P RIVACY E CLOUD COMPUTING : UN CONNUBIO DIFFICILE MA NON IMPOSSIBILE Avv. Manuela Siano 1^ Forum...
22
PRIVACY E CLOUD COMPUTING: UN CONNUBIO DIFFICILE MA NON IMPOSSIBILE Avv. Manuela Siano Avv. Manuela Siano 1^ Forum Medialaws 1^ Forum Medialaws 30 marzo 2012 Milano 30 marzo 2012 Milano
-
Upload
lalia-simona -
Category
Documents
-
view
214 -
download
0
Transcript of P RIVACY E CLOUD COMPUTING : UN CONNUBIO DIFFICILE MA NON IMPOSSIBILE Avv. Manuela Siano 1^ Forum...
PRIVACY E CLOUD COMPUTING: UN CONNUBIO DIFFICILE MA NON
IMPOSSIBILE
Avv. Manuela SianoAvv. Manuela Siano
1^ Forum Medialaws1^ Forum Medialaws
30 marzo 2012 30 marzo 2012 MilanoMilano
CLOUD COMPUTING:Indicazione del Garante per
l’utilizzo consapevoledei servizi (giugno 2011)
Potenziali criticità
del cloud computing
Indicazioni concrete per
l’utilizzo conapevole
Cosa è il cloud computingPotenziali vantaggi
del cloud computing
Cosa è il cloud computing
È quell’insieme di tecnologie che favoriscono la È quell’insieme di tecnologie che favoriscono la fruizione e l'erogazione di applicazioni fruizione e l'erogazione di applicazioni softwaresoftware, , di capacita elaborativa e di stoccaggio (i di capacita elaborativa e di stoccaggio (i cosiddetti server remoti virtualizzati) via cosiddetti server remoti virtualizzati) via webweb, , favorendo il trasferimento dell’elaborazione e dei favorendo il trasferimento dell’elaborazione e dei dati dal computer dell’utente (dati dal computer dell’utente (consumer consumer o o azienda) ai sistemi del fornitore dei servizi. azienda) ai sistemi del fornitore dei servizi.
La complessità del sistema e la posizione fisica La complessità del sistema e la posizione fisica dei dati sono nascosti dalla «nuvola informatica» dei dati sono nascosti dalla «nuvola informatica» e talvolta restano ignoti all’utente. e talvolta restano ignoti all’utente.
Da qui le difficoltà per un effettivo controllo degli Da qui le difficoltà per un effettivo controllo degli utenti sul trattamento dei dati che li riguardano.utenti sul trattamento dei dati che li riguardano.
Cosa è il cloud computing
Un necessario distinguoUn necessario distinguo
•Private cloud: Private cloud: infrastruttura informatica per lo più dedicatainfrastruttura informatica per lo più dedicata
alle esigenze di una singola organizzazione, ubicata nei suoi alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale locali o affidata in gestione ad un terzo (nella tradizionale forma dell’forma dell’hosting hosting dei dei serverserver) nei confronti del quale il titolare ) nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale.dei dati può spesso esercitare un controllo puntuale.•Pubblic cloudPubblic cloud: l’infrastruttura è di proprietà di un fornitore: l’infrastruttura è di proprietà di un fornitore
specializzato nell’erogazione di servizi che mette a disposizione specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni - e quindi condivide tra di di utenti, aziende o amministrazioni - e quindi condivide tra di essi - i propri sistemi attraverso l’erogazione via essi - i propri sistemi attraverso l’erogazione via web web di di applicazioni informatiche, di capacità elaborativa e di applicazioni informatiche, di capacità elaborativa e di stoccaggio.stoccaggio.
