Contratti Cloud: un ombrello

per proteggersi dai rischi

della “Nuvola”

Relatore Dott. Marco Parretti

Of Counsel Studio Legale Frediani partner Colin & Partners

Padova,

1 Aprile 2015

SMAU

I temi di oggi

CLOUD

Rapporto tra fornitore e

fruitore

Tutela del patrimonio aziendale

Tematiche che incidono sulla governance

aziendale del fruitore

I soggetti giuridici tipici coinvolti

Fornitore di servizi – Offre servizi (server virtuali, storage, applicazioni complete) generalmente

secondo un modello "pay-per-use"

Cliente amministratore – Sceglie e configura i servizi offerti dal fornitore, generalmente offrendo

un valore aggiunto come ad esempio le

applicazioni software

Cliente finale – Utilizza i servizi opportunamente configurati dal cliente amministratore

La Governance aziendale tramite cloud

• L’esecuzione dei trattamenti su commissione deve essere disciplinata da un contratto o altro atto giuridico

che vincoli l’incaricato del trattamento al responsabile del trattamento e che

preveda segnatamente tutti gli obblighi elencati dall’art. 26.

Gli aspetti di rilevanza

PROPRIETA’DEL DATO

DATA PROTECTION E PRIVACY

MIGRAZIONE DATI PER

CAMBIAMENTO DI FORNITORE

SUBAPPALTO

LEGGE APPLICABILE E FORO

COMPETENTE

MIGRAZIONE DATI PER

CAMBIAMENTO DI FORNITORE

Il contratto di cloud computing

• PROPRIETA’

- Regolare proprietà dei beni utilizzati per erogazione servizio;

- Garantirsi restituzione dati a cessazione rapporto;

- Attenzione alla proprietà intellettuale (marchi, brevetti etc.) e alla

proprietà dei codici sorgenti dei programmi utilizzati;

Il contratto di cloud computing

• DATA PROTECTION E PRIVACY

- Proteggere dati riservati da conoscenza fornitore (es: know-how, liste

clienti) = accordi segretezza

- Nomina a responsabile privacy e rispetto misure sicurezza se si è

fornitori

- Attenzione al trasferimento di dati all’estero:

Alcuni servizi cloud permettono di

circoscrivere la circolazione dati entro

EU (cd. PLA Privacy Level Agreement.

“Livello adeguato” ( 13 paesi Svizzera,

Canada, Argentina ecc.)

Strumenti alternativi: consenso, model

clauses, contratti ad hoc, binding

corporate rules, Safe Harbor

Il contratto di cloud computing

• MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE

- garantirsi forme di assistenza e portabilità del dato, dopo

cessazione contratto

Il contratto di cloud computing

• LEGGE APPLICABILE E FORO COMPETENTE

- definire foro (attenzione alla collocazione dei server – per esecuzione

provvedimenti giudice italiano)

- Altrimenti:

1) stabilimento del titolare [criterio

principale]

2) In caso di assenza di stabilimento in

territorio UE luogo dove si trovano gli

strumenti utilizzati per il trattamento

Il contratto di cloud computing

• SUBAPPALTO

- Ove possibile prevedere un divieto di subappalto dell’attività;

- Nel caso in cui non sia possibile (per le caratteristiche del servizio o la

complessità dell’attività)?

Le indicazioni del Garante in caso di subappalto

Le figure coinvolte:

Titolare

Responsabile

ed Incaricati

Il problema del sub-appalto

e le catene di nomine a

responsabile

I sub-fornitori: un

Responsabile può nominare

un altro Responsabile? (Provv.

Garante Privacy 29 novembre 2012)

Art.29 Codice Privacy:“ Il Responsabile è designato

facoltativamente dal Titolare”

Che fare?

Cliente Titolare

Fornitore

Responsabile

Sub-Fornitore

Responsabile

Le indicazioni del Garante in caso di subappalto

il Fornitore deve informare

il proprio Cliente-Titolare

che intende avvalersi di

sub-fornitori

il Cliente-Titolare deve

acconsentire alla sub-

fornitura

il Responsabile deve

sottoscrivere con i sub-

fornitori degli accordi che

li vincoli a tutti gli obblighi

di sicurezza che ha

assunto con il Cliente-

Titolare

Cliente Titolare

Fornitore

Responsabile

Sub-Fornitore

Responsabile

tali accordi dovranno

essere inviati al Cliente-

Titolare, il quale dovrà

altresì essere tenuto

informato delle eventuali

modifiche, procedendo nel caso ad ulteriori invii

Uno sguardo alla normativa europea

Impatti anche sul mondo cloud

- l'obbligo di "privacy impact assessment" (valutazioni preventive di impatto sulla tutela dei dati);

- la previsione delle figure dei “joint controllers” (titolari congiunti), che potranno suddividersi le responsabilità privacy in un apposito contratto, di cui si dovrà tenere conto in caso di controlli o contenziosi;

- l’obbligo di attenersi, nell’ideazione di nuovi prodotti o servizi, ai principi della “data protection by design” e della “data protection by default”.

Tematiche che incidono sulla governance aziendale del fruitore

PRIMA DI ADERIRE A SERVIZI

CLOUD...

1) Ponderare prioritariamente rischi e benefici dei servizi offerti

2) Effettuare una verifica in ordine all’affidabilità del fornitore

3) Privilegiare i servizi che favoriscono la portabilità dei dati

4) Assicurarsi la disponibilità dei dati in caso di necessità

5) Selezionare i dati da inserire nella cloud

Tematiche che incidono sulla governance aziendale del fruitore

PRIMA DI ADERIRE A SERVIZI CLOUD...

6) Non perdere di vista i dati

7) Informarsi su dove risiederanno

concretamente i dati

8) Verificare le politiche di

persistenza dei dati legate alla loro

conservazione

9) Esigere e adottare opportune

cautele per tutelare la

confidenzialità dei dati

10) Formare adeguatamente il

personale

Contratti Cloud: un ombrello per proteggersi dai rischi della “Nuvola”

Grazie! Dott. Marco Parretti

mparretti@consulentelegaleinformatico.it

Il materiale didattico (ivi inclusi, ma non limitatamente, il testo, immagini, fotografie, grafica) è di proprietà esclusiva e riservata della società Colin & Partners Srl, e protetto dalle leggi sul copyright ed in generale dalle vigenti norme nazionali ed internazionali in materia. Il materiale fornito potrà essere riprodotto solo a scopo didattico per il presente corso ed ogni altra riproduzione o utilizzo in toto o in parte è vietata salvo esplicita autorizzazione per scritto e a priori da parte della Colin & Partners Srl.

Le informazioni contenute nel materiale didattico sono da ritenersi esatte esclusivamente alla data di svolgimento del corso e potranno essere soggette a variazioni, in base alle modifiche legislative intervenute, in relazione alle quali la Colin & Partners Srl non si assume l’onere di inviare l’aggiornamento, salvo diversamente stabilito contrattualmente tra le parti.

Copyright

Contatti

Sede legale e amministrativa: Via Cividale, 51 – Montecatini Terme (PT) 51016

Tel. +39 0572 78166

Fax +39 0572 294540

Partita Iva e Codice Fiscale: 01651060475

Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca

www.consulentelegaleinformatico.it

Per richieste progetti e preventivi:

info@consulentelegaleinformatico.it

Per organizzare eventi e corsi di formazione:

comunicazione@consulentelegaleinformatico.it

Seguici su: