Smau Bologna 2014 - L’uso del cloud e la tutela della privacy

Relatore: Avv. Graziano Garrisi

[email protected]

Privacy e Cloud, profili

organizzativi, responsabilità e

aspetti problematici della

contrattualizzazione

Riferimento al documento del

Garante “Cloud computing:

indicazioni per l'utilizzo

consapevole dei servizi”

favorire l'adozione consapevole e

responsabile di questa tipologia di

servizi

CAUTELA

Cloud computing, CO e DR

+ osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei

trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle

funzioni di amministrazione di sistema" del 27 novembre 2008”

PRIVATE CLOUD (o nuvola privata): infrastruttura informatica per lo più

dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali

o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei

server), nei confronti del quale il titolare dei dati può spesso esercitare un

controllo puntuale.

Le private cloud sono simili ai tradizionali “data center” nei quali, però,

sono usati degli accorgimenti tecnologici che permettono di ottimizzare

l’utilizzo delle risorse disponibili e di potenziarle attraverso investimenti

contenuti e attuati progressivamente nel tempo.

PUBLIC CLOUD: l’infrastruttura è di proprietà di un fornitore

specializzato nell’erogazione di servizi che mette a disposizione di utenti -

aziende o PA - e quindi condivide tra di essi i propri sistemi attraverso

l’erogazione dei servizi via web (applicazioni informatiche, capacità

elaborativa e di stoccaggio).

La fruizione di questi servizi avviene tramite la rete Internet.

Il fornitore del servizio assume un ruolo importante in ordine all’efficacia

delle misure adottate per garantire la protezione dei dati che gli sono stati

affidati.

“Il cloud si presenta come uno dei mezzi più economici per

assicurare a una gran parte dei servizi di eGovernment quelle

caratteristiche di efficacia, efficienza, trasparenza, partecipazione,

condivisione, cooperazione, interoperabilità e sicurezza previste dal

Codice dell'Amministrazione Digitale”.

(CAD – D.Lgs 82/2005)

1) Raccomandazioni e proposte sull'utilizzo del cloud

computing nella Pubblica Amministrazione (DigitPA - ora

Agenzia per l’Italia Digitale)

2) Linee Guida Garante Privacy

INTERNAZIONALITÀ IMPLICITA

• Quale legge si applica al rapporto contrattuale intercorrente tra

provider e cliente?

(lato privacy è lo stabilimento del Titolare a determinare la legge

applicabile; quindi definire se un cloud provider è titolare o

responsabile ha conseguenze decisive sulle norme applicabili)

• Ci sono delle clausole contrattuali redatte con formule standard

che possono essere nulle per un determinato ordinamento?

• Quale Autorità Giudiziaria è competente a decidere

sull’interpretazione di quel contratto?

• In quale Stato si aziona il diritto?

individuazione della disciplina specifica applicabile al trattamento (art. 19,

comma 3, 20 e 22, d.lgs. 196/2003): la trasmissione di dati ad altro titolare integra

una comunicazione che presuppone l’esistenza di una norma di legge o di

regolamento come condizione di liceità)

UBICAZIONE DEI DATI

Conosciamo il luogo dove è allocato lo spazio di

memoria?

Queste località godono di un adeguato livello di tutela

dei dati personali?

PRIVACY

• Abbiamo la garanzia che la cifratura sia disponibile a

tutti i livelli e che tale crittografia sia fornita da esperti

del ramo?

• Si possono impiegare i sistemi cloud delocalizzando i

dati degli utenti in sistemi CRM gestiti in paesi extra UE

per profilare le attività dei clienti?

RESPONSABILITÀ IN CASO DI ACCESSI

ABUSIVI E DISPERSIONE DEI DATI

• Chi è il soggetto responsabile in caso di perdita dei

dati?

• Cosa accade ai dati qualora il cloud provider

interrompa la fornitura del servizio?