Esternalizzare i dati nelle cloud pubblicheEsternalizzare i dati nelle cloud pubbliche
• promozione della sistematizzazione delle infrastrutture
• riorganizzazione dei flussi informativi e fruibilità dei dati
• razionalizzazione dei costi e quindi offerta di servizi più moderni, efficienti e funzionali in linea con le esigenze di crescita di un moderno Sistema Paese tramite con soluzioni acquisite a consumo presso terzi
Potenziali vantaggi del cloud computing
•esternalizzazione e delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati
•aspetti normativi in merito alla filiera delle responsabilità e all'importanza degli accordi di servizio
Potenziali criticità del cloud computing
• eventuali guasti subiti dal service/platform/infrastructure provider possono causare l'inaccessibilità o la perdita dei dati
• anche i guasti alla rete possono determinare l'indisponibilità dei dati
• l'utilizzo di tecnologie proprietarie da parte del fornitore di servizi potrebbe determinare problemi nel cambiare il fornitore stesso
Potenziali criticità del cloud computing
• conservazione dei dati in luoghi geografici differenti
• risorse noleggiate a utenza multipla e mutevole
• sicurezza informatica dei dati
Potenziali criticità del cloud computing
• ponderare prioritariamente rischi e benefici dei servizi offerti verificando anche l’affidabilità del fornitore
• privilegiare i servizi che favoriscono la portabilità dei dati
• assicurarsi la disponibilità dei dati in caso di necessità
Indicazioni per l’utilizzo consapevoledel cloud computing
Indicazioni per l’utilizzo consapevoledel cloud computing
• selezionare i dati da inserire nella cloud, verificando dove saranno allocati
• controllare le clausole contrattuali
• verificare le politiche di persistenza dei dati legate alla conservazione dei dati
Indicazioni per l’utilizzo consapevoledel cloud computing
• esigere e adottare opportune cautele per tutelare la confidenzialità dei dati
• formare adeguatamente il personale
UNO SGUARDO ALL’EUROPA
La riforma cloud-friendly
della privacy
Partenariato europeo
sul cloud computing
L’ENISA e la
sicurezza dei sistemi
di cloud computing
Criticità dall’Europa
e aspetti normativi di
privacy nel cloud computing
ENISA (European Network and Information Security Agency)
L’ENISA ha pubblicato uno L’ENISA ha pubblicato uno studio sui criteri utili a studio sui criteri utili a garantire sicurezza e “resilienza”garantire sicurezza e “resilienza” (ossia resistenza a (ossia resistenza a sollecitazioni esterne, anche improvvise) dei sistemi di sollecitazioni esterne, anche improvvise) dei sistemi di cloud cloud computing computing utilizzati (eventualmente) da soggetti pubblici. utilizzati (eventualmente) da soggetti pubblici. Nella scelta dell’architettura più indicata e delle garanzie Nella scelta dell’architettura più indicata e delle garanzie idonee a mantenere il controllo delle informazioni individua idonee a mantenere il controllo delle informazioni individua alcuni criteri-guida. È un processo di analisi del rischio che si alcuni criteri-guida. È un processo di analisi del rischio che si basa sull’analisi di una molteplicità di fattori, normativi e non. basa sull’analisi di una molteplicità di fattori, normativi e non. Il modello di “community cloud” appare attualmente Il modello di “community cloud” appare attualmente quello più indicato quello più indicato a tutelare i dati dei cittadini mantenendo a tutelare i dati dei cittadini mantenendo alla pubblica amministrazione un grado accettabile di alla pubblica amministrazione un grado accettabile di controllo; sono presi in esame, al riguardo, i vincoli controllo; sono presi in esame, al riguardo, i vincoli attualmente derivanti dalle normative di protezione dati ai fini attualmente derivanti dalle normative di protezione dati ai fini del trasferimento di dati personali verso Paesi terzi. del trasferimento di dati personali verso Paesi terzi.
http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/at_download/fullReport security-and-resilience-in-governmental-clouds/at_download/fullReport
Criticità dall’Europa e aspetti normativi di privacy nel cloud
PROBLEMI GENERALI CONDIVSI DALLE DPA UEPROBLEMI GENERALI CONDIVSI DALLE DPA UE
Titolarità del trattamento: Titolarità del trattamento:
- Chi è il titolare? Che ruolo ha il provider? - Chi è il titolare? Che ruolo ha il provider?
Sicurezza dei dati: Sicurezza dei dati:
- Chi deve garantire la sicurezza dei dati? - Chi deve garantire la sicurezza dei dati?
Trasferimento dei dati Trasferimento dei dati
- Dove sono i dati? - Dove sono i dati?
Disponibilità dei dati per fini di giustizia e polizia Disponibilità dei dati per fini di giustizia e polizia
- Possibilità che i dati siano disponibili in base alle norme - Possibilità che i dati siano disponibili in base alle norme locali locali
Attribuzione del rischio e limitazione della Attribuzione del rischio e limitazione della responsabilità responsabilità
-Chi è il responsabile della perdita dei dati? -Chi è il responsabile della perdita dei dati?
-Chi della mancata disponibilità del servizio? -Chi della mancata disponibilità del servizio?
Criticità dall’Europa e aspetti normativi di privacy nel cloud
NELLO SPECIFICONELLO SPECIFICO
1.1.Il contratto di cloud Il contratto di cloud deve definire: deve definire:
- Ruoli, responsabilità, normativa applicabile, penali, etc; - Ruoli, responsabilità, normativa applicabile, penali, etc;
- Dove sono i dati trattati e le specifiche misure adottate per - Dove sono i dati trattati e le specifiche misure adottate per rispettare la normativa applicabile; rispettare la normativa applicabile;
- Come il fornitore del servizio garantisce che i propri sistemi - Come il fornitore del servizio garantisce che i propri sistemi proteggano i dati nella loro consapevolezza e consistenza; proteggano i dati nella loro consapevolezza e consistenza;
- Quali attività il fornitore del servizio affida, eventualmente, a sub - Quali attività il fornitore del servizio affida, eventualmente, a sub fornitori e il livello di protezione sia almeno equivalente a quello fornitori e il livello di protezione sia almeno equivalente a quello richiesto dal cliente; richiesto dal cliente;
- Possibilità di verificare il rispetto delle norme da parte di terzi. - Possibilità di verificare il rispetto delle norme da parte di terzi.
Criticità dall’Europa e aspetti normativi di privacy nel cloud
Le condizioni contrattuali:Le condizioni contrattuali:
in in UK un gruppo di ricercatori UK un gruppo di ricercatori di varie università di varie università inglesi ha pubblicato un articolo che esamina le condizioni inglesi ha pubblicato un articolo che esamina le condizioni contrattuali offerte dai principali fornitori di servizi di contrattuali offerte dai principali fornitori di servizi di ““cloud computingcloud computing”. ”.
Emergono alcuni elementi preoccupanti: Emergono alcuni elementi preoccupanti: -presenza di ampie clausole di esclusione della presenza di ampie clausole di esclusione della responsabilità responsabilità -ambiguità sulla localizzazione dei serviziambiguità sulla localizzazione dei servizi-diversità degli approcci relativi alla conservazione diversità degli approcci relativi alla conservazione ulteriore dei dati ed alle misure di sicurezza (legata anche ulteriore dei dati ed alle misure di sicurezza (legata anche alla diversa tipologia dei servizi offerti). alla diversa tipologia dei servizi offerti).
Differenze vengono segnalate anche fra i soggetti con sede Differenze vengono segnalate anche fra i soggetti con sede in UE e quelli extra-UE (i primi appaiono maggiormente in UE e quelli extra-UE (i primi appaiono maggiormente garantisti anche in termini di protezione dati). garantisti anche in termini di protezione dati).
Criticità dall’Europa e aspetti normativi di privacy nel cloud
2. problemi ad individuare la filiera delle responsabilità2. problemi ad individuare la filiera delle responsabilità
3. certezza del diritto 3. certezza del diritto (dove la “nuvola” tocca terra: da (dove la “nuvola” tocca terra: da qualche parte deve pur avvenire). La Direttiva ancora in qualche parte deve pur avvenire). La Direttiva ancora in vigore detta tre criteri territoriali: vigore detta tre criteri territoriali: stabilimento del stabilimento del titolaretitolare, luogo degli , luogo degli strumenti strumenti utilizzati, utilizzati, stabilimento del stabilimento del responsabileresponsabile. .
• Se vi è coesistenza di più leggi, il titolare deve conformarsi Se vi è coesistenza di più leggi, il titolare deve conformarsi alla legge in ogni sede (v. WP29 e criterio del alla legge in ogni sede (v. WP29 e criterio del degree of degree of involvement, criterio funzionale, si applica legge dello involvement, criterio funzionale, si applica legge dello stabilimento in cui è effettivamente riconducibile il stabilimento in cui è effettivamente riconducibile il trattamentotrattamento); );
• Trasferimento di dati extra UE, lecito verso paesi che hanno Trasferimento di dati extra UE, lecito verso paesi che hanno livello adeguato. Altrimenti possibile se: consenso; clausole livello adeguato. Altrimenti possibile se: consenso; clausole standard; schemi contrattuali tipo; binding corporate rules; standard; schemi contrattuali tipo; binding corporate rules; safe harbor. safe harbor.
Criticità dall’Europa e aspetti normativi di privacy nel cloud
4. trasparenza per gli utenti4. trasparenza per gli utenti, completezza informativa e consenso; , completezza informativa e consenso;
5. data minimization, 5. data minimization, solo i dati effettivamente necessari devono solo i dati effettivamente necessari devono essere trattati attraverso tecnologie di cloud; essere trattati attraverso tecnologie di cloud;
66. . diritto dell’interessato a uscire dal trattamento; diritto dell’interessato a uscire dal trattamento;
7. diritto all’oblio 7. diritto all’oblio (non assoluto, ma relativo), si tratta di garantire (non assoluto, ma relativo), si tratta di garantire più che la cancellazione del dato la sua disponibilità in forma più che la cancellazione del dato la sua disponibilità in forma anonima. (Intervento della Kroes e comunicazione della Commissione anonima. (Intervento della Kroes e comunicazione della Commissione sulla futura direttiva 95/46); sulla futura direttiva 95/46);
8. portabilità dei dati personali, 8. portabilità dei dati personali, ad es. nella migrazione da un ad es. nella migrazione da un cloud cloud all’altroall’altro; ;
9. inversione dell’onere della prova in materi di data retention, 9. inversione dell’onere della prova in materi di data retention, sempre in carico al titolare dimostrare la conservazione ulteriore; sempre in carico al titolare dimostrare la conservazione ulteriore;
10. riformulazione delle deroghe per esigenze pubblicistiche10. riformulazione delle deroghe per esigenze pubblicistiche, , le limitazioni alle garanzie dell’interessato per esigenze le limitazioni alle garanzie dell’interessato per esigenze pubblicistiche vanno vanno definite con la massima precisione.pubblicistiche vanno vanno definite con la massima precisione.
Criticità dall’Europa e aspetti normativi di privacy nel cloud
Interessante Interessante analisi relativa all’applicabilità delle analisi relativa all’applicabilità delle norme norme tedesche tedesche ed europee in materia di protezione dati per quanto ed europee in materia di protezione dati per quanto concerne il concerne il cloud computing cloud computing (pubblicata dall’(pubblicata dall’Autorità di PD del Autorità di PD del Land Schleswig-HolsteinLand Schleswig-Holstein).).
Tale analisi si concentra su: Tale analisi si concentra su: a) a) titolarità del trattamentotitolarità del trattamento, indicando nell’utilizzatore di servizi di , indicando nell’utilizzatore di servizi di cloud computingcloud computing il titolare del trattamento e, quindi, il soggetto tenuto a il titolare del trattamento e, quindi, il soggetto tenuto a verificare l’idoneità dei responsabili ai quali viene affidato il trattamento verificare l’idoneità dei responsabili ai quali viene affidato il trattamento stesso (ossia le aziende/società che offrono servizi di stesso (ossia le aziende/società che offrono servizi di cloud computingcloud computing); );
b) necessità di ricorrere a b) necessità di ricorrere a garanzie contrattuali garanzie contrattuali appare fondamentale, appare fondamentale, per garantire la trasparenza del trattamento, eventualmente includendo per garantire la trasparenza del trattamento, eventualmente includendo anche le clausole standard approvate dalla Commissione europea per i anche le clausole standard approvate dalla Commissione europea per i trasferimenti di dati verso Paesi terzi. trasferimenti di dati verso Paesi terzi.
Il criterio deve essere quello della “Il criterio deve essere quello della “security by transparencysecurity by transparency” anziché la ” anziché la ““security by obscuritysecurity by obscurity” che sembra prevalere. Si suggerisce anche ” che sembra prevalere. Si suggerisce anche l’intervento di soggetti terzi che certifichino in modo indipendente l’intervento di soggetti terzi che certifichino in modo indipendente l’affidabilità dei soggetti che offrono servizi di l’affidabilità dei soggetti che offrono servizi di cloud computingcloud computing, al fine di , al fine di facilitare la valutazione ad opera del titolare (iniziative in tal senso sono facilitare la valutazione ad opera del titolare (iniziative in tal senso sono già presenti in Germania). già presenti in Germania).
Criticità dall’Europa e aspetti normativi di privacy nel cloud
Anche Anche l'Autorità svedese per la protezione dei dati dice che chi utilizza per la protezione dei dati dice che chi utilizza servizi cloud servizi cloud rimane il titolare del trattamentorimane il titolare del trattamento, e quindi responsabile , e quindi responsabile dei dati. Nella sua dichiarazione (30 settembre u.s.), afferma che le dei dati. Nella sua dichiarazione (30 settembre u.s.), afferma che le organizzazioni devono organizzazioni devono inserire accordi sul trattamento inserire accordi sul trattamento dei dati e dei dati e condurre una condurre una analisi di rischio e vulnerabilitàanalisi di rischio e vulnerabilità. L‘Autorità ha . L‘Autorità ha ispezionato tre organizzazioni per il rispetto della protezione dei dati in ispezionato tre organizzazioni per il rispetto della protezione dei dati in modalità modalità cloudcloud, individuando una serie di problemi da risolvere. , individuando una serie di problemi da risolvere.
1. le organizzazioni che utilizzano i servizi 1. le organizzazioni che utilizzano i servizi cloud cloud sembrano avere troppa sembrano avere troppa fiducia nel provider fiducia nel provider cloud; cloud;
2. vi è, tuttavia, l'incertezza su ciò che accade ai dati personali quando il 2. vi è, tuttavia, l'incertezza su ciò che accade ai dati personali quando il contratto finisce; contratto finisce;
3. i clienti non sanno dove i server sono e dove sono memorizzati i dati;3. i clienti non sanno dove i server sono e dove sono memorizzati i dati;
4. è importante essere in grado di fornire sufficienti garanzie che i 4. è importante essere in grado di fornire sufficienti garanzie che i fornitori di fornitori di cloud cloud adottare le misure di sicurezza necessarie per adottare le misure di sicurezza necessarie per proteggere i dati personali; proteggere i dati personali;
5. formulazioni poco chiare nei contratti che consentono al provider 5. formulazioni poco chiare nei contratti che consentono al provider cloud cloud di modificare unilateralmente i termini è un esempio di scarsa di modificare unilateralmente i termini è un esempio di scarsa compliancecompliance. .
Riforma cloud-friendly della privacy
Il 25 gennaio 2012, dopo oltre due anni di “cantiere aperto” e di confronto con i diversi stakeholders, la Commissione europea ha presentato ufficialmente le proposte di revisione delle norme sulla protezione dei dati personali:-Proposta di Regolamento (sostitutivo della Direttiva 95/46/CE);-Proposta di Direttiva (sostitutiva della Decisione 2008/977/GAI, ossia la Decisione quadro sulla protezione dati nell’ex III pilastro
•Impostazione di fondo della nuova disciplina: nel mondo globalizzato, interconnesso e del cloud computing, la protezione dei dati si spingerà oltre i confini europei (art. 3, 2 della proposta di Regolamento).
•Altre norme relative al cloud nella proposta di Regolamento
Partnership europea sul cloud
L’Europa sta lavorando da mesi per definire una Strategia comune sul cloud, che consentirà di raggiungere diversi obiettivi e permetterà all’Europa di non essere solo cloud-friendly, ma soprattutto cloud-active.Uno dei primi provvedimenti, annunciati il 26 gennaio 2012 al World Economic Forum di Davos dalla Commissaria Kroes,22 è la creazione di una Partnership europea sul cloud tra istituzioni pubblica e industria volta a individuare le esigenze comuni per la fornitura di servizi cloud.
L'iniziale lavoro della Partnership creerà una solida base comune per gli appalti cloud da parte delle autorità pubbliche. In principio gli appalti potrebbero ancora essere condotti separatamente, successivamente si potrebbe passare a un approccio comune, pubblico-privato, a livello locale, regionale o europeo, che permetterebbe una maggiore condivisione delle risorse e infine anche acquisti congiunti.
