Post on 04-Jun-2015
22/10/2012 Titolo della presentazione 1/2
0
http://www.massimofarina.it
http://www.diricto.it
La privacy nel Cloud Computing
Di Massimo Farina
ijflhsgòfahdglàakgàykèpè
pkùykjpmùpok
In materia ci sono due principali interventi del
22/10/2012 Titolo della presentazione 2/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
principali interventi del Garante per la protezione
dei dati personali
Cloud Computing:INDICAZIONI PER L’USO
CONSAPEVOLE DEI SERVIZICloud Computing:
IL VADEMECUM DEL GARANTE
16 novembre 201124 maggio 2012
Insieme di tecnologie e di modalitàdi fruizione di servizi informatici chefavoriscono l’utilizzo e l’erogazionedi software, la possibilità diconservare e di elaborare grandiquantità di informazioni via Internet
Tutto può essere demandatoall’esterno, in outsourcing, e a uncosto potenzialmente limitato, inquanto le risorse informatichenecessarie per i servizi richiestipossono essere condivise con altrisoggetti che hanno le stesseesigenze.
22/10/2012 Titolo della presentazione 3/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
Il cloud offre, a seconda dei casi, iltrasferimento della conservazione odell’elaborazione dei dati daicomputer degli utenti ai sistemi delfornitore .
Il cloud consente di usufruire diservizi complessi senza doversinecessariamente dotare né dicomputer e altri hardware avanzati,né di personale in grado diprogrammare o gestire il sistema.
esigenze.
(o “nuvola privata”) è una infrastruttura informatica (rete di computer collegati peroffrire servizi) per lo più dedicata alle esigenze di una singola organizzazione ,ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma
22/10/2012 Titolo della presentazione 4/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale formadell’hosting dei server), nei confronti del quale il titolare dei dati può esercitare uncontrollo puntuale.
Es. Le “nuvole private” possono essere paragonate ai
tradizionali “data center” nei quali, però, sono usati
degli accorgimenti tecnologici che permettono di
ottimizzare l’utilizzo delle risorse disponibili e di
potenziarle agevolmente in caso di necessità.
(o “nuvola pubblica”) è l’infrastruttura di proprietà di un fornitore specializzatonell’erogazione di servizi che mette a disposizione di utenti, aziende oamministrazioni i propri sistemi attraverso la condivisione e l’erogazione via Internet
22/10/2012 Titolo della presentazione 5/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
amministrazioni i propri sistemi attraverso la condivisione e l’erogazione via Internetdi applicazioni informatiche , di capacità elaborativa e di “stoccaggio” dati.
La fruizione di tali servizi avviene tramite la rete Interne t e implica il trasferimento dei solidati o anche dell’attività di elaborazione presso i sistemi del fornitore del servizio, il qualeassume un ruolo importante in ordine all’efficacia delle mi sure adottate per garantire laprotezione delle informazioni che gli sono state affidate.
Con la cessione dei dati si cede anche una parte importante del controllo esercitabile su di essi
(o “altre nuvole” o “nuvole miste”) si tratta di sistemi :
22/10/2012 Titolo della presentazione 6/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
1) caratterizzati da soluzioni che prevedono l’utilizzo di servizi erogati dainfrastrutture private accanto a servizi acquisiti da cloud pubblici –
2) cloud di gruppo (community cloud), in cui l’infrastruttura è condivisa dadiverse organizzazioni a beneficio di una specifica comunità di utenti
- Il fornitore del servizio cloud offre,secondo un modello “a consumo”, glistrumenti hardware e software di base
infrastruttura cloud resa disponibile come servizio
Es. server virtuali remoti
22/10/2012 Titolo della presentazione 7/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
(spazi di memoria, sistemi operativi,programmi di virtualizzazione…)
Caratteristiche principali
Es. server virtuali remotiche l’utente finale puòutilizzare in sostituzioneo in affiancamento aisistemi già presenti neilocali dell’azienda odell’amministrazione- Tali fornitori sono in genere
operatori di mercato specializzati,che dispongono di un’infrastrutturatecnologica, complessa e spessodistribuita in aree geografichediverse.
- Il fornitore eroga via Internet unaserie di servizi applicativi ponendoli
software erogato come serviziodel cloud
22/10/2012 Titolo della presentazione 8/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
serie di servizi applicativi ponendolia disposizione degli utenti finali
Caratteristiche principali
Es. applicazioni comunemente usate negli uffici erogate in modalitàweb quali l’elaborazione di fogli di calcolo o di testi, la ge stione delprotocollo e delle regole per l’accesso informatico ai docu menti, larubrica dei contatti e i calendari condivisi, ma anche ai più avanzatiservizi di posta elettronica.
- Il fornitore offre soluzioni evolute disviluppo software che rispondono allespecifiche esigenze del cliente .
PAAS piattaforme software fornite via Internet come servizio
Es. applicativi per la
22/10/2012 Titolo della presentazione 9/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
specifiche esigenze del cliente .
Caratteristiche principali
Es. applicativi per lagestione finanziaria, dellacontabilità o dellalogistica
- In genere questo tipo di servizi èrivolto a operatori di mercato che liutilizzano per sviluppare e ospitaresoluzioni applicative proprie, alloscopo di assolvere a esigenzeinterne, oppure per fornire a lorovolta servizi a terzi.
Assenza di un quadro normativo dedicato al cloud computing
la normativa europea sulla protezione dei dati risale al 1995.
d.lgs. 69 e 70 / 2012, recepimentodelle direttive 2009/136/EC “in
Nuovo obbligo, per le società telefoniche e gli internet provider:
22/10/2012 Titolo della presentazione
10/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
delle direttive 2009/136/EC “inmateria di trattamento dei datipersonali e tutela della vita privatanel settore delle comunicazionielettroniche ”, e 2009/140/C “inmateria di reti e servizi dicomunicazione elettronica ”
-notificare alle rispettive Authority tutte leviolazioni di sicurezza relative ai dati personali;
- la notifica va effettuata anche agli utenti“quando la violazione di dati personalirischia di arrecare pregiudizio ai datipersonali o alla riservatezza di contraente odi altra persona ”.
Il prossimo futuro(entro il 2014)
approvazione del nuovo Regolamento europeo sulla protezione dei dati che sostituirà il Codice della Privacy
TITOLARE
DIVIETO GENERALE : consentito
Corretto inquadramento del titolare e del rapporto con i responsabili e gli incaricati
22/10/2012 Titolo della presentazione
11/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
TRASFERIMENTO DI
DATI ALL’ESTERO
DIVIETO GENERALE : consentito solo verso paesi che garantiscono “un adeguato livello di tutela ”
Facilitato nei casi di cloud provider che aderiscano aprogrammi di protezione dati come Safe Harbor (accordobilaterale Ue-Usa che definisce regole sicure e condiviseper il trasferimento dei dati personali effettuato versoaziende presenti sul territorio americano.
Particolare attenzione per itrasferimenti infragruppo dellemultinazionali
Il titolare dei dati deve assicurarsi che:siano adottate misure tecniche e organizzative volte aridurre al minimo i rischi di distruzione o perdita ancheaccidentale dei dati, di accesso non autorizzato, ditrattamento non consentito o non conforme alle finalitàdella raccolta, di modifica dei dati in conseguenza di
22/10/2012 Titolo della presentazione
12/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
MISURE DI
SICUREZZA
della raccolta, di modifica dei dati in conseguenza diinterventi non autorizzati o non conformi alle regole.
Il cliente dovrebbe, ad esempio, accertarsi che i datisiano sempre “disponibili” (che si possa cioè sempreaccedere ai dati) e “riservati” (che l’accesso cioè siaconsentito solo a chi ne ha diritto).Per garantire che i dati siano al sicuro, non sonoimportanti solo le modalità con cui sono conservati, maanche quelle con cui sono trasmessi (ad esempioutilizzando tecniche di cifratura).
INFORMATIVAINFORMATIVA
Art. 13 L'interessato o la persona presso la quale sonoraccolti i dati personali sono previamente informati oralmenteo per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati idati;b) la natura obbligatoria o facoltativa del conferimento deidati;c) le conseguenze di un eventuale rifiuto di rispondere;
22/10/2012 Titolo della presentazione
13/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
INFORMATIVAINFORMATIVAc) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambito didiffusione dei dati medesimi;e) i diritti di cui all'articolo 7;
Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro .
Aspetti negoziali : i contratti per l’erogazione dei servizi
22/10/2012 Titolo della presentazione
14/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
Contratti atipici misti
Sviluppo: software housing
hostingLicenza d’uso
mautenzione
Grazie per l’attenzione
http://www.massimofarina.it
http://www.diricto.it
22/10/2012 Titolo della presentazione
15/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
http://www.diricto.it
massimo@massimofarina.it
Attribuzione - Non Commerciale - Condividi allo stess o modo 2.5
� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera � di creare opere derivate � Alle seguenti condizioni:
LICENZA
22/10/2012 Titolo della presentazione
16/2
0
22/10/2012 Titolo della presentazione 3/2
0Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
� Alle seguenti condizioni:� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra