Post on 22-Apr-2015
description
Relatore: Avv. Graziano Garrisi
grazianogarrisi@studiolegalelisi.it
Privacy e Cloud, profili
organizzativi, responsabilità e
aspetti problematici della
contrattualizzazione
Riferimento al documento del
Garante “Cloud computing:
indicazioni per l'utilizzo
consapevole dei servizi”
favorire l'adozione consapevole e
responsabile di questa tipologia di
servizi
CAUTELA
Cloud computing, CO e DR
+ osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle
funzioni di amministrazione di sistema" del 27 novembre 2008”
PRIVATE CLOUD (o nuvola privata): infrastruttura informatica per lo più
dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali
o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei
server), nei confronti del quale il titolare dei dati può spesso esercitare un
controllo puntuale.
Le private cloud sono simili ai tradizionali “data center” nei quali, però,
sono usati degli accorgimenti tecnologici che permettono di ottimizzare
l’utilizzo delle risorse disponibili e di potenziarle attraverso investimenti
contenuti e attuati progressivamente nel tempo.
PUBLIC CLOUD: l’infrastruttura è di proprietà di un fornitore
specializzato nell’erogazione di servizi che mette a disposizione di utenti -
aziende o PA - e quindi condivide tra di essi i propri sistemi attraverso
l’erogazione dei servizi via web (applicazioni informatiche, capacità
elaborativa e di stoccaggio).
La fruizione di questi servizi avviene tramite la rete Internet.
Il fornitore del servizio assume un ruolo importante in ordine all’efficacia
delle misure adottate per garantire la protezione dei dati che gli sono stati
affidati.
“Il cloud si presenta come uno dei mezzi più economici per
assicurare a una gran parte dei servizi di eGovernment quelle
caratteristiche di efficacia, efficienza, trasparenza, partecipazione,
condivisione, cooperazione, interoperabilità e sicurezza previste dal
Codice dell'Amministrazione Digitale”.
(CAD – D.Lgs 82/2005)
1) Raccomandazioni e proposte sull'utilizzo del cloud
computing nella Pubblica Amministrazione (DigitPA - ora
Agenzia per l’Italia Digitale)
2) Linee Guida Garante Privacy
INTERNAZIONALITÀ IMPLICITA
• Quale legge si applica al rapporto contrattuale intercorrente tra
provider e cliente?
(lato privacy è lo stabilimento del Titolare a determinare la legge
applicabile; quindi definire se un cloud provider è titolare o
responsabile ha conseguenze decisive sulle norme applicabili)
• Ci sono delle clausole contrattuali redatte con formule standard
che possono essere nulle per un determinato ordinamento?
• Quale Autorità Giudiziaria è competente a decidere
sull’interpretazione di quel contratto?
• In quale Stato si aziona il diritto?
individuazione della disciplina specifica applicabile al trattamento (art. 19,
comma 3, 20 e 22, d.lgs. 196/2003): la trasmissione di dati ad altro titolare integra
una comunicazione che presuppone l’esistenza di una norma di legge o di
regolamento come condizione di liceità)
UBICAZIONE DEI DATI
Conosciamo il luogo dove è allocato lo spazio di
memoria?
Queste località godono di un adeguato livello di tutela
dei dati personali?
PRIVACY
• Abbiamo la garanzia che la cifratura sia disponibile a
tutti i livelli e che tale crittografia sia fornita da esperti
del ramo?
• Si possono impiegare i sistemi cloud delocalizzando i
dati degli utenti in sistemi CRM gestiti in paesi extra UE
per profilare le attività dei clienti?
RESPONSABILITÀ IN CASO DI ACCESSI
ABUSIVI E DISPERSIONE DEI DATI
• Chi è il soggetto responsabile in caso di perdita dei
dati?
• Cosa accade ai dati qualora il cloud provider
interrompa la fornitura del servizio?
La definizione della responsabilità giuridica e dei poteri di accesso e
controllo tra le parti è molto importante: sono poteri che un Titolare
deve poter esercitare quale conseguenza della sua posizione di vertice
L’ASSENZA DI UNA DISCIPLINA UNIFORME PER
TUTTI I CONTRATTI INFORMATICI DEL MONDO IT
CIÓ VALE ANCHE PER I CONTRATTI
CLOUD
Il criterio principale in materia di contrattualistica, soprattutto internazionale,
è quello dell’AUTONOMIA PRIVATA
Il principio di libertà di scelta tra le parti prevale su ogni altro criterio previsto
dalle convenzioni internazionali
Sono quelle che stabiliscono
a favore di colui che le ha predisposte:
• limitazioni di responsabilità;
• facoltà di recedere dal contratto o di sospenderne l'esecuzione
a carico dell'altro contraente;
• sanciscono decadenze, limitazioni alla facoltà di opporre
eccezioni, restrizioni alla libertà contrattuale nei rapporti coi
terzi, tacita proroga o rinnovazione del contratto, deroghe alla
competenza dell'autorità giudiziaria (art. 1341, II comma, c.c.)
ATTENZIONE!
SE NON SONO SPECIFICAMENTE
APPROVATE PER ISCRITTO, ALCUNE
CONDIZIONI SONO INEFFICACI
Il servizio prescelto potrebbe essere solo il
risultato finale di una catena di trasformazione
di servizi acquisiti presso altri service provider,
diversi dal fornitore con cui l’utente stipula il
contratto di servizio
COME HA OSSERVATO L’AUTORITÀ GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI:
A fronte di tali responsabilità complesse, il cliente potrebbe
non sempre essere messo in grado di sapere chi può accedere
a determinati dati fra i diversi gestori di servizi intermedi
Il servizio virtuale, in assenza di adeguate garanzie
in merito alla qualità della connettività di rete,
potrebbe occasionalmente risultare degradato in
presenza di elevati picchi di traffico o addirittura
indisponibile laddove si verifichino eventi anomali
quali, ad esempio, guasti, impedendo l’accessibilità
temporanea ai dati in esso conservati
In assenza di un’accurata previsione contrattuale dei livelli di
servizio garantiti (c.d. SERVICE LEVEL AGREEMENT), il
cliente potrebbe non riuscire a valutare l’esatto e diligente
adempimento della prestazione
E’ consigliabile ricorrere a servizi di cloud computing
privilegiando servizi basati su formati e standard aperti (nelle
modalità SaaS, PaaS o IaaS), che facilitino la transizione da un
sistema cloud a un altro, anche se gestiti da fornitori diversi. Ciò
al fine di:
PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA
PORTABILITÀ DEI DATI PER EVITARE IL VENDOR LOCK-IN
Evitare che possibili modifiche unilaterali
dei contratti di servizio da parte di uno
qualunque degli operatori della catena di
fornitura si traducano in condizioni
peggiorative vincolanti
Facilitare eventuali
successivi passaggi da un
fornitore all’altro
In fase di acquisizione del servizio cloud:
• l’UTENTE dovrebbe accertare il termine ultimo, successivo alla
scadenza del contratto, oltre il quale il fornitore cancella
definitivamente i dati che gli sono stati affidati;
• il FORNITORE dovrà garantire che i dati non saranno conservati
oltre i suddetti termini o comunque al di fuori di quanto
esplicitamente stabilito con l’utente stesso.
In ogni caso, i dati dovranno essere sempre conservati nel
rispetto della normativa applicabile, delle finalità e delle
modalità concordate, escludendo duplicazioni e comunicazioni a
terzi
VERIFICARE LE POLITICHE DI PERSISTENZA DEI
DATI LEGATE ALLA LORO CONSERVAZIONE E PORRE
ATTENZIONE AL DATA PRESERVATION
Per proteggere la confidenzialità dei dati, occorre VALUTARE
ANCHE LE MISURE DI SICUREZZA utilizzate per consentire
l’allocazione dei dati in cloud, privilegiando i fornitori che utilizzano
tecniche di trasmissione sicure, tramite CONNESSIONI CIFRATE
coadiuvate da sistemi di IDENTIFICAZIONE dei soggetti
autorizzati all'accesso.
LA COMPLESSITÀ DI TALI MISURE DI SICUREZZA DEVE
ESSERE COMMISURATA ALLA CRITICITÀ DEI DATI
Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati,
quali quelli strategici, personali o addirittura sensibili, per i quali sono
maggiormente pregnanti le esigenze di riservatezza, si raccomanda
l'utilizzo di protocolli sicuri nella fase di trasmissione e la
conservazione in forma cifrata sui sistemi del fornitore di servizio.
ESIGERE E ADOTTARE OPPORTUNE CAUTELE
PER TUTELARE LA CONFIDENZIALITÀ DEI DATI
• La sicurezza informatica e il corretto trattamento dei dati personali non
rappresentano un punto debole del cloud ma, al contrario, consentono di
raggiungere livelli di sicurezza impensabili per un CED di piccole e
medie dimensioni
• Vi è la necessità di una contrattazione delle modalità e finalità del
trattamento, compreso i livelli di sicurezza da garantire (SLA e PLA)
• Problema dell’allocazione di ruoli e responsabilità quando si valuta la
migrazione dei dati in una struttura cloud: il cloud provider potrebbe
essere considerato quale titolare autonomo del trattamento (scelta
ragionevole) o quale responsabile ex art. 29 d.lgs. 196/2003 (come
invece avviene nella prassi)
• Il cloud provider ha un ruolo esclusivo, rispetto al buyer, nel decidere il
profilo della sicurezza e la modalità di erogazione del proprio servizio,
incluse le scelte relative alla circolazione dei dati nei diversi luoghi e tra
distinti soggetti (come, ad esempio, i suoi subfornitori)
Considerazioni su Sicurezza e Privacy:
In caso di trasferimenti infragruppo, questi possono essere realizzati
utilizzando lo schema di BCR elaborato dal Gruppo "Articolo 29" dei
Garanti europei integrato dal WP 195 del 6 giugno 2012 contenente un
nuovo modello di norme vincolanti d’impresa definito “BCR for
processor”.
Codice Privacy per il “trasferimento dei dati, anche temporaneo, verso un
Paese terzo che non garantisca un livello di protezione adeguato” (artt.
42, 43 e 45 del Codice)
Misure previste:
- trasferimento consentito se autorizzato dal Garante qualora il livello di
garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite
decisioni della Commissione europea oppure
- qualora il titolare presti opportune garanzie in sede contrattuale
mediante l’adozione di regole di condotta infragruppo (le cosiddette
binding corporate rules, BCR) o mediante la sottoscrizione fra le parti
delle clausole contrattuali tipo previste dalle relative decisioni della
Commissione europea (art. 44 del Codice)
Parere del Garante su “Linee-guida per il D.R. delle PA”
Servizi cloud
il fornitore deve indicare con apposita dichiarazione resa in sede contrattuale,
l'esatta localizzazione, o le esatte localizzazioni dei dati gestiti:ciò serve a capire se questa particolare modalità di realizzazione del servizio rispetti effettivamente
la normativa privacy e l’articolo 45 del Codice, che vieta il trasferimento “anche temporaneo fuori
del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento,
diretto verso un Paese non appartenente all'Unione europea”, qualora “l'ordinamento del Paese di
destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato”
applicazione delle clausole specifiche elaborate dalla Commissione Europea nei
contratti di fornitura del servizio:si tratta di clausole, effettive dal 15 maggio 2010, che trasferiscono parte delle responsabilità sul
trattamento dati a chi effettivamente tratta i dati; poiché l’attività di outsourcing può essere
subappaltata anche più volte, nell’ambito del medesimo servizio, deve essere garantita chiarezza
su chi sia il responsabile per la sicurezza dei dati.
osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle
funzioni di amministrazione di sistema" del 27 novembre 2008»
DECISIONE DELLA COMMISSIONE del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il
trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva
95/46/CE del Parlamento europeo e del Consiglio
la nomina del Responsabile del trattamento dei dati (riguardo anche a
eventuali subappaltatori);
la definizione di regole per il trattamento dei dati al di fuori
dell’Unione europea;
la specifica individuazione dei poteri di controllo nei confronti del
Responsabile del trattamento e la relativa verifica della corretta
esecuzione delle istruzioni impartite;
il monitoraggio delle prestazioni del sistema;
il backup dei dati allocati nel cloud con periodicità almeno
giornaliera;
la definizione della politica di persistenza dei dati nel cloud;
la certificazione sul rispetto di determinati standard di sicurezza nella
gestione dei dati (ovvero ISO 27001:2005).
I cloud provider dovranno adempiere a PLA riguardanti:
A cosa prestare attenzione:
Scelta opportuna dei fornitori e clausole contrattuali e/o accordi di servizio (i
servizi cloud possono essere opportunamente progettati e regolamentati secondo
le esigenze delle varie organizzazioni)
Regolare i diritti dell’interessato e prevedere obblighi di acquisizione del
consenso e di informativa(DOMANDA: posso prescindere dall’acquisire il consenso degli interessati per il trasferimento
all’estero in paesi extra UE se quel paese – magari l’azienda X che opera negli Stati Uniti – ha
aderito Safe Harbour?)
Disciplinare attentamente i ruoli e compiti dei soggetti che effettuano il
trattamento (il titolare, il responsabile, gli incaricati);
Identificare e indicare con precisione i requisiti e i vincoli contrattuali a cui deve
sottostare il fornitore di servizi;
Adottare gli adempimenti e le misure per garantire la corretta gestione e
trattamento dei dati (soprattutto quelli sensibili) e la sicurezza dei dati e dei
sistemi (in particolare nel titolo VII del d.lgs. 196/2003 che regola il
“Trasferimento dei dati all’estero”);
Rispetto della Decisione 2010/87/UE del 5 febbraio 2010 (relativa alle clausole
contrattuali tipo per il trasferimento dei dati personali e incaricati del trattamento
stabiliti in paesi terzi), a seguito della quale il Garante ha emanato
un’Autorizzazione generale (27 maggio 2010).
CASO CONRETO: Titolare residente nella Unione europea che appalta
il servizio a un Responsabile (comunitario) che a sua volta subappalta ad
un terzo (previo accordo con il titolare) stabilito al di fuori dell’UE:
1. sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo (che lo farà in
qualità di importatore e non di sub-incaricato e per questo dovrà essere designato
responsabile: l’importatore infatti risponde direttamente al titolare di eventuali illiceità
mentre se firmasse come sub-incaricato la responsabilità rimarrebbe in capo all'appaltatore
che ha il ruolo di responsabile);
2. conferimento al Responsabile, da parte del titolare, di un mandato con
rappresentanza, generale o speciale, per la sottoscrizione delle clausole con il terzo (il
titolare rimane esportatore ed il sub-incaricato è importatore in quanto importa i dati dal
responsabile) facendo menzione del mandato tra gli incarichi e i compiti previsti dall'atto di
designazione; in questo caso, devono essere sottoscritte clausole contrattuali tipo ad hoc per
ogni specifica commessa, non potendo accettarsi accordi quadro o clausole contrattuali tipo
sottoscritte tra il responsabile ed il sub incaricato per regolare genericamente l'affidamento
del servizio (anche se questi hanno diversi rapporti contrattuali al di là della specifica
commessa);
3. sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato che siano però in
grado di fornire le stesse garanzie previste dalle “clausole contrattuali tipo”: solo in questo
caso il contratto deve essere vagliato dall'Autorità che potrà o meno autorizzare il
trattamento.
L’Autorità ha precisato, altresì, che nell’ambito di un rapporto
contrattuale di affidamento in subappalto di determinate attività, fra un
titolare stabilito nella Unione europea e un responsabile (residente in un
Paese extra-UE, c.d. importatore) che non fornisca adeguate garanzie e
affidi il trattamento a un soggetto terzo (anch’esso residente in un Paese
extra-UE, c.d. sub-incaricato), è previsto che il subcontratto possa
effettuarsi:
- previo consenso scritto dell’esportatore;
- ovvero se l’importatore faccia sottoscrivere al sub-incaricato le
medesime clausole contrattuali tipo;
- ovvero se l’importatore rimane l’unico responsabile nei confronti
dell’esportatore per eventuali inadempimenti da parte del sub-incaricato.
La finalità perseguita da tali prescrizioni è ovviamente quella che il titolare non
perda il controllo sui dati nel corso delle diverse fasi del trattamento.
Si lascia più spazio alla volontà negoziale delle parti per la corretta gestione del
trattamento del dato, introducendo una maggiore responsabilità e obblighi di
rendicontazione per chi tratta i dati in qualità di titolare/esportatore o importatore
TITOLO PRESENTAZIONERelatore
Gestire correttamente i propri documenti e le proprie
informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire
l’attribuibilità, l’integrità, l’autenticità, la sicurezza, la corretta archiviazione e la conservazione nel tempo al
proprio patrimonio di dati digitali
Gestire correttamente i propri documenti e le proprie
informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire
l’attribuibilità, l’integrità, l’autenticità, la sicurezza, la corretta archiviazione e la conservazione nel tempo al
proprio patrimonio di dati digitali
Le nuove regole tecniche sulla conservazione, coordinate anche con le altrettanto
importanti Regole tecniche in materia di protocollo informatico comportano per tutte
le PA e le Imprese coinvolte nei processi di digitalizzazione documentale la
predisposizione di un nuovo assetto organizzativo in grado di presidiare un sistema di
conservazione che soddisfi quando previsto dall’art. 44, 1° comma del Codice
dell’amministrazione digitale
Avv. Graziano Garrisi- copyright 2014
TITOLO PRESENTAZIONERelatore
Al Codice della Amministrazione Digitale:
Art. 44 (Requisiti per la conservazione dei documenti informatici)
1. Il sistema di conservazione dei documenti informatici garantisce:
a) l’identificazione certa del soggetto che ha formato il documento e
dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui
all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre
2000, n. 445;
b) l’integrità del documento;
c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni
identificative, inclusi i dati di registrazione e di classificazione originari;
d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del
decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato
in Allegato B a tale decreto.
Avv. Graziano Garrisi- copyright 2014
TITOLO PRESENTAZIONERelatore
Le più importanti novità che impattano su Privacy e Sicurezza:
- l’attenzione ai piani di disaster recovery e l'introduzione del concetto di continuità
operativa nella P.A.
(parere del Garante sullo schema di “Linee-guida per il Disaster Recovery delle pubbliche
amministrazioni” del 4 luglio 2013);
- la conferma della possibilità (anche per la PA) di affidare in outsourcing i processi di
conservazione digitale;
- la possibilità di far accreditare presso DigitPA i propri processi di conservazione sotto il
profilo della sicurezza e della qualità;
- la possibilità di ricorrere a soluzioni di «cloud computing» per sopperire a carenze
infrastrutturali e allocare i documenti e i dati personali;
- Corretta regolamentazione dei ruoli e delle responsabilità in ambito privacy (viene
superato il divieto in base al quale un Responsabile non può nominare a sua volta un altro
Responsabile). Avv. Graziano Garrisi- copyright 2014
Un buon contratto di outsourcing di servizi di conservazione dei documenti in cloud non dovrà
limitarsi alla corretta applicazione delle norme contenute nel Codice Civile e nel Codice
Privacy (regolamentando i processi di sicurezza e
privacy e stabilendo con quali modalità e da chi viene garantita la sicurezza informatica dei dati),
ma dovrà prevedere anche l’applicazione di norme internazionali o standard ISO (come ad
esempio la ISO 27001, la ETSI TR 101 533, UNI 11386- SinCRO, etc..).
Avv. Graziano Garrisi- copyright 2014
Di conseguenza, nel gestire al meglio la contrattualizzazione del servizio di cloud
computing applicato ai processi di conservazionedigitale risulta fondamentale l’applicazione di quel concetto di “interoperabilità intellettuale”
tra legali, informatici, archivisti e coloro che, in qualità di responsabili (interni o esterni
all’organizzazione), gestiscono il processo di conservazione digitale dei documenti.
Avv. Graziano Garrisi- copyright 2014
TITOLO PRESENTAZIONERelatore
La digitalizzazione documentale ha aperto la strada all’avvento di NUOVE
FIGURE PROFESSIONALI deputate a gestire i nostri documenti
informatici.
Tra queste, particolare importanza assume, in ogni moderna organizzazione
pubblica o privata, il Responsabile della conservazione digitale e
Responsabile del trattamento del dei documenti, incaricato di gestire tutti
i flussi informativi e documentali di un ente e tutte le fasi di vita dei
documenti, sino alla loro corretta archiviazione e conservazione nel tempo.
L’obiettivo perseguito
da tali nuove figure professionali è la
Digital Preservation
TITOLO PRESENTAZIONERelatore
Stakeholders per conservazione e privacy
Aziende del settore che operano sul mercato per conto della
domanda e dell’offerta;
Professionisti;
Enti e Pubbliche Amministrazioni.
Tutti coloro che si occupano di conservazione digitale, gestione
documentale e trattamento dei dati, nei diversi settori del
pubblico e del privato.
Avv. Graziano Garrisi- copyright 2014
TITOLO PRESENTAZIONERelatore
In tale contesto è ormai imprescindibile
valorizzare le figure professionali del
Responsabile della conservazione e del
Responsabile privacy, titolari di compiti, poteri e
funzioni fondamentali per una PA o un’azienda,
che ricoprono ruoli chiave nella gestione dei
processi digitali in ambito pubblico e privato,
figure alle quali è necessario garantire, dunque,
un’adeguata preparazione, un costante
aggiornamento e il riconoscimento delle
competenze.
Avv. Graziano Garrisi- copyright 2014
TITOLO PRESENTAZIONERelatore
In quest’ottica, la qualificazione della professione, come di ogni
altra attività economica, non è basata solo su norme cogenti come
nel caso degli Ordini professionali ma anche su strumenti
(certificazioni, marchi, attestati etc.) di carattere volontario, a
volte anche con controllo pubblico ma più spesso lasciati
all’autoregolamentazione dei privati.
LEGGE 14 gennaio 2013, n. 4
Disposizioni in materia di professioni
non organizzate
TITOLO PRESENTAZIONERelatore
Proprio per dare regolamentazione e il giusto riconoscimento a queste duefigure che operano in maniera complementare, è da poco natal’associazione ANORC Professioni, prima associazione italiana che haaperto per i Responsabili della conservazione e i Responsabili deltrattamento due registri nazionali, istituendo un percorso virtuoso diformazione e aggiornamento a loro dedicato
http://www.anorc.it/anorc_professioni/
Grazie ad ANORC Professioni queste due figure, spesso sottovalutate epoco conosciute, vedono finalmente riconosciute le loro competenzeattraverso l'iscrizione a un registro nazionale, in ottemperanza a quantostabilito dalla Legge del 14 gennaio 2013 n. 4 sulle professioni nonorganizzate in Ordini o Collegi.
Avv. Graziano Garrisi- copyright 2014
TITOLO PRESENTAZIONERelatore
Avv. Graziano Garrisi
Digital&Law Department Studio Legale Lisi
www.studiolegalelisi.it
Tel. 0832/256065 – Fax 0832/244802
e.mail: grazianogarrisi@studiolegalelisi.it
Grazie per l’attenzione
…e per contatti o ulteriori informazioni: