Uso del cloud e tutela della privacy
-
Upload
digital-law-communication -
Category
Business
-
view
208 -
download
0
description
Transcript of Uso del cloud e tutela della privacy
L’uso del Cloud e la tutela
della Privacy
Relatore: Avv. Graziano Garrisi
Digital&Law Department - copyright 2014
Chi sono
• Avvocato del Foro di Lecce
• Componente del Direttivo di ANORC – www.anorc.it
(Associazione Nazionale Operatori e Responsabili della Conservazione sostitutiva)
• Vice-coordinatore nazionale di ABIRT (Advisory Board Italiano Responsabili
Trattamento dati personali)
• Docente di ABI (Associazione Bancaria Italiana)
• Membro del Digital&Law Department dello Studio Legale Lisi
(www.studiolegalelisi.it)
• Consulente privacy ed esperto in diritto delle nuove tecnologie;
• Iscritto al Registro «ANORC Professioni», livello professionale expert;
• Fa parte, in qualità di esperto, della Commissione UNINFO SC 27 e E-Business.
Digital&Law Department - copyright 2014
“Il cloud si presenta come uno dei mezzi più economici per
assicurare a una gran parte dei servizi di eGovernment quelle
caratteristiche di efficacia, efficienza, trasparenza, partecipazione,
condivisione, cooperazione, interoperabilità e sicurezza previste dal
Codice dell'Amministrazione Digitale”.
(CAD – D.Lgs 82/2005)
1) Raccomandazioni e proposte sull'utilizzo del cloud
computing nella Pubblica Amministrazione (DigitPA - ora
Agenzia per l’Italia Digitale)
2) Linee Guida Garante Privacy
Digital&Law Department - copyright 2014
INTERNAZIONALITÀ IMPLICITA
• Quale legge si applica al rapporto contrattuale intercorrente tra provider
e cliente?
(lato privacy è lo stabilimento del Titolare a determinare la legge applicabile; quindi definire se
un cloud provider è titolare o responsabile ha conseguenze decisive sulle norme applicabili)
• Ci sono delle clausole contrattuali redatte con formule standard che
possono essere nulle per un determinato ordinamento?
• Quale Autorità Giudiziaria è competente a decidere sull’interpretazione
di quel contratto?
• In quale Stato si aziona il diritto?
Digital&Law Department - copyright 2014
UBICAZIONE DEI DATI
Conosciamo il luogo dove è allocato lo spazio di memoria?
Queste località godono di un adeguato livello di tutela dei dati personali?
PRIVACY
• Abbiamo la garanzia che la cifratura sia disponibile a tutti i livelli e che
tale crittografia sia fornita da esperti del ramo?
• Si possono impiegare i sistemi cloud delocalizzando i dati degli utenti in
sistemi CRM gestiti in paesi extra UE per profilare le attività dei clienti?
Digital&Law Department - copyright 2014
RESPONSABILITÀ IN CASO DI ACCESSI ABUSIVI E
DISPERSIONE DEI DATI
• Chi è il soggetto responsabile in caso di perdita dei dati?
• Cosa accade ai dati qualora il cloud provider interrompa la
fornitura del servizio?
La definizione della responsabilità giuridica e dei poteri di accesso e
controllo tra le parti è molto importante: sono poteri che un Titolare
deve poter esercitare quale conseguenza della sua posizione di vertice
Digital&Law Department - copyright 2014
L’ASSENZA DI UNA DISCIPLINA UNIFORME PER
TUTTI I CONTRATTI INFORMATICI DEL MONDO IT
CIÓ VALE ANCHE PER I CONTRATTI
CLOUD
Digital&Law Department - copyright 2014
In caso di trasferimenti infragruppo, questi possono essere realizzati utilizzando lo schema di BCR
elaborato dal Gruppo "Articolo 29" dei Garanti europei integrato dal WP 195 del 6 giugno 2012
contenente un nuovo modello di norme vincolanti d’impresa definito “BCR for processor”.
LE REGOLE PER IL TRASFERIMENTO DEI DATI ALL’ESTERO
Codice Privacy per il “trasferimento dei dati, anche temporaneo, verso un Paese terzo
che non garantisca un livello di protezione adeguato” (artt. 42, 43 e 45 del Codice)
Misure previste:
- trasferimento consentito se autorizzato dal Garante qualora il livello di garanzia
offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della
Commissione europea oppure
- qualora il titolare presti opportune garanzie in sede contrattuale mediante
l’adozione di regole di condotta infragruppo (le cosiddette binding corporate rules,
BCR) o
- mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle
relative decisioni della Commissione europea (art. 44 del Codice)
Digital&Law Department - copyright 2014
Una regola da tener presente: prima di esternalizzare la gestione di dati e documenti o
adottare nuovi modelli organizzativi, è necessario individuare con chiarezza i propri
bisogni, perché solo dopo ci si potrà orientare verso la soluzione più sicura ed efficace
per il proprio business.
GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
Cloud Computing - Parere 8/2010 sul diritto applicabile
1) Il cloud computing, quando i dati personali sono trattati e conservati su server sparsi
per il mondo, è un esempio complesso dell'applicazione delle disposizioni della direttiva
95/46/CE.
2) Il luogo esatto in cui i dati sono ubicati non è sempre noto e può cambiare nel tempo,
ma non è decisivo per individuare la legge applicabile.
3) È sufficiente che il titolare del trattamento effettui il trattamento nel contesto di uno
stabilimento nell’UE o che i mezzi rilevanti siano situati sul territorio dell’UE per fare
scattare l’applicazione del diritto dell’UE, come previsto all'articolo 4, paragrafo 1,
lettera c) della direttiva.
Digital&Law Department - copyright 2014
Il primo passo decisivo sarà individuare chi è il titolare del trattamento e quali attività si
svolgono a quale livello. Si possono distinguere due prospettive:
1) L'utente del servizio di cloud computing è un titolare del trattamento: ad esempio, una
società usa un servizio di agenda on-line per organizzare riunioni con i clienti. Se la
società usa il servizio nel contesto delle attività del suo stabilimento nell'UE, il diritto
dell'UE sarà applicabile a questo trattamento di dati per mezzo dell'agenda online sulla
base dell'articolo 4, paragrafo 1, lettera a). La società dovrebbe far sì che il servizio
offra adeguate salvaguardie per la protezione dei dati, in particolare per quanto riguarda
la sicurezza dei dati personali conservati in luoghi remoti. Dovrà anche informare i
propri clienti dello scopo e delle condizioni d'uso dei loro dati.
2) Il fornitore del servizio di cloud computing in alcune circostanze può anche essere un
titolare del trattamento: ad esempio nel caso in cui fornisce un'agenda on-line in cui i
privati possono caricare tutti i loro appuntamenti personali e offre servizi a valore
aggiunto come la sincronizzazione degli appuntamenti e dei contatti. Se il fornitore del
servizio di cloud computing usa mezzi situati nel territorio dell'UE, sarà soggetto al
diritto dell'UE sulla protezione dei dati in virtù dell'articolo 4, paragrafo 1, lettera c).
L'applicazione della direttiva non sarebbe determinata dai mezzi usati a soli fini di transito, ma da
strumenti più specifici. Il fornitore del servizio di cloud computing dovrà in tal caso fornire agli
utenti le informazioni sul modo in cui i dati sono trattati, conservati, eventualmente visionati da
terzi, e garantire misure di sicurezza idonee a proteggere le informazioni.
Parere del Garante su “Linee-guida per il Disaster Recovery delle
pubbliche amministrazioni”
Servizi cloud il fornitore deve indicare con apposita dichiarazione resa in sede contrattuale, l'esatta
localizzazione, o le esatte localizzazioni dei dati gestiti:
ciò serve a capire se questa particolare modalità di realizzazione del servizio rispetti
effettivamente la normativa privacy e l’articolo 45 del Codice, che vieta il trasferimento “anche
temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali
oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea”, qualora
“l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela
delle persone adeguato”
osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di
amministrazione di sistema" del 27 novembre 2008»
applicazione delle clausole specifiche elaborate dalla Commissione Europea nei contratti
di fornitura del servizio:
si tratta di clausole, effettive dal 15 maggio 2010, che trasferiscono parte delle responsabilità sul
trattamento dati a chi effettivamente tratta i dati; poiché l’attività di outsourcing può essere
subappaltata anche più volte, nell’ambito del medesimo servizio, deve essere garantita chiarezza
su chi sia il responsabile per la sicurezza dei dati.
