22/10/2012 Titolo della presentazione 1/2

0

http://www.massimofarina.it

http://www.diricto.it

La privacy nel Cloud Computing

Di Massimo Farina

ijflhsgòfahdglàakgàykèpè

pkùykjpmùpok

In materia ci sono due principali interventi del

22/10/2012 Titolo della presentazione 2/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

principali interventi del Garante per la protezione

dei dati personali

Cloud Computing:INDICAZIONI PER L’USO

CONSAPEVOLE DEI SERVIZICloud Computing:

IL VADEMECUM DEL GARANTE

16 novembre 201124 maggio 2012

Insieme di tecnologie e di modalitàdi fruizione di servizi informatici chefavoriscono l’utilizzo e l’erogazionedi software, la possibilità diconservare e di elaborare grandiquantità di informazioni via Internet

Tutto può essere demandatoall’esterno, in outsourcing, e a uncosto potenzialmente limitato, inquanto le risorse informatichenecessarie per i servizi richiestipossono essere condivise con altrisoggetti che hanno le stesseesigenze.

22/10/2012 Titolo della presentazione 3/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

Il cloud offre, a seconda dei casi, iltrasferimento della conservazione odell’elaborazione dei dati daicomputer degli utenti ai sistemi delfornitore .

Il cloud consente di usufruire diservizi complessi senza doversinecessariamente dotare né dicomputer e altri hardware avanzati,né di personale in grado diprogrammare o gestire il sistema.

esigenze.

(o “nuvola privata”) è una infrastruttura informatica (rete di computer collegati peroffrire servizi) per lo più dedicata alle esigenze di una singola organizzazione ,ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma

22/10/2012 Titolo della presentazione 4/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale formadell’hosting dei server), nei confronti del quale il titolare dei dati può esercitare uncontrollo puntuale.

Es. Le “nuvole private” possono essere paragonate ai

tradizionali “data center” nei quali, però, sono usati

degli accorgimenti tecnologici che permettono di

ottimizzare l’utilizzo delle risorse disponibili e di

potenziarle agevolmente in caso di necessità.

(o “nuvola pubblica”) è l’infrastruttura di proprietà di un fornitore specializzatonell’erogazione di servizi che mette a disposizione di utenti, aziende oamministrazioni i propri sistemi attraverso la condivisione e l’erogazione via Internet

22/10/2012 Titolo della presentazione 5/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

amministrazioni i propri sistemi attraverso la condivisione e l’erogazione via Internetdi applicazioni informatiche , di capacità elaborativa e di “stoccaggio” dati.

La fruizione di tali servizi avviene tramite la rete Interne t e implica il trasferimento dei solidati o anche dell’attività di elaborazione presso i sistemi del fornitore del servizio, il qualeassume un ruolo importante in ordine all’efficacia delle mi sure adottate per garantire laprotezione delle informazioni che gli sono state affidate.

Con la cessione dei dati si cede anche una parte importante del controllo esercitabile su di essi

(o “altre nuvole” o “nuvole miste”) si tratta di sistemi :

22/10/2012 Titolo della presentazione 6/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

1) caratterizzati da soluzioni che prevedono l’utilizzo di servizi erogati dainfrastrutture private accanto a servizi acquisiti da cloud pubblici –

2) cloud di gruppo (community cloud), in cui l’infrastruttura è condivisa dadiverse organizzazioni a beneficio di una specifica comunità di utenti

- Il fornitore del servizio cloud offre,secondo un modello “a consumo”, glistrumenti hardware e software di base

infrastruttura cloud resa disponibile come servizio

Es. server virtuali remoti

22/10/2012 Titolo della presentazione 7/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

(spazi di memoria, sistemi operativi,programmi di virtualizzazione…)

Caratteristiche principali

Es. server virtuali remotiche l’utente finale puòutilizzare in sostituzioneo in affiancamento aisistemi già presenti neilocali dell’azienda odell’amministrazione- Tali fornitori sono in genere

operatori di mercato specializzati,che dispongono di un’infrastrutturatecnologica, complessa e spessodistribuita in aree geografichediverse.

- Il fornitore eroga via Internet unaserie di servizi applicativi ponendoli

software erogato come serviziodel cloud

22/10/2012 Titolo della presentazione 8/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

serie di servizi applicativi ponendolia disposizione degli utenti finali

Caratteristiche principali

Es. applicazioni comunemente usate negli uffici erogate in modalitàweb quali l’elaborazione di fogli di calcolo o di testi, la ge stione delprotocollo e delle regole per l’accesso informatico ai docu menti, larubrica dei contatti e i calendari condivisi, ma anche ai più avanzatiservizi di posta elettronica.

- Il fornitore offre soluzioni evolute disviluppo software che rispondono allespecifiche esigenze del cliente .

PAAS piattaforme software fornite via Internet come servizio

Es. applicativi per la

22/10/2012 Titolo della presentazione 9/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

specifiche esigenze del cliente .

Caratteristiche principali

Es. applicativi per lagestione finanziaria, dellacontabilità o dellalogistica

- In genere questo tipo di servizi èrivolto a operatori di mercato che liutilizzano per sviluppare e ospitaresoluzioni applicative proprie, alloscopo di assolvere a esigenzeinterne, oppure per fornire a lorovolta servizi a terzi.

Assenza di un quadro normativo dedicato al cloud computing

la normativa europea sulla protezione dei dati risale al 1995.

d.lgs. 69 e 70 / 2012, recepimentodelle direttive 2009/136/EC “in

Nuovo obbligo, per le società telefoniche e gli internet provider:

22/10/2012 Titolo della presentazione

10/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

delle direttive 2009/136/EC “inmateria di trattamento dei datipersonali e tutela della vita privatanel settore delle comunicazionielettroniche ”, e 2009/140/C “inmateria di reti e servizi dicomunicazione elettronica ”

-notificare alle rispettive Authority tutte leviolazioni di sicurezza relative ai dati personali;

- la notifica va effettuata anche agli utenti“quando la violazione di dati personalirischia di arrecare pregiudizio ai datipersonali o alla riservatezza di contraente odi altra persona ”.

Il prossimo futuro(entro il 2014)

approvazione del nuovo Regolamento europeo sulla protezione dei dati che sostituirà il Codice della Privacy

TITOLARE

DIVIETO GENERALE : consentito

Corretto inquadramento del titolare e del rapporto con i responsabili e gli incaricati

22/10/2012 Titolo della presentazione

11/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

TRASFERIMENTO DI

DATI ALL’ESTERO

DIVIETO GENERALE : consentito solo verso paesi che garantiscono “un adeguato livello di tutela ”

Facilitato nei casi di cloud provider che aderiscano aprogrammi di protezione dati come Safe Harbor (accordobilaterale Ue-Usa che definisce regole sicure e condiviseper il trasferimento dei dati personali effettuato versoaziende presenti sul territorio americano.

Particolare attenzione per itrasferimenti infragruppo dellemultinazionali

Il titolare dei dati deve assicurarsi che:siano adottate misure tecniche e organizzative volte aridurre al minimo i rischi di distruzione o perdita ancheaccidentale dei dati, di accesso non autorizzato, ditrattamento non consentito o non conforme alle finalitàdella raccolta, di modifica dei dati in conseguenza di

22/10/2012 Titolo della presentazione

12/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

MISURE DI

SICUREZZA

della raccolta, di modifica dei dati in conseguenza diinterventi non autorizzati o non conformi alle regole.

Il cliente dovrebbe, ad esempio, accertarsi che i datisiano sempre “disponibili” (che si possa cioè sempreaccedere ai dati) e “riservati” (che l’accesso cioè siaconsentito solo a chi ne ha diritto).Per garantire che i dati siano al sicuro, non sonoimportanti solo le modalità con cui sono conservati, maanche quelle con cui sono trasmessi (ad esempioutilizzando tecniche di cifratura).

INFORMATIVAINFORMATIVA

Art. 13 L'interessato o la persona presso la quale sonoraccolti i dati personali sono previamente informati oralmenteo per iscritto circa:a) le finalità e le modalità del trattamento cui sono destinati idati;b) la natura obbligatoria o facoltativa del conferimento deidati;c) le conseguenze di un eventuale rifiuto di rispondere;

22/10/2012 Titolo della presentazione

13/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

INFORMATIVAINFORMATIVAc) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambito didiffusione dei dati medesimi;e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro .

Aspetti negoziali : i contratti per l’erogazione dei servizi

22/10/2012 Titolo della presentazione

14/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

Contratti atipici misti

Sviluppo: software housing

hostingLicenza d’uso

mautenzione

Grazie per l’attenzione

http://www.massimofarina.it

http://www.diricto.it

22/10/2012 Titolo della presentazione

15/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

http://www.diricto.it

massimo@massimofarina.it

Attribuzione - Non Commerciale - Condividi allo stess o modo 2.5

� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o

recitare l'opera � di creare opere derivate � Alle seguenti condizioni:

LICENZA

22/10/2012 Titolo della presentazione

16/2

0

22/10/2012 Titolo della presentazione 3/2

0Massimo Farina - massimo@massimofarina.it

http://www.massimofarina.it - http://www.diricto.it

� Alle seguenti condizioni:� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi

distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza

di quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste

condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra