Smau Milano 2015 - Marco Parretti
15
Contratti Cloud: un ombrello per proteggersi dai rischi della “Nuvola” .Relatore Dott. Marco Parretti Colin & Partners srl
Transcript of Smau Milano 2015 - Marco Parretti
Contratti Cloud:
un ombrello per
proteggersi dai
rischi della “Nuvola”
.Relatore Dott. Marco Parretti
Colin & Partners srl
I temi di oggi
CLOUD
Rapporto tra fornitore e
fruitore
Tutela del patrimonio aziendale
Tematiche che incidono sulla governance
aziendale del fruitore
I soggetti giuridici tipici coinvolti
Fornitore di servizi – Offre servizi (server virtuali, storage, applicazioni
complete) generalmente secondo un modello "pay-per-use“
Cliente amministratore – Sceglie e configura i servizi offerti dal
fornitore, generalmente offrendo un valore aggiunto come ad esempio
le applicazioni software
Cliente finale – Utilizza i servizi opportunamente configurati dal cliente
amministratore
La Governance aziendale tramite cloud
L’esecuzione dei trattamenti su commissione deve essere disciplinata da un contratto o altro atto giuridico che vincoli l’incaricato
del trattamento al responsabile del trattamento e che preveda segnatamente
tutti gli obblighi elencati dall’art. 26.
Gli aspetti di rilevanza
PROPRIETA’DEL DATO
DATA PROTECTION E PRIVACY
MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE
SUBAPPALTO
LEGGE APPLICABILE E FORO COMPETENTE
MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE
Il contratto di cloud computing
PROPRIETA’
Regolare proprietà dei beni utilizzati per erogazione servizio;
Garantirsi restituzione dati a cessazione rapporto;
Attenzione alla proprietà intellettuale (marchi, brevetti etc.) e
alla proprietà dei codici sorgenti dei programmi utilizzati;
DATA PROTECTION E PRIVACY
- Proteggere dati riservati da conoscenza fornitore (es: know-how,
liste clienti) = accordi segretezza
- Nomina a responsabile privacy e rispetto misure sicurezza se si è
fornitor
- Attenzione al trasferimento di dati all’estero
Alcuni servizi cloud permettono di
circoscrivere la circolazione dati entro
EU (cd. PLA Privacy Level Agreement.
“Livello adeguato” ( 13 paesi Svizzera,
Canada, Argentina ecc.)
Strumenti alternativi: consenso, model
clauses, contratti ad hoc, binding
corporate rules, Safe Harbor
Il contratto di cloud computing
Il contratto di cloud computing
MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE
- garantirsi forme di assistenza e portabilità del dato, dopo
cessazione contratto
Il contratto di cloud computing
LEGGE APPLICABILE E FORO COMPETENTE
- definire foro (attenzione alla collocazione dei server – per esecuzione
provvedimenti giudice italiano)
- Altrimenti:
1) stabilimento del titolare [criterio
principale]
2) In caso di assenza di stabilimento in
territorio UE luogo dove si trovano
strumenti utilizzati per il trattamento
Il contratto di cloud computing
SUBAPPALTO
Ove possibile prevedere un divieto di subappalto dell’attività;
Nel caso in cui non sia possibile (per le caratteristiche del servizio o la
complessità dell’attività)?
Le indicazioni del Garante in caso di subappalto
Le figure coinvolte:
Titolare
Responsabile
ed Incaricati
Il problema del sub-
appalto e le catene di
nomine a responsabile
I sub-fornitori: un
Responsabile può
nominare un altro
Responsabile? (Provv. Garante Privacy 29 novembre 2012)
Art.29 Codice Privacy:“ Il Responsabile è designato
facoltativamente dal Titolare”
Che fare?
Cliente Titolare
Fornitore
Responsabile
Sub-Fornitore
Responsabile
Le indicazioni del Garante in caso di subappalto
Cliente Titolare
Fornitore
Responsabile
Sub-Fornitore
Responsabile
Il Fornitore deve
informare il proprio
Cliente-Titolare che
intende avvalersi di sub-
fornitori
Il Cliente-Titolare deve
acconsentire alla sub-
fornitura
Il Responsabile deve
sottoscrivere con i sub-
fornitori degli accordi che
li vincoli a tutti gli obblighi
di sicurezza che ha
assunto con il Cliente-
Titolare
Tali accordi dovranno
essere inviati al Cliente-
Titolare, il quale dovrà
altresì essere tenuto
informato delle eventuali
modifiche, procedendo
nel caso ad ulteriori invii
Uno sguardo alla normativa europea
Uno sguardo alla normativa europea
Impatti anche sul mondo cloud
l'obbligo di "privacy impact assessment" (valutazioni preventive di impatto sulla tutela dei dati);
la previsione delle figure dei “joint controllers” (titolari congiunti), che potranno suddividersi le responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi;
l’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi della “data protection by design” e della “data protection by default”.
1) Ponderare prioritariamente rischi e benefici dei servizi offerti
2) Effettuare una verifica in ordine all’affidabilità del fornitore
3) Privilegiare i servizi che favoriscono la portabilità dei dati
4) Assicurarsi la disponibilità dei dati in caso di necessità
5) Selezionare i dati da inserire nella cloud
6) Non perdere di vista i dati
7) Informarsi su dove risiederanno concretamente i dati
8) Verificare le politiche di persistenza dei dati legate alla loro
conservazione
9) Esigere e adottare opportune cautele per tutelare la confidenzialità
dei dati
10) Formare adeguatamente il personale
Tematiche che incidono sulla governance aziendale del fruitore
PRIMA DI ADERIRE A SERVIZI CLOUD...
Grazie! Dott. Marco Parretti
[email protected] Copyright
Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso od evento ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl.
Le informazioni contenute nel presente materiale sono da ritenersi esatte esclusivamente alla data di svolgimento del corso / evento e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti.
Contatti
Sede legale e amministrativa:
Via Cividale, 51 – Montecatini Terme (PT) 51016 Tel. +39 0572 78166
Fax +39 0572 294540 Partita Iva e Codice Fiscale: 01651060475
Le nostre sedi: Montecatini Terme (PT), Roma, Milano
www.consulentelegaleinformatico.it
Per richieste progetti e preventivi:
Per organizzare eventi e corsi di formazione: [email protected]
Seguici su:
Contratti Cloud: un ombrello per proteggersi dai rischi della “nuvola”