DECISIONE DELLA COMMISSIONE del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il
trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva
95/46/CE del Parlamento europeo e del Consiglio
Inserire un riferimento al documento del
Garante “Cloud computing: indicazioni
per l'utilizzo consapevole dei servizi”
favorire l'adozione consapevole e
responsabile di questa tipologia di servizi
CAUTELA
Cloud computing, CO e DR
+ osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei
trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle
funzioni di amministrazione di sistema" del 27 novembre 2008”
Il servizio prescelto potrebbe essere solo il
risultato finale di una catena di trasformazione
di servizi acquisiti presso altri service provider,
diversi dal fornitore con cui l’utente stipula il
contratto di servizio
COME HA OSSERVATO L’AUTORITÀ GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI:
A fronte di tali responsabilità complesse, il cliente potrebbe
non sempre essere messo in grado di sapere chi può accedere
a determinati dati fra i diversi gestori di servizi intermedi
Digital&Law Department - copyright 2014
Il servizio virtuale, in assenza di adeguate garanzie
in merito alla qualità della connettività di rete,
potrebbe occasionalmente risultare degradato in
presenza di elevati picchi di traffico o addirittura
indisponibile laddove si verifichino eventi anomali
quali, ad esempio, guasti, impedendo l’accessibilità
temporanea ai dati in esso conservati
In assenza di un’accurata previsione contrattuale dei livelli di
servizio garantiti (c.d. SERVICE LEVEL AGREEMENT), il
cliente potrebbe non riuscire a valutare l’esatto e diligente
adempimento della prestazione
Digital&Law Department - copyright 2014
Digital&Law Department - copyright 2014
Sapere in quale Stato risiedono fisicamente i server sui quali vengono
allocati i dati è determinate per stabilire la giurisdizione e la legge
applicabile nel caso di controversie tra l’utente e il fornitore del servizio
INFORMARSI SU DOVE RISIEDERANNO
CONCRETAMENTE I DATI
La presenza fisica dei server in uno Stato (in Italia, in Europa o in un Paese
extraeuropeo) comporterà per l'autorità giudiziaria nazionale, infatti, la
possibilità di dare esecuzione a ordini di esibizione, di accesso o di
sequestro, ove sussistano i presupposti giuridici in base a quel determinato
ordinamento nazionaleDigital&Law Department - copyright 2014
E’ consigliabile ricorrere a servizi di cloud computing privilegiando
servizi basati su formati e standard aperti (nelle modalità SaaS,
PaaS o IaaS), che facilitino la transizione da un sistema cloud a un
altro, anche se gestiti da fornitori diversi. Ciò al fine di:
PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA
PORTABILITÀ DEI DATI PER EVITARE IL VENDOR LOCK-IN
Evitare che possibili modifiche unilaterali dei
contratti di servizio da parte di uno
qualunque degli operatori della catena di
fornitura si traducano in condizioni
peggiorative vincolanti
Facilitare eventuali
successivi passaggi da un
fornitore all’altro
Digital&Law Department - copyright 2014
In fase di acquisizione del servizio cloud:
• l’UTENTE dovrebbe accertare il termine ultimo, successivo alla scadenza del
contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono
stati affidati;
• il FORNITORE dovrà garantire che i dati non saranno conservati oltre i
suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con
l’utente stesso.
In ogni caso, i dati dovranno essere sempre conservati nel rispetto della
normativa applicabile, delle finalità e delle modalità concordate, escludendo
duplicazioni non consentite e comunicazioni a terzi.
VERIFICARE LE POLITICHE DI PERSISTENZA DEI
DATI LEGATE ALLA LORO CONSERVAZIONE E
PORRE ATTENZIONE AL DATA PRESERVATION
Digital&Law Department - copyright 2014
Per proteggere la confidenzialità dei dati, occorre VALUTARE ANCHE LE MISURE DI
SICUREZZA utilizzate per consentire l’allocazione dei dati in cloud, privilegiando i
fornitori che utilizzano tecniche di trasmissione sicure, tramite CONNESSIONI
CIFRATE coadiuvate da sistemi di IDENTIFICAZIONE dei soggetti autorizzati
all'accesso.
LA COMPLESSITÀ DI TALI MISURE DI SICUREZZA DEVE ESSERE
COMMISURATA ALLA CRITICITÀ DEI DATI
Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati, quali quelli
strategici, personali o addirittura sensibili, per i quali sono maggiormente pregnanti le
esigenze di riservatezza, si raccomanda l'utilizzo di protocolli sicuri nella fase di
trasmissione e la conservazione in forma cifrata sui sistemi del fornitore di servizio e/o
comunque livelli di autenticazione e profili di autorizzazione (accountability) in linea
con i dati da trattare.
ESIGERE E ADOTTARE OPPORTUNE CAUTELE
PER TUTELARE LA CONFIDENZIALITÀ DEI DATI
Digital&Law Department - copyright 2014
Digital&Law Department - copyright 2014
I contratti cloud e la task force UECreata una task force per definire le regole e le garanzie nei rapporti tra fornitori e clienti,
le cui prime Linee guida sono state pubblicate il 26 giugno 2014.
I contratti diventano un aspetto nodale per lo sviluppo del mercato dei servizi cloud
New guidelines to help EU businesses use the Cloudhttp://europa.eu/rapid/press-release_IP-14-743_en.htm
Un team UE ha lavorato alla ricerca di condizioni contrattuali più affidabili ed eque per l’utilizzo dei
servizi di cloud computing per incrementare la fiducia e agevolare quindi la stipula di accordi tra
fornitori e utenti. Sono stati definiti fondamentali criteri di tutela della sicurezza e della privacy che
non potranno venire meno nel rapporto di fornitura dei nuovi servizi. Il quadro giuridico a cui lavora la
task force andrà inoltre a completare le recenti proposte di riforma in materia di protezione dei dati già
presentate in Commissione dal Parlamento europeo con l’obiettivo di facilitare la creazione di
un mercato unico in ambito europeo per i servizi cloud e digitali.
Costituita da esperti, fornitori, consumatori, esponenti del mondo accademico e giuristi, la task force ha
lavorato alla definizione di clausole contrattuali che, per il momento, saranno suggerite su base
facoltativa con la prospettiva, in seguito, dopo le necessarie verifiche di diventare obblighi di legge. Le
clausole standard dovrebbero ridurre molte preoccupazioni che ancora oggi tengono lontani
consumatori e imprese – soprattutto piccole – dall’acquisto dei servizi cloud.
I punti di attenzione
e i falsi miti
Digital&Law Department - copyright 2014
Il cloud estremizza le problematiche relative a:
Asimmetria informativa
Riservatezza
Lock in
Internazionalità dell’accordo
Licenze software (e necessità di ridefinire tutti i propri asset informatici?)
Deleghe di servizi
Interruzioni di servizio
Necessità di definire SLA specifici
Privacy e accountability
Cloud Design Service
Digital&Law Department - copyright 2014
Contract by design nel Cloud?
È possibile?
L’interlocutore è unico e spesso vengono garantiti una
moltitudine di servizi scalari e controllabili e livelli di
servizio differenti a seconda del tipo di esigenza
Digital&Law Department - copyright 2014
• La sicurezza informatica e il corretto trattamento dei dati personali non
rappresentano un punto debole del cloud ma, al contrario, consentono di
raggiungere livelli di sicurezza impensabili per un CED di piccole e medie
dimensioni
• Vi è la necessità di una contrattazione delle modalità e finalità del trattamento,
compreso i livelli di sicurezza da garantire (SLA e PLA)
• Problema dell’allocazione di ruoli e responsabilità quando si valuta la
migrazione dei dati in una struttura cloud: il cloud provider potrebbe essere
considerato quale titolare autonomo del trattamento (scelta ragionevole) o quale
responsabile ex art. 29 d.lgs. 196/2003 (come invece avviene nella prassi)
• Il cloud provider ha un ruolo esclusivo, rispetto al buyer, nel decidere il profilo
della sicurezza e la modalità di erogazione del proprio servizio, incluse le scelte
relative alla circolazione dei dati nei diversi luoghi e tra distinti soggetti (come, ad
esempio, i suoi subfornitori)
Considerazioni su Sicurezza e Privacy:
A sottolineare la delicatezza dell’esternalizzazione di tale servizio e delle
problematiche concrete che devono essere affrontate in sede contrattuale e di
definizione dei ruoli in ambito privacy, le conseguenze dell’allocazione dei ruoli
sono notevoli e si riflettono su tre ordini di questioni:
1) individuazione della legge nazionale applicabile
(è lo stabilimento del Titolare a determinare la legge applicabile; quindi definire se
un cloud provider è titolare o responsabile ha conseguenze decisive sulle norme
applicabili);
2) definizione della responsabilità giuridica e dei poteri di accesso e controllo tra
le parti;
(poteri che un Titolare deve poter esercitare quale conseguenza della sua posizione di
vertice);
3) individuazione della disciplina specifica applicabile al trattamento (art. 19,
comma 3, 20 e 22, d.lgs. 196/2003)
(la trasmissione di dati ad altro titolare integra una comunicazione che presuppone
l’esistenza di una norma di legge o di regolamento come condizione di liceità per le
PPAA)
Suggerimenti:
Verificare adesione a standard di sicurezza da parte del Cloud provider
Differenziare i servizi (crittografia, accessi differenziati, livelli di sicurezza
etc.) a seconda della tipologia di dati, informazioni, documenti trattati
Garantire gli storage (disaster recovery/business continuity) anche attraverso
l’utilizzo di altro Cloud provider
Verificare l’interoperabilità dei servizi forniti
Verificare il modello di Cloud scelto in base alle effettive necessità aziendali
o personali
Controlli da parte di Cloud Auditor
Conoscere bene il Cloud Provider e suoi eventuali subfornitori
Porre attenzione al Security Incident Mangement e alle attività di Reporting /
Logging
Verificare l’utilizzabilità delle licenze
Digital&Law Department - copyright 2014
la nomina del Responsabile del trattamento dei dati (riguardo anche a
eventuali subappaltatori);
la definizione di regole per il trattamento dei dati al di fuori dell’Unione
europea;
la specifica individuazione dei poteri di controllo nei confronti del
Responsabile del trattamento e la relativa verifica della corretta esecuzione
delle istruzioni impartite;
il monitoraggio delle prestazioni del sistema;
il backup dei dati allocati nel cloud con periodicità almeno giornaliera;
la definizione della politica di persistenza dei dati nel cloud;
la certificazione sul rispetto di determinati standard di sicurezza nella
gestione dei dati (ovvero ISO 27001:2005).
I cloud provider dovranno adempiere a PLA riguardanti:
A cosa prestare attenzione:
Scelta opportuna dei fornitori e clausole contrattuali e/o accordi di servizio (i
servizi cloud possono essere opportunamente progettati e regolamentati secondo
le esigenze delle varie organizzazioni)
Regolare i diritti dell’interessato e prevedere obblighi di acquisizione del
consenso e di informativa
Disciplinare attentamente i ruoli e compiti dei soggetti che effettuano il
trattamento (il titolare, il responsabile, gli incaricati);
Identificare e indicare con precisione i requisiti e i vincoli contrattuali a cui
deve sottostare il fornitore di servizi;
Adottare gli adempimenti e le misure per garantire la corretta gestione e
trattamento dei dati (soprattutto quelli sensibili) e la sicurezza dei dati e dei
sistemi (in particolare nel titolo VII del d.lgs. 196/2003 che regola il
“Trasferimento dei dati all’estero”);
Rispetto della Decisione 2010/87/UE del 5 febbraio 2010 (relativa alle clausole
contrattuali tipo per il trasferimento dei dati personali e incaricati del trattamento
stabiliti in paesi terzi), a seguito della quale il Garante ha emanato
un’Autorizzazione generale (27 maggio 2010).
E le PA?
Anche in Italia, con l’art. 47 della legge n. 35/2012 (di
conversione del D.L. n. 5/2012), sono state individuate
una serie di misure da adottare per il perseguimento
degli obiettivi dell’Agenda digitale italiana, tra le quali,
alla lett. d), è espressamente menzionata la
“promozione della diffusione e del controllo di
architetture di cloud computing per le attività e i servizi
delle pubbliche amministrazioni”.
Digital&Law Department - copyright 2014
la creazione di un catalogo dei servizi cloud idonei per la PA;
l’identificazione dei requisiti di sicurezza, protezione dei dati personali e
resilienza del servizio;
l’identificazione della catena di responsabilità;
il monitoraggio del rispetto dei requisiti attraverso SLA che comprendano,
oltre a quelli prestazionali, parametri di sicurezza e di adattabilità;
la definizione di una politica chiara circa il trasferimento dei dati all’estero;
la gestione del rischio e audit;
l’adozione di strumenti di auditing e incident reporting.
Il documento ENISA (European Network and Information Security Agency) “Cloud
Computing – Benefits, Risks and Recommandations for Information Security”
conserva ancora oggi una rilevante importanza sebbene sia stato pubblicato nel 2009
Digital&Law Department - copyright 2014
I consigli del Garante Privacy sul Cloud Individuare correttamente le misure di sicurezza che ha adottato il cloud provider per
proteggere i dati
Identificare il reale fornitore del servizio in cloud (singola società o più società consorziate che
collaborano?)
Verificare i piani di business continuity (verificare nel dettaglio i tempi di ripristino) e disaster
recovery (esistono piani di emergenza per i servizi essenziali forniti dal cloud provider?)
Verificare se viene garantita una accessibilità a tutto il sistema o parte di esso in caso di
problemi di connettività ad Internet
Controllare la separazione (e quindi il grado di riservatezza) dei data base rispetto all’utilizzo
comune con altre società dei server forniti nel servizio cloud
Determinare in quale Stato sono conservati i dati conservati nella “nuvola”
Accertare l’esportabilità del database in caso di cessazione del servizio fornito
Concordare con il cloud provider forme di risarcimento in caso di perdita di dati e precisare i
livelli di servizio forniti
Ricordarsi che risponde sempre il titolare del dato in caso di violazioni privacy commesse dal
cloud provider!
Nominare il cloud provider come responsabile del trattamento
Verificare il livello di professionalità del personale del cloud provider
Verificare i livelli di accountability forniti dal cloud provider
Ho inserito nel contratto un dizionario informatico per i
termini tecnici utilizzati?
Ho spiegato bene le finalità del servizio?
Ho inserito eventuali termini essenziali di ultimazione del
servizio e tempistiche di esecuzione dei servizi di
manutenzione? Ho associato delle adeguate penali a questi
termini?
Ho indicato la professionalità specifica dei manutentori e/o
amministratori che si interfacceranno con il mio servizio?
Ho stabilito la tipologia di licenze software installate e/o
definito i termini di utilizzo (e di eventuale distribuzione)? E
il «codice sorgente» di chi è?
Ho allegato o definito nel contratto una corretta PLA?
Ho definito nel dettaglio le responsabilità del fornitore e dei
suoi eventuali subfornitori?
Ho designato il mio fornitore Responsabile esterno al
trattamento e/o Amministratore di Sistema?
Una diagnosi corretta per il nostro contratto di servizi informatici
Ho verificato dove sono ubicati i server del mio fornitore?
Ho verificato i tempi di ripristino garantiti dal fornitore? E ho
verificato le garanzie in caso di «degradamento del servizi» per
picchi di traffico? E ho verificato le mie esigenze di reporting in
caso di accessi non autorizzati?
Ho verificato le responsabilità in caso di perdita dei dati? Ho
verificato se il mio fornitore ha sottoscritto una polizza per coprire
questi danni?
Ho inserito delle precise clausole in caso di «passaggi di
consegne» o di cessazione degli effetti del contratto
(mantenimento dati su server, tempi di cancellazione, consegna
archivio interoperabile etc.)?
Ho inserito una fase di collaudo e delle clasuole che consentano
verifiche e confronti in corso d’opera?
Ho inserito delle clausole di prevenzione del conflitto o comunque
di gestione corretta dello stesso?
Ho inserito delle clausole di ridefinizione del servizio e dei prezzi?
Una diagnosi corretta per il nostro contratto di servizi informatici
Avv. Graziano Garrisi
Digital&Law Department Studio Legale Lisi
www.studiolegalelisi.it
Tel. 0832/256065 – Fax 0832/244802
e.mail: [email protected]
Grazie per l’attenzione
…e per contatti o ulteriori informazioni: