SlideShare une entreprise Scribd logo

Simone Bonavita - Contrattualistica e privacy nel cloud computer

Simone Bonavita
Simone Bonavita

Slide relative ad un convegno. Si analizzano le problematiche legate al cloud computer ed alla relative ripersussioni a livello contrattuale

Technologie
1  sur  32
Télécharger pour lire hors ligne
Il Cloud, tra contrattualistica e privacy aprile2011
Chi Parla? - Dipartimento di IT di Perani Pozzi Tavella [2pt.eu] - Cultore della materia di Informatica Giuridica, cattedra Prof. Ziccardi, Università degli Studi di Milano [ziccardi.org] - Vicepresidente DFA, Digital Forensics Alunmi. [perfezionisti.it] ...il resto lo trovate in Rete...
Tra norme e contratti “La direttiva europea di protezione dati è del 1995 ed è obsoleta”(Pizzetti, Cloud Forum 2011). “Il contratto ha forza di legge tra le parti” art. 1372 c.c.
Il modello Classico I contratti ad oggetto informatico sono contratti atipici, che possono prevedere obbligazioni di mezzo o di risultato: - Contratto di licenza Software; - Contratto di sviluppo Software; - Contratto di assistenza e manutenzione; - Contratto di fornitura Hardware;
Il modello Classico - Molti contratti per differenti oggetti; - Eventuali contratti collegati; - Alta negoziabilità; - Contrattualistica basata sulle richieste del cliente; - Possibilità di negoziare clausole relative al trattamento dei dati personali.
Il modello Cloud - Un unico (complesso) contratto per più servizi; - Bassa negoziabilità del Contratto; - Difficoltà a negoziare clausole relative al trattamento dei dati.
Dove vanno i dati, chi li tratta... Con il Cloud non è sempre chiaro chi sono i soggetti che trattano i dati e dove. Tuttavia, tramite il contratto è possibile delimitare il perimetro.
Dove vanno i dati, chi li tratta... - divieto esplicito di subappato / subfornitura / subcontratto; (art.1656 c.c.) - divieto esplicito di cessione; - indicazione geografica dei server; - legge applicabile, foro competente (cfr. 2010/87/UE)
Dove vanno i dati, chi li tratta... Divieto di cessione “Cloud non può cedere a qualunque titolo il Contratto, in tutto o in parte, ad un altro soggetto, salvo consenso preventivamente prestato in forma scritta da parte di xxx.” Localizzazione dei Server “Cloud garantisce che i server che verranno utilizzati ai fini dell'adempimento del Contratto sono localizzati presso la sede di Cloud, sita a Milano, in via Bianchi, n.2” Divieto di subappalto “Cloud non può subappaltare, in tutto o in parte, le obbligazioni previste dal presente contratto”
Dove vanno i dati, chi li tratta... Clausola 9 (2010/87/UE) Legge applicabile “Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore, ossia ..............” Legge e Foro “Il Contratto è regolato dalla legge italiana. Le Parti pattuiscono che, con riferimento ad ogni e qualsiasi controversia eventualmente scaturente dal Contratto, sarà esclusivamente competente a decidere l’Autorità Giudiziaria del Foro di Milano, impregiudicata la competenza delle Sezioni Specializzate in materia di Proprietà Industriale ed Intellettuale..”
Dove vanno i dati, chi li tratta... Cosa succede se i dati devono essere esportati all'estero?
Dove vanno i dati, chi li tratta... • Trasferimento di dati verso isoli Paesi che offrono garanzie adeguate: ad oggi si tratta di Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer, Andorra Israele, USA (limitatamente alle imprese che aderiscono al c.d. Safe Harbor); • Clausole contrattuali (Cfr. Decisioni della Commissione europea n. 2004/915/CE e 2010/87/UE); • Binding Corporate Rules (solo all'interno della stessa società); • Consenso dell'interessato (cfr. art.43 del Codice).
Dove vanno i dati, chi li tratta... CLAUSOLE CONTRATTUALI TIPO («INCARICATI DEL TRATTAMENTO») Ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati 5. Obblighi di Cloud -Cloud, in qualità di importatore dichiara e garantisce quanto segue: a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto; b) di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto; c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti;(...)
Nomina a Responsabile Stabilito un “perimetro” è ora necessario stabilire a che titolo vengono trattati i dati dei soggetti terzi, contenuti nelle banche di dati.
Nomina a Responsabile “Responsabile”: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Nomina a Responsabile Gli amministratori di sistema sono “figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti” che le “figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”. Detti soggetti svolgono attività quali "il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware” che “comportano, infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata, a tutti gli effetti, alla stregua di un trattamento di dati personali; ciò anche quando l'Amministratore non consulti in chiaro le informazioni medesime”.
Nomina a Responsabile “La parti concordano che Cloud, ai sensi dell’art. 29 del citato Codice della Privacy, sarà Responsabile del trattamento dei dati personali con mansioni di Amministratore di Sistema, conformemente a quanto previsto dal relativo Provvedimento.In ogni caso, i compiti di Cloud consistono specificatamente nelle seguenti prestazioni: a) predisporre sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici. Tali registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. b) (...) Le parti concordano che, conformemente a quanto previsto dal Provvedimento del Garante xxx potrà procedere ad una verifica - almeno annuale - delle attività svolte da Cloud, in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalle normative vigenti, rispetto ai trattamenti dei dati personali. Cloud, inoltre, sarà tenuta, su semplice richiesta di xxx a fornire gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, impiegate presso la propria struttura”.
Sicurezza Informatica • “Il diritto, volente o nolente, ha dovuto “mutuare” per certi versi la disciplina informatica della sicurezza, integrandola nei testi di legge” (Perri, 2003). • La Comuntà Europea [...] è impegnata nel promuovere un vero e proprio diritto della sicurezza informatica (Cfr. Buttarelli, Verso un diritto della sicurezza informatica in Sicurezza Informatica, 1995). • “Nella tematica della sicurezza, l'approccio giuridico non è quello prevalente, ma, nel tempo, la disciplina tecnica si è dovuta coniugare con un insieme di regole simbolicamente contrassegnate come diritto della sicurezza informatica” (Buttarelli 1997).
Sicurezza Informatica • Il diritto della sicurezza informatica ha ad oggetto lo studio delle norme tramite le quali è possibile assicurare l'integrità, la riservatezza e la disponibilità del dato trattato.
Sicurezza Informatica - Disciplinare l'adozione di misure di sicurezze idonee mediante allegati, prevedendo l'utilizzo di canali crittografati; - Verifiche sull'adozione (Cfr. 2010/87/UE); - Risoluzione per inadempimento in caso di mancato rispetto di standard di sicurezza; - Eventuali penali (Cfr. art. 1382 c.c.). ....continua
Sicurezza Informatica “Cloud dichiara espressamente di trattare i dati personali di soggetti terzi che le verranno comunicati nell'adempimento del Contratto come previsto dalla attuale normativa in materia di Privacy. Cloud dichiara inoltre di adottare misure di sicurezza idonee in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Cloud, in qualsivoglia momento, farà sottoporre gli elaboratori utilizzati per il trattamento dei dati personali, su richiesta dei xxx, a verifiche da parte di quest'ultima e/o da soggetti dalla stessa delegati e/o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo, al fine di verificare l'effetiva l'adozione delle misure di sicurezza di cui all'articolo precedente”.