La definizione della responsabilità giuridica e dei poteri di accesso e

controllo tra le parti è molto importante: sono poteri che un Titolare

deve poter esercitare quale conseguenza della sua posizione di vertice

L’ASSENZA DI UNA DISCIPLINA UNIFORME PER

TUTTI I CONTRATTI INFORMATICI DEL MONDO IT

CIÓ VALE ANCHE PER I CONTRATTI

CLOUD

Il criterio principale in materia di contrattualistica, soprattutto internazionale,

è quello dell’AUTONOMIA PRIVATA

Il principio di libertà di scelta tra le parti prevale su ogni altro criterio previsto

dalle convenzioni internazionali

Sono quelle che stabiliscono

a favore di colui che le ha predisposte:

• limitazioni di responsabilità;

• facoltà di recedere dal contratto o di sospenderne l'esecuzione

a carico dell'altro contraente;

• sanciscono decadenze, limitazioni alla facoltà di opporre

eccezioni, restrizioni alla libertà contrattuale nei rapporti coi

terzi, tacita proroga o rinnovazione del contratto, deroghe alla

competenza dell'autorità giudiziaria (art. 1341, II comma, c.c.)

ATTENZIONE!

SE NON SONO SPECIFICAMENTE

APPROVATE PER ISCRITTO, ALCUNE

CONDIZIONI SONO INEFFICACI

Il servizio prescelto potrebbe essere solo il

risultato finale di una catena di trasformazione

di servizi acquisiti presso altri service provider,

diversi dal fornitore con cui l’utente stipula il

contratto di servizio

COME HA OSSERVATO L’AUTORITÀ GARANTE

PER LA PROTEZIONE DEI DATI PERSONALI:

A fronte di tali responsabilità complesse, il cliente potrebbe

non sempre essere messo in grado di sapere chi può accedere

a determinati dati fra i diversi gestori di servizi intermedi

Il servizio virtuale, in assenza di adeguate garanzie

in merito alla qualità della connettività di rete,

potrebbe occasionalmente risultare degradato in

presenza di elevati picchi di traffico o addirittura

indisponibile laddove si verifichino eventi anomali

quali, ad esempio, guasti, impedendo l’accessibilità

temporanea ai dati in esso conservati

In assenza di un’accurata previsione contrattuale dei livelli di

servizio garantiti (c.d. SERVICE LEVEL AGREEMENT), il

cliente potrebbe non riuscire a valutare l’esatto e diligente

adempimento della prestazione

E’ consigliabile ricorrere a servizi di cloud computing

privilegiando servizi basati su formati e standard aperti (nelle

modalità SaaS, PaaS o IaaS), che facilitino la transizione da un

sistema cloud a un altro, anche se gestiti da fornitori diversi. Ciò

al fine di:

PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA

PORTABILITÀ DEI DATI PER EVITARE IL VENDOR LOCK-IN

Evitare che possibili modifiche unilaterali

dei contratti di servizio da parte di uno

qualunque degli operatori della catena di

fornitura si traducano in condizioni

peggiorative vincolanti

Facilitare eventuali

successivi passaggi da un

fornitore all’altro

In fase di acquisizione del servizio cloud:

• l’UTENTE dovrebbe accertare il termine ultimo, successivo alla

scadenza del contratto, oltre il quale il fornitore cancella

definitivamente i dati che gli sono stati affidati;

• il FORNITORE dovrà garantire che i dati non saranno conservati

oltre i suddetti termini o comunque al di fuori di quanto

esplicitamente stabilito con l’utente stesso.

In ogni caso, i dati dovranno essere sempre conservati nel

rispetto della normativa applicabile, delle finalità e delle

modalità concordate, escludendo duplicazioni e comunicazioni a

terzi

VERIFICARE LE POLITICHE DI PERSISTENZA DEI

DATI LEGATE ALLA LORO CONSERVAZIONE E PORRE

ATTENZIONE AL DATA PRESERVATION

Per proteggere la confidenzialità dei dati, occorre VALUTARE

ANCHE LE MISURE DI SICUREZZA utilizzate per consentire

l’allocazione dei dati in cloud, privilegiando i fornitori che utilizzano

tecniche di trasmissione sicure, tramite CONNESSIONI CIFRATE

coadiuvate da sistemi di IDENTIFICAZIONE dei soggetti

autorizzati all'accesso.

LA COMPLESSITÀ DI TALI MISURE DI SICUREZZA DEVE

ESSERE COMMISURATA ALLA CRITICITÀ DEI DATI

Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati,

quali quelli strategici, personali o addirittura sensibili, per i quali sono

maggiormente pregnanti le esigenze di riservatezza, si raccomanda

l'utilizzo di protocolli sicuri nella fase di trasmissione e la

conservazione in forma cifrata sui sistemi del fornitore di servizio.

ESIGERE E ADOTTARE OPPORTUNE CAUTELE

PER TUTELARE LA CONFIDENZIALITÀ DEI DATI

• La sicurezza informatica e il corretto trattamento dei dati personali non

rappresentano un punto debole del cloud ma, al contrario, consentono di

raggiungere livelli di sicurezza impensabili per un CED di piccole e

medie dimensioni

• Vi è la necessità di una contrattazione delle modalità e finalità del

trattamento, compreso i livelli di sicurezza da garantire (SLA e PLA)

• Problema dell’allocazione di ruoli e responsabilità quando si valuta la

migrazione dei dati in una struttura cloud: il cloud provider potrebbe

essere considerato quale titolare autonomo del trattamento (scelta

ragionevole) o quale responsabile ex art. 29 d.lgs. 196/2003 (come

invece avviene nella prassi)

• Il cloud provider ha un ruolo esclusivo, rispetto al buyer, nel decidere il

profilo della sicurezza e la modalità di erogazione del proprio servizio,

incluse le scelte relative alla circolazione dei dati nei diversi luoghi e tra

distinti soggetti (come, ad esempio, i suoi subfornitori)

Considerazioni su Sicurezza e Privacy:

In caso di trasferimenti infragruppo, questi possono essere realizzati

utilizzando lo schema di BCR elaborato dal Gruppo "Articolo 29" dei

Garanti europei integrato dal WP 195 del 6 giugno 2012 contenente un

nuovo modello di norme vincolanti d’impresa definito “BCR for

processor”.

Codice Privacy per il “trasferimento dei dati, anche temporaneo, verso un

Paese terzo che non garantisca un livello di protezione adeguato” (artt.

42, 43 e 45 del Codice)

Misure previste:

- trasferimento consentito se autorizzato dal Garante qualora il livello di

garanzia offerto dal Paese terzo sia stato ritenuto idoneo da apposite

decisioni della Commissione europea oppure

- qualora il titolare presti opportune garanzie in sede contrattuale

mediante l’adozione di regole di condotta infragruppo (le cosiddette

binding corporate rules, BCR) o mediante la sottoscrizione fra le parti

delle clausole contrattuali tipo previste dalle relative decisioni della

Commissione europea (art. 44 del Codice)

Parere del Garante su “Linee-guida per il D.R. delle PA”

Servizi cloud

il fornitore deve indicare con apposita dichiarazione resa in sede contrattuale,

l'esatta localizzazione, o le esatte localizzazioni dei dati gestiti:ciò serve a capire se questa particolare modalità di realizzazione del servizio rispetti effettivamente

la normativa privacy e l’articolo 45 del Codice, che vieta il trasferimento “anche temporaneo fuori

del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento,

diretto verso un Paese non appartenente all'Unione europea”, qualora “l'ordinamento del Paese di

destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato”

applicazione delle clausole specifiche elaborate dalla Commissione Europea nei

contratti di fornitura del servizio:si tratta di clausole, effettive dal 15 maggio 2010, che trasferiscono parte delle responsabilità sul

trattamento dati a chi effettivamente tratta i dati; poiché l’attività di outsourcing può essere

subappaltata anche più volte, nell’ambito del medesimo servizio, deve essere garantita chiarezza

su chi sia il responsabile per la sicurezza dei dati.

osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei

trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle

funzioni di amministrazione di sistema" del 27 novembre 2008»

DECISIONE DELLA COMMISSIONE del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il

trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva

95/46/CE del Parlamento europeo e del Consiglio

la nomina del Responsabile del trattamento dei dati (riguardo anche a

eventuali subappaltatori);

la definizione di regole per il trattamento dei dati al di fuori

dell’Unione europea;

la specifica individuazione dei poteri di controllo nei confronti del

Responsabile del trattamento e la relativa verifica della corretta

esecuzione delle istruzioni impartite;

il monitoraggio delle prestazioni del sistema;

il backup dei dati allocati nel cloud con periodicità almeno

giornaliera;

la definizione della politica di persistenza dei dati nel cloud;

la certificazione sul rispetto di determinati standard di sicurezza nella

gestione dei dati (ovvero ISO 27001:2005).

I cloud provider dovranno adempiere a PLA riguardanti:

A cosa prestare attenzione:

Scelta opportuna dei fornitori e clausole contrattuali e/o accordi di servizio (i

servizi cloud possono essere opportunamente progettati e regolamentati secondo

le esigenze delle varie organizzazioni)

Regolare i diritti dell’interessato e prevedere obblighi di acquisizione del

consenso e di informativa(DOMANDA: posso prescindere dall’acquisire il consenso degli interessati per il trasferimento

all’estero in paesi extra UE se quel paese – magari l’azienda X che opera negli Stati Uniti – ha

aderito Safe Harbour?)

Disciplinare attentamente i ruoli e compiti dei soggetti che effettuano il

trattamento (il titolare, il responsabile, gli incaricati);

Identificare e indicare con precisione i requisiti e i vincoli contrattuali a cui deve

sottostare il fornitore di servizi;

Adottare gli adempimenti e le misure per garantire la corretta gestione e

trattamento dei dati (soprattutto quelli sensibili) e la sicurezza dei dati e dei

sistemi (in particolare nel titolo VII del d.lgs. 196/2003 che regola il

“Trasferimento dei dati all’estero”);

Rispetto della Decisione 2010/87/UE del 5 febbraio 2010 (relativa alle clausole

contrattuali tipo per il trasferimento dei dati personali e incaricati del trattamento

stabiliti in paesi terzi), a seguito della quale il Garante ha emanato

un’Autorizzazione generale (27 maggio 2010).

CASO CONRETO: Titolare residente nella Unione europea che appalta

il servizio a un Responsabile (comunitario) che a sua volta subappalta ad

un terzo (previo accordo con il titolare) stabilito al di fuori dell’UE:

1. sottoscrizione diretta delle clausole tra il titolare ed il soggetto terzo (che lo farà in

qualità di importatore e non di sub-incaricato e per questo dovrà essere designato

responsabile: l’importatore infatti risponde direttamente al titolare di eventuali illiceità

mentre se firmasse come sub-incaricato la responsabilità rimarrebbe in capo all'appaltatore

che ha il ruolo di responsabile);

2. conferimento al Responsabile, da parte del titolare, di un mandato con

rappresentanza, generale o speciale, per la sottoscrizione delle clausole con il terzo (il

titolare rimane esportatore ed il sub-incaricato è importatore in quanto importa i dati dal

responsabile) facendo menzione del mandato tra gli incarichi e i compiti previsti dall'atto di

designazione; in questo caso, devono essere sottoscritte clausole contrattuali tipo ad hoc per

ogni specifica commessa, non potendo accettarsi accordi quadro o clausole contrattuali tipo

sottoscritte tra il responsabile ed il sub incaricato per regolare genericamente l'affidamento

del servizio (anche se questi hanno diversi rapporti contrattuali al di là della specifica

commessa);

3. sottoscrizione di contratti ad hoc tra il titolare ed il sub-incaricato che siano però in

grado di fornire le stesse garanzie previste dalle “clausole contrattuali tipo”: solo in questo

caso il contratto deve essere vagliato dall'Autorità che potrà o meno autorizzare il

trattamento.

L’Autorità ha precisato, altresì, che nell’ambito di un rapporto

contrattuale di affidamento in subappalto di determinate attività, fra un

titolare stabilito nella Unione europea e un responsabile (residente in un

Paese extra-UE, c.d. importatore) che non fornisca adeguate garanzie e

affidi il trattamento a un soggetto terzo (anch’esso residente in un Paese

extra-UE, c.d. sub-incaricato), è previsto che il subcontratto possa

effettuarsi:

- previo consenso scritto dell’esportatore;

- ovvero se l’importatore faccia sottoscrivere al sub-incaricato le

medesime clausole contrattuali tipo;

- ovvero se l’importatore rimane l’unico responsabile nei confronti

dell’esportatore per eventuali inadempimenti da parte del sub-incaricato.

La finalità perseguita da tali prescrizioni è ovviamente quella che il titolare non

perda il controllo sui dati nel corso delle diverse fasi del trattamento.

Si lascia più spazio alla volontà negoziale delle parti per la corretta gestione del

trattamento del dato, introducendo una maggiore responsabilità e obblighi di

rendicontazione per chi tratta i dati in qualità di titolare/esportatore o importatore

TITOLO PRESENTAZIONERelatore

Gestire correttamente i propri documenti e le proprie

informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire

l’attribuibilità, l’integrità, l’autenticità, la sicurezza, la corretta archiviazione e la conservazione nel tempo al

proprio patrimonio di dati digitali

Gestire correttamente i propri documenti e le proprie

informazioni rilevanti significa adottare modelli e metodologie “a norma” finalizzati a garantire

l’attribuibilità, l’integrità, l’autenticità, la sicurezza, la corretta archiviazione e la conservazione nel tempo al

proprio patrimonio di dati digitali

Le nuove regole tecniche sulla conservazione, coordinate anche con le altrettanto

importanti Regole tecniche in materia di protocollo informatico comportano per tutte

le PA e le Imprese coinvolte nei processi di digitalizzazione documentale la

predisposizione di un nuovo assetto organizzativo in grado di presidiare un sistema di

conservazione che soddisfi quando previsto dall’art. 44, 1° comma del Codice

dell’amministrazione digitale

Avv. Graziano Garrisi- copyright 2014


Al Codice della Amministrazione Digitale:

Art. 44 (Requisiti per la conservazione dei documenti informatici)

1. Il sistema di conservazione dei documenti informatici garantisce:

a) l’identificazione certa del soggetto che ha formato il documento e

dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui

all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre

2000, n. 445;

b) l’integrità del documento;

c) la leggibilità e l’agevole reperibilità dei documenti e delle informazioni

identificative, inclusi i dati di registrazione e di classificazione originari;

d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del

decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato

in Allegato B a tale decreto.



Le più importanti novità che impattano su Privacy e Sicurezza:

- l’attenzione ai piani di disaster recovery e l'introduzione del concetto di continuità

operativa nella P.A.

(parere del Garante sullo schema di “Linee-guida per il Disaster Recovery delle pubbliche

amministrazioni” del 4 luglio 2013);

- la conferma della possibilità (anche per la PA) di affidare in outsourcing i processi di

conservazione digitale;

- la possibilità di far accreditare presso DigitPA i propri processi di conservazione sotto il

profilo della sicurezza e della qualità;

- la possibilità di ricorrere a soluzioni di «cloud computing» per sopperire a carenze

infrastrutturali e allocare i documenti e i dati personali;

- Corretta regolamentazione dei ruoli e delle responsabilità in ambito privacy (viene

superato il divieto in base al quale un Responsabile non può nominare a sua volta un altro

Responsabile). Avv. Graziano Garrisi- copyright 2014

Un buon contratto di outsourcing di servizi di conservazione dei documenti in cloud non dovrà

limitarsi alla corretta applicazione delle norme contenute nel Codice Civile e nel Codice

Privacy (regolamentando i processi di sicurezza e

privacy e stabilendo con quali modalità e da chi viene garantita la sicurezza informatica dei dati),

ma dovrà prevedere anche l’applicazione di norme internazionali o standard ISO (come ad

esempio la ISO 27001, la ETSI TR 101 533, UNI 11386- SinCRO, etc..).


Di conseguenza, nel gestire al meglio la contrattualizzazione del servizio di cloud

computing applicato ai processi di conservazionedigitale risulta fondamentale l’applicazione di quel concetto di “interoperabilità intellettuale”

tra legali, informatici, archivisti e coloro che, in qualità di responsabili (interni o esterni

all’organizzazione), gestiscono il processo di conservazione digitale dei documenti.



La digitalizzazione documentale ha aperto la strada all’avvento di NUOVE

FIGURE PROFESSIONALI deputate a gestire i nostri documenti

informatici.

Tra queste, particolare importanza assume, in ogni moderna organizzazione

pubblica o privata, il Responsabile della conservazione digitale e

Responsabile del trattamento del dei documenti, incaricato di gestire tutti

i flussi informativi e documentali di un ente e tutte le fasi di vita dei

documenti, sino alla loro corretta archiviazione e conservazione nel tempo.

L’obiettivo perseguito

da tali nuove figure professionali è la

Digital Preservation


Stakeholders per conservazione e privacy

Aziende del settore che operano sul mercato per conto della

domanda e dell’offerta;

Professionisti;

Enti e Pubbliche Amministrazioni.

Tutti coloro che si occupano di conservazione digitale, gestione

documentale e trattamento dei dati, nei diversi settori del

pubblico e del privato.



In tale contesto è ormai imprescindibile

valorizzare le figure professionali del

Responsabile della conservazione e del

Responsabile privacy, titolari di compiti, poteri e

funzioni fondamentali per una PA o un’azienda,

che ricoprono ruoli chiave nella gestione dei

processi digitali in ambito pubblico e privato,

figure alle quali è necessario garantire, dunque,

un’adeguata preparazione, un costante

aggiornamento e il riconoscimento delle

competenze.



In quest’ottica, la qualificazione della professione, come di ogni

altra attività economica, non è basata solo su norme cogenti come

nel caso degli Ordini professionali ma anche su strumenti

(certificazioni, marchi, attestati etc.) di carattere volontario, a

volte anche con controllo pubblico ma più spesso lasciati

all’autoregolamentazione dei privati.

LEGGE 14 gennaio 2013, n. 4

Disposizioni in materia di professioni

non organizzate


Proprio per dare regolamentazione e il giusto riconoscimento a queste duefigure che operano in maniera complementare, è da poco natal’associazione ANORC Professioni, prima associazione italiana che haaperto per i Responsabili della conservazione e i Responsabili deltrattamento due registri nazionali, istituendo un percorso virtuoso diformazione e aggiornamento a loro dedicato

http://www.anorc.it/anorc_professioni/

Grazie ad ANORC Professioni queste due figure, spesso sottovalutate epoco conosciute, vedono finalmente riconosciute le loro competenzeattraverso l'iscrizione a un registro nazionale, in ottemperanza a quantostabilito dalla Legge del 14 gennaio 2013 n. 4 sulle professioni nonorganizzate in Ordini o Collegi.



Avv. Graziano Garrisi

Digital&Law Department Studio Legale Lisi

www.studiolegalelisi.it

Tel. 0832/256065 – Fax 0832/244802

e.mail: [email protected]

Grazie per l’attenzione

…e per contatti o ulteriori informazioni:

Smau Bologna 2014 - L’uso del cloud e la tutela della privacy

Technology

Transcript of Smau Bologna 2014 - L’uso del cloud e la tutela della privacy