Smau milano 2013 massimo farina

I contratti del

Cloud Computing

Massimo Farina - [email protected]

http://www.massimofarina.it - http://www.diricto.it

Cloud Computing

di Massimo Farina

http://www.massimofarina.it

http://www.diricto.it

[email protected]

INQUADRAMENTO DEL FENOMENO

alla base del cloud non c’è nulla di completamente nuovo, inquanto la sua logica è la medesima dei servizi on-line,tradizionalmente erogati ai consumatori finali (per es. tramite e-mail e social networks) ma con la peculiarità di rivolgersi almondo del business e della pubblica amministrazione attraverso lavirtualizzazione di hardware e software con collegamenti on-



virtualizzazione di hardware e software con collegamenti on-line verso centri (banche dati) remoti .

Il Cloud Computing è un nuovo modo di

fornire risorse, non una nuovatecnologia!

Il Cloud Computing è un nuovo modo di

fornire risorse, non una nuovatecnologia!

Insieme di tecnologie e di modalità difruizione di servizi informatici chefavoriscono l’utilizzo e l’erogazione disoftware, la possibilità di conservare edi elaborare grandi quantità diinformazioni via Internet

Tutto può essere demandatoall’esterno, in outsourcing, e aun costo potenzialmente limitato,in quanto le risorse informatichenecessarie per i servizi richiestipossono essere condivise con altrisoggetti che hanno le stesseesigenze.

Le varie forme di Cloud Comuting



Il cloud offre, a seconda dei casi, iltrasferimento della conservazioneo dell’elaborazione dei dati daicomputer degli utenti ai sistemi delfornitore.

Il cloud consente di usufruire diservizi complessi senza doversinecessariamente dotare né dicomputer e altri hardwareavanzati, né di personale in gradodi programmare o gestire ilsistema.

esigenze.

In materia ci sono due principali interventi del

Garante per la protezione dei dati personali

Assenza di Definizioni codificate

Private cloud

Public cloud

Hybrid cloud

INFRASTRUCTURE AS A SERVICE

SOFTWARE AS A SERVICE

PLATFORM AS A



Cloud Computing:INDICAZIONI PER L’USO

CONSAPEVOLE DEI SERVIZICloud Computing:

IL VADEMECUM DEL GARANTE

16 novembre 201124 maggio 2012

Hybrid cloudPLATFORM AS A SERVICE

(o “nuvola privata”) è una infrastruttura informatica (rete di computer collegati peroffrire servizi) per lo più dedicata alle esigenze di una singola organizzazione,ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionaleforma dell’hosting dei server), nei confronti del quale il titolare dei dati può esercitareun controllo puntuale.



un controllo puntuale.

Es. Le “nuvole private” possono essere paragonate ai

tradizionali “data center” nei quali, però, sono usati

degli accorgimenti tecnologici che permettono di

ottimizzare l’utilizzo delle risorse disponibili e di

potenziarle agevolmente in caso di necessità.

Es. Le “nuvole private” possono essere paragonate ai

tradizionali “data center” nei quali, però, sono usati

degli accorgimenti tecnologici che permettono di

ottimizzare l’utilizzo delle risorse disponibili e di

potenziarle agevolmente in caso di necessità.

(o “nuvola pubblica”) è l’infrastruttura di proprietà di un fornitore specializzatonell’erogazione di servizi che mette a disposizione di utenti, aziende o Pubblicheamministrazioni i propri sistemi attraverso la condivisione e l’erogazione viaInternet di applicazioni informatiche, di capacità elaborativa e di “stoccaggio”



Internet di applicazioni informatiche, di capacità elaborativa e di “stoccaggio”dati.

La fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimentodei soli dati o anche dell’attività di elaborazione presso i sistemi del fornitore delservizio, il quale assume un ruolo importante in ordine all’efficacia delle misureadottate per garantire la protezione delle informazioni che gli sono state affidate.

Con la cessione dei dati si cede anche una parte importante del controllo esercitabile su

di essi

(o “altre nuvole” o “nuvole miste”) si tratta di sistemi :



1) caratterizzati da soluzioni che prevedono l’utilizzo di servizi erogati dainfrastrutture private accanto a servizi acquisiti da cloud pubblici –

2) cloud di gruppo (community cloud), in cui l’infrastruttura è condivisa dadiverse organizzazioni a beneficio di una specifica comunità di utenti

- Il fornitore del servizio cloud offre,secondo un modello “a consumo”,gli strumenti hardware e software di

infrastruttura cloud resa disponibile come servizio

Es. server virtuali



base (spazi di memoria, sistemioperativi, programmi divirtualizzazione…)

Caratteristiche principali

Es. server virtualiremoti che l’utentefinale può utilizzare insostituzione o inaffiancamento aisistemi già presenti neilocali dell’azienda odell’amministrazione

- Tali fornitori sono in genereoperatori di mercato specializzati,che dispongono diun’infrastruttura tecnologica,complessa e spesso distribuita inaree geografiche diverse.

- Il fornitore eroga via Internet unaserie di servizi applicativi ponendoli

software erogato come servizio del cloud



serie di servizi applicativi ponendolia disposizione degli utenti finali


Es. applicazioni comunemente usate negli uffici erogate inmodalità web quali l’elaborazione di fogli di calcolo o di testi, lagestione del protocollo e delle regole per l’accesso informatico aidocumenti, la rubrica dei contatti e i calendari condivisi, maanche ai più avanzatiservizi di posta elettronica.

- Il fornitore offre soluzioni evolutedi sviluppo software che rispondonoalle specifiche esigenze del cliente.

PAASpiattaforme software fornite

via Internet come servizio

Es. applicativi per la



alle specifiche esigenze del cliente.


Es. applicativi per lagestione finanziaria,della contabilità o dellalogistica

- In genere questo tipo di servizi èrivolto a operatori di mercato cheli utilizzano per sviluppare eospitare soluzioni applicativeproprie, allo scopo di assolvere aesigenze interne, oppure perfornire a loro volta servizi a terzi.

• Contratto di licenza Software;

Quale schema negoziale adottano le parti del cloud?

GLI SCHEMI NEGOZIALI PIÙRICORRENTI

• Inquadramento delle singole

fattispecie al fine di identificare la

disciplina applicabile

PRINCIPALI PROBELMATICHE



• Contratto di licenza Software;

• Contratto di sviluppo Software;

• Contratto di assistenza e

manutenzione;

• Contratto di fornitura Hardware;

disciplina applicabile

• Più discipline concorrenti (necessità di

coordinamento)

• Complessità soggettiva (più soggetti

coinvolti su differenti contratti

collegati)

Un possibile modello �� OUTSOURCING

Con il termine outsourcing si intende fare riferimento al c.d.fenomeno della “esternalizzazione” ovvero a quel processo in virtùdel quale alcune attività produttive di una impresa vengano affidatea terzi ed in tal modo portate al di fuori dell’azienda stessa.



NOTA: l’outsourcing, tuttavia, non costituisce una tipologia contrattuale tipica. Esso, piuttosto, prende vita attraverso l’utilizzo di una pluralità di fattispecie eterogenee, trale

quali l’appalto di servizi

Cloud Computing vs Outsourcing = aspetti comuni

Uno dei punti comuni ai due modelli è la centralità del

servizio e della qualità dello stesso

da qui l’attenzione, presente in entrambe le fattispecie, per la definizione nel testo del



da qui l’attenzione, presente in entrambe le fattispecie, per la definizione nel testo delcontratto di specifici standard inerenti le prestazioni, per la predisposizione di indici eparametri atti a misurare l’efficienza del servizio, nonché per la definizione dellemetriche di costo, anche in ragione di tali indicatori.

NOTA: il contratto va completato con tutta una serie di allegati tecnici, che definiscononel dettaglio i vari parametri del servizio, assicurando, in tal modo, l’impegno della partefornitrice circa la qualità della prestazione

Cloud Computing vs Outsourcing = differenze

Il contratto di outsourcing realizza non solamente un’esternalizzazionedelle risorse strutturali ma anche delle c.d. risorse umane; non è così per icontratti di cloud computing



Il contratto di Pubblic cloud computing è connotato da uno schema di erogazione “uno amolti” , dove i contratti sono per lo più standardizzati e destinate ad un’ampia platea disoggetti; non è così per i contratti di outsourcing nei quali il rapporto è fiduciario e “uno auno”.

Struttura del contratto di cloud

Composto generalmente da tre documenti:

• condizioni generali del servizio

• polices relative al comportamento delle parti

• modalità del trattamento dei dati



Quanto ai contenuti, va rilevato come essi vengano a concentrarsi attorno a due poli ,uno concernente i profili generali del contratto (durata, lingua, corrispettivo, leggeapplicabile, giurisdizione applicabile, ecc.) ed uno riguardante i profili informativi ,ovvero la gestione delle informazioni immesse nell’ambiente cloud (gestione dei dati,flussi transfrontalieri, sicurezza, ipotesi di disclosure, ecc.).

�Sistematizzazione delle infrastrutture

�Riorganizzazione dei flussi informativi e migliorefruibilità dei dati

�Razionalizzazione dei costi (servizi più moderni, piùefficienti e più funzionali)



�Circolazione dei dati personali

�Esternalizzazione e Delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati

�Conservazione dei dati in luoghi geografici differenti



�Responsabilità per i danni causati dai guasti subiti dal service/platform/infrastructure provider che possono causarel'inaccessibilità o la perdita dei dati

�Guasti alla rete che possono determinare l'indisponibilità deidati

contromisure



- Specificare nel contratto i PLA (Privacy Level Agreement), che sono dei SLA (Service Level Agreement) chedescrivono specificamente l'erogazione di servizi relativi ai dati personali. I PLA indicano i livelli di erogazione delservizio che il fornitore cloud si impegna ad assicurare, compresa la Continuità Operativa e il Disaster Recovery(art. 68, co. 1-bis, lett. C, CAD).

-Formalizzazione nel contratto della responsabilità del cloud provider per il caso di inadempimento rispetto agliobblighi contrattuali affidabilità del fornitore .

Opportunità di estendere l’obbligo di notificazione delle violazioni di sicurezza relative ai dati persona li anche ai cloud providers? (oggi già prevista per le società telefoniche e g li internet providers - d.lgs. 69 e 70 / 2012)

contromisure

L’utilizzo di tecnologie proprietarie da parte del fornitore di servizi potrebbe determinare problemi nel cambiare il fornitore stesso

- Impegno contrattuale del fornitore di cloud di garantire la portabilità di tutti i dati conferiti

contromisure



- Impegno contrattuale del fornitore di cloud di garantire la portabilità di tutti i dati conferitimediante adozione di standard internazionali (es. HL7, ope nEHR, EN 13606 ecc) per lacodifica dei dati sanitari

-Inserimento delle cosiddette clausole di way-out, che consentono il libero cambio delfornitore del servizio cloud

-Utilità del di operare a livello di progettazione ( privacy by design) con riferimento aifornitori e non agli utenti

TITOLARE

(del trattamento)

DIVIETO GENERALE: consentito solo

Corretto inquadramento del titolare e del rapporto con i responsabili e gli incaricati

ASPETTI SOGGETTIVI SULTRATTAMENTO DEI DATI

PERSONALI



TRASFERIMENTO DI DATI

ALL’ESTERO(artt. 42-45 d.lgs. 196/03)

DIVIETO GENERALE: consentito solo verso paesi che garantiscono “un adeguato livello di tutela” (di Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer, Andorra Israele, USA (safe harbor)

Safe Harbor (accordo bilaterale Ue-Usa chedefinisce regole sicure e condivise per iltrasferimento dei dati personali effettuato versoaziende presenti sul territorio americano.

Difficoltà di seguire il modello titolare/responsabile in quanto risulta,di fatto, assai complicato (praticamente impossibile) nominare i cloudproviders (o i sub-providers), quali responsabili esterni deltrattamento



Adozione, come già prevista per i fornitori di tele comunicazioni, del modello “titolari supplementari” per la fornitu ra del servizio

(considerando 47 della Direttiva 95/46/EC)

SOLUZIONE

MISURE

MINIME DI

�Il titolare dei dati deve assicurarsi che:siano adottate misure tecniche e organizzative volte a ridurreal minimo i rischi di distruzione o perdita anche accidentaledei dati, di accesso non autorizzato, di trattamento nonconsentito o non conforme alle finalità della raccolta, dimodifica dei dati in conseguenza di interventi non autorizzatio non conformi alle regole.

ASPETTI OGGETTIVI SULTRATTAMENTO DEI DATI

PERSONALI



MINIME DI

SICUREZZA •Il cliente (cd. interessato) dovrebbe,ad esempio, accertarsi che i dati siano sempre “disponibili”(che si possa cioè sempre accedere ai dati) e “riservati” (chel’accesso cioè sia consentito solo a chi ne ha diritto).Nota: Per garantire che i dati siano al sicuro, non sonoimportanti solo le modalità con cui sono conservati, ma anchequelle con cui sono trasmessi (ad esempio utilizzandotecniche di cifratura).

MISURE

IDONEE DI

SICUREZZA

INFORMATIVA

Art. 13 L'interessato o la persona presso la quale sono raccoltii dati personali sono previamente informati oralmente o periscritto circa:a) le finalità e le modalità del trattamento cui sono destinati idati;b) la natura obbligatoria o facoltativa del conferimento deidati;c) le conseguenze di un eventuale rifiuto di rispondere;



INFORMATIVA c) le conseguenze di un eventuale rifiuto di rispondere;d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne aconoscenza in qualità di responsabili o incaricati, e l'ambitodi diffusione dei dati medesimi;e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 èpunita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro.

Grazie per l’attenzione

http://www.massimofarina.it





[email protected]

Attribuzione - Non Commerciale - Condividi allo stess o modo 2.5

� Tu sei libero:� di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o

recitare l'opera � di creare opere derivate � Alle seguenti condizioni:

LICENZA



� Alle seguenti condizioni:� Attribuzione. Devi riconoscere il contributo dell'autore originario. � Non commerciale. Non puoi usare quest’opera per scopi commerciali. � Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi

distribuire l’opera risultante solo per mezzo di una licenza identica a questa. � In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza

di quest’opera. � Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste

condizioni. � Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra

Smau milano 2013 massimo farina

Documents

Transcript of Smau milano 2013 massimo farina