatici. Tra queste, particolare importanza assume, in ogni moderna organizzazione pubblica o privata, il Responsabile della conservazione digitale e Responsabile del trattamento del dei documenti, incaricato di gestire tutti i flussi informativi e documentali di un ente e tutte le fasi di vita dei documenti, sino alla loro corretta archiviazione e conservazione nel tempo. L’obiettivo perseguito da tali nuove figure professionali è la Digital Preservation
  29. 29. TITOLO PRESENTAZIONE Relatore Stakeholders per conservazione e privacy  Aziende del settore che operano sul mercato per conto della domanda e dell’offerta;  Professionisti;  Enti e Pubbliche Amministrazioni. Tutti coloro che si occupano di conservazione digitale, gestione documentale e trattamento dei dati, nei diversi settori del pubblico e del privato. Avv. Graziano Garrisi- copyright 2014
  30. 30. TITOLO PRESENTAZIONE Relatore In tale contesto è ormai imprescindibile valorizzare le figure professionali del Responsabile della conservazione e del Responsabile privacy, titolari di compiti, poteri e funzioni fondamentali per una PA o un’azienda, che ricoprono ruoli chiave nella gestione dei processi digitali in ambito pubblico e privato, figure alle quali è necessario garantire, dunque, un’adeguata preparazione, un costante aggiornamento e il riconoscimento delle competenze. Avv. Graziano Garrisi- copyright 2014
  31. 31. TITOLO PRESENTAZIONE Relatore In quest’ottica, la qualificazione della professione, come di ogni altra attività economica, non è basata solo su norme cogenti come nel caso degli Ordini professionali ma anche su strumenti (certificazioni, marchi, attestati etc.) di carattere volontario, a volte anche con controllo pubblico ma più spesso lasciati all’autoregolamentazione dei privati. LEGGE 14 gennaio 2013, n. 4 Disposizioni in materia di professioni non organizzate
  32. 32. TITOLO PRESENTAZIONE Relatore Proprio per dare regolamentazione e il giusto riconoscimento a queste due figure che operano in maniera complementare, è da poco nata l’associazione ANORC Professioni, prima associazione italiana che ha aperto per i Responsabili della conservazione e i Responsabili del trattamento due registri nazionali, istituendo un percorso virtuoso di formazione e aggiornamento a loro dedicato http://www.anorc.it/anorc_professioni/ Grazie ad ANORC Professioni queste due figure, spesso sottovalutate e poco conosciute, vedono finalmente riconosciute le loro competenze attraverso l'iscrizione a un registro nazionale, in ottemperanza a quanto stabilito dalla Legge del 14 gennaio 2013 n. 4 sulle professioni non organizzate in Ordini o Collegi. Avv. Graziano Garrisi- copyright 2014
  33. 33. TITOLO PRESENTAZIONE Relatore Avv. Graziano Garrisi Digital&Law Department Studio Legale Lisi www.studiolegalelisi.it Tel. 0832/256065 – Fax 0832/244802 e.mail: grazianogarrisi@studiolegalelisi.it Grazie per l’attenzione …e per contatti o ulteriori informazioni:

×