Sicurezza Informatica “Ai sensi e per gli effetti dell’art. 1456 c.c., il Contratto si risolverà di diritto, senza preavviso, in caso di: a) mancata adozione delle misure di sicurezza di cui all'articolo xx; b) (..) In caso di mancata adozione nell'Allegato B, saranno applicate penali a carico di Cloud stabilite e quantificate come di seguito: € xxx,00 per la mancata adozione di xxxxx; € xxx,00 per la mancata adozione di xxxxx; € xxx,00 per la mancata adozione di xxxxx; .E’ comunque fatta salva la risarcibilità di ogni danno ulteriore”.
Sicurezza Informatica - Esibizione di certificazioni (es. ISO 27001); - Segnalazione di brecce nella sicurezza e perdite di dati (Security Breach).
Sicurezza Informatica DIRETTIVA 2009/136/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione all’autorità nazionale competente. Quando la violazione di dati personali rischia di pregiudicare i dati personali o la vita privata di un abbonato o di altra persona, il fornitore comunica l’avvenuta violazione anche all’abbonato o ad altra persona interessata. Non è richiesta la notifica di una violazione dei dati personali a un abbonato o a una persona interessata se il fornitore ha dimostrato in modo convincente all’autorità competente di aver utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati interessati dalla violazione della sicurezza. Tali misure tecnologiche di protezione rendono i dati incomprensibili a chiunque non sia autorizzato ad accedervi.
Sicurezza Informatica “Una altra criticità è che la Telecom 2 impone questo obbligo solo ai gestori della banda larga (…) non agli spedizioni dei dati”(..) “e questo è un limite”(Pizzetti, Cloud Forum 2011).
Sicurezza Informatica “Cloud comunicherà a xxx ogni distruzione o perdita dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme entro 48 ore dal momento della relativa scoperta, mediante una comunicazione a mezzo email da fare pervenire all'indirizzo xxx@xxx.it”.
Clausole Way-Out - Interoperabilità; - Distruzione mediante wipeing; Restituzione su supporto/formato. determinato
Clausole Way-Out Non mi sono trovato bene con Cloud, S.p.A. voglio passare a Nuvola S.p.A. I dati che mi fornirà Cloud possono essere importati su Nuvola? Come assicurare la disponibilità del dato?
Clausole Way-Out “Cloud garantisce sin d’ora che ogni banca di dati contenente dati personali realizzata nell'adempimento del Contratto sarà pienamente compatibile e/o interoperabile con altri componenti Hardware e Software dalla stessa e/o da terzi licenziati e/o forniti e/o con gli Assets di xxx. Ogni banca di dati realizzata nell'adempimento del Contratto sarà basata su Open Standard, in modo da offrire il più elevato grado di interoperabilità con altri sistemi. Per Open Standard si intende un linguaggio/formato/protocollo che è: 1. soggetto a una completa valutazione pubblica e a un uso privo di obblighi in modo che sia ugualmente disponibile a chiunque; 2. (...)”.
Clausole Way-Out “XXX avrà facoltà di richiedere a Cloud, in qualsiasi momento, la restituzione della Banca di Dati concesso in licenza a xxx a qualunque titolo e/o con qualsiasi modo messo a disposizione. xxx avrà altresì la facoltà di richiedere a Cloud, in qualsiasi momento, la distruzione integrale o parziale della Banca di Dati e/o ogni altro dato personale consegnato e/o in qualsiasi modo e/o a qualunque titolo messo a disposizione di Cloud La distruzione dei dati dovrà avvenire con modalità atte a cancellarli definitivamente ed irreversibilmente da ogni tipo di supporto, quali, a titolo esemplificativo e non esaustivo, wiping, (...)”.
GRAZIE
Licenza Le presenti slide sono licenziate con GPLv3. Il testo della licenza è disponibile al seguente indirizzo: http://www.gnu.org/licenses/gpl.html

Recommandé

Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacySmau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
SMAU
 
Tutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legaleTutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legale
Emilio Curci
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingStefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Andrea Rossetti
 
Massimo Farina DirICTo - SMAU Milano 2017
Massimo Farina DirICTo - SMAU Milano 2017Massimo Farina DirICTo - SMAU Milano 2017
Massimo Farina DirICTo - SMAU Milano 2017
SMAU
 
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Andrea Rossetti
 

Recommandé

Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato_Profili normativi e contrattualistici relativi alla sicurez...
Giorgio Spedicato
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Aspetti pra...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacySmau Bologna 2014 - L’uso del cloud e la tutela della privacy
Smau Bologna 2014 - L’uso del cloud e la tutela della privacy
SMAU
 
Tutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legaleTutela della privacy e uso del cloud nello studio legale
Tutela della privacy e uso del cloud nello studio legale
Emilio Curci
 
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
La sicurezza dei dati e delle informazioni all'epoca del Cloud - Le norme - ...
Barbieri & Associati Dottori Commercialisti - Bologna
 
Stefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud ComputingStefano Ricci, Privacy & Cloud Computing
Stefano Ricci, Privacy & Cloud Computing
Andrea Rossetti
 
Massimo Farina DirICTo - SMAU Milano 2017
Massimo Farina DirICTo - SMAU Milano 2017Massimo Farina DirICTo - SMAU Milano 2017
Massimo Farina DirICTo - SMAU Milano 2017
SMAU
 
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Stefano Ricci, PRIVACY E SERVIZI DELLA SOCIETA' DELL'INFORMAZIONE (3)
Andrea Rossetti
 
Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
Polaris informatica
 
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Andrea Maggipinto [+1k]
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
Igor Serraino
 
Smau Milano 2016 - sharedVISION parte 3
Smau Milano 2016 - sharedVISION parte 3Smau Milano 2016 - sharedVISION parte 3
Smau Milano 2016 - sharedVISION parte 3
SMAU
 
La Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliLa Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove Digitali
Giuseppe Bellazzi
 
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
SMAU
 
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2016
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
EuroPrivacy
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri Monducci
SMAU
 
Il Cowo e la Legge.
Il Cowo e la Legge.Il Cowo e la Legge.
Il Cowo e la Legge.
Coworking Cowo®
 
Le nuove professioni digitali
Le nuove professioni digitaliLe nuove professioni digitali
Le nuove professioni digitali
Digital Law Communication
 
Comunicato convenzione padigitale
Comunicato convenzione padigitaleComunicato convenzione padigitale
Comunicato convenzione padigitale
A.N.U.T.E.L. - Associazione Nazionale Uffici Tributi Enti Locali
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Andrea Ballandino
 
Come fare la Conservazione Sostituiva a Norma
Come fare la Conservazione Sostituiva a NormaCome fare la Conservazione Sostituiva a Norma
Come fare la Conservazione Sostituiva a Norma
Levia Group
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
Digital Law Communication
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Andrea Rossetti
 
Firme elettroniche, grafometria e processi di conservazione
Firme elettroniche, grafometria e processi di conservazione Firme elettroniche, grafometria e processi di conservazione
Firme elettroniche, grafometria e processi di conservazione
Digital Law Communication
 
La conservazione dei documenti digitali
La conservazione dei documenti digitaliLa conservazione dei documenti digitali
La conservazione dei documenti digitali
Cesare Ciabatti
 
Dae 2013 - Barbara Fabbrini
Dae 2013 - Barbara Fabbrini Dae 2013 - Barbara Fabbrini
Dae 2013 - Barbara Fabbrini
Giurdanella .it
 
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazioneSocial Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
festival ICT 2016
 
App e privacy
App e privacyApp e privacy
App e privacy
Roberta Rapicavoli
 
Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...
Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...
Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...
Giorgio Spedicato
 

Contenu connexe

Tendances

Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
Igor Serraino
 
La Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliLa Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove Digitali
Giuseppe Bellazzi
 
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2016
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Andrea Rossetti
 
La conservazione dei documenti digitali
La conservazione dei documenti digitaliLa conservazione dei documenti digitali
La conservazione dei documenti digitali
Cesare Ciabatti
 
Dae 2013 - Barbara Fabbrini
Dae 2013 - Barbara Fabbrini Dae 2013 - Barbara Fabbrini
Dae 2013 - Barbara Fabbrini
Giurdanella .it
 

Tendances (19)

Cloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacyCloud e dati aziendali, gli impatti sulla privacy
Cloud e dati aziendali, gli impatti sulla privacy
 
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
Protezione asset aziendali (Avv. Maggipinto) (estratto prima parte)
 
Slides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smauSlides Igor Serraino torino 2015 smau
Slides Igor Serraino torino 2015 smau
 
Smau Milano 2016 - sharedVISION parte 3
Smau Milano 2016 - sharedVISION parte 3Smau Milano 2016 - sharedVISION parte 3
Smau Milano 2016 - sharedVISION parte 3
 
La Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove DigitaliLa Gestione Legale Delle Prove Digitali
La Gestione Legale Delle Prove Digitali
 
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
Smau Padova 2019 Edoardo Artese - Daniela Ghidelli (DirICTo)
 
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
festival ICT 2013: Informazioni in azienda protette ed efficaci in regime di ...
 
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
#Ready4EUdataP EXTENDED Version - Misure di Sicurezza e Risk Management nel G...
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri Monducci
 
Il Cowo e la Legge.
Il Cowo e la Legge.Il Cowo e la Legge.
Il Cowo e la Legge.
 
Le nuove professioni digitali
Le nuove professioni digitaliLe nuove professioni digitali
Le nuove professioni digitali
 
Comunicato convenzione padigitale
Comunicato convenzione padigitaleComunicato convenzione padigitale
Comunicato convenzione padigitale
 
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
Sicurezza nelle operazioni di trattamento - Regolamento UE 2016/679.
 
Come fare la Conservazione Sostituiva a Norma
Come fare la Conservazione Sostituiva a NormaCome fare la Conservazione Sostituiva a Norma
Come fare la Conservazione Sostituiva a Norma
 
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea LisiSignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
SignEAT - Evento AIFAG del 15 giugno 2017 - Intervento Andrea Lisi
 
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
Giuseppe Vaciago Profili giuridici dell'indagine digitale 08 09 18 Ordine Ber...
 
Firme elettroniche, grafometria e processi di conservazione
Firme elettroniche, grafometria e processi di conservazione Firme elettroniche, grafometria e processi di conservazione
Firme elettroniche, grafometria e processi di conservazione
 
La conservazione dei documenti digitali
La conservazione dei documenti digitaliLa conservazione dei documenti digitali
La conservazione dei documenti digitali
 
Dae 2013 - Barbara Fabbrini
Dae 2013 - Barbara Fabbrini Dae 2013 - Barbara Fabbrini
Dae 2013 - Barbara Fabbrini
 

En vedette

Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazioneSocial Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
festival ICT 2016
 

En vedette (8)

Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazioneSocial Network, business & privacy: Big Data, tecnologie Connect, profilazione
Social Network, business & privacy: Big Data, tecnologie Connect, profilazione
 
App e privacy
App e privacyApp e privacy
App e privacy
 
Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...
Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...
Giorgio Spedicato_Google Law. Motori di ricerca tra innovazione tecnologica e...
 
Enterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridiciEnterprise Social Network - Profili giuridici
Enterprise Social Network - Profili giuridici
 
Simone Bonavita - Videogame opere derivate e diritto
Simone Bonavita - Videogame opere derivate e dirittoSimone Bonavita - Videogame opere derivate e diritto
Simone Bonavita - Videogame opere derivate e diritto
 
Simone Bonavita - Il diritto all'oblio e gli strumenti di tutela
Simone Bonavita - Il diritto all'oblio e gli strumenti di tutelaSimone Bonavita - Il diritto all'oblio e gli strumenti di tutela
Simone Bonavita - Il diritto all'oblio e gli strumenti di tutela
 
Simone Bonavita - Privacy ed autodeterminazione informativa
Simone Bonavita - Privacy ed autodeterminazione informativaSimone Bonavita - Privacy ed autodeterminazione informativa
Simone Bonavita - Privacy ed autodeterminazione informativa
 
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
Privacy: Facebook e WhatsApp (come paghiamo questi servizi)
 

Similaire à Simone Bonavita - Contrattualistica e privacy nel cloud computer

La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
Digital Law Communication
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
Council of Europe
 
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
ALESSIA PALLADINO
 

Similaire à Simone Bonavita - Contrattualistica e privacy nel cloud computer (20)

Smau Milano 2017_Diricto
Smau Milano 2017_DirictoSmau Milano 2017_Diricto
Smau Milano 2017_Diricto
 
Smau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri MonducciSmau Bologna 2011 Juri Monducci
Smau Bologna 2011 Juri Monducci
 
Smau Milano 2011 Giorgio Spedicato
Smau Milano 2011 Giorgio SpedicatoSmau Milano 2011 Giorgio Spedicato
Smau Milano 2011 Giorgio Spedicato
 
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
Spedicato_Profili normativi e contrattuali per la gestione della sicurezza e ...
 
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
La Cartella Clinica Elettronica tra gestione, conservazione e implicazioni pr...
 
Diritto & sicurezza informatica
Diritto & sicurezza informaticaDiritto & sicurezza informatica
Diritto & sicurezza informatica
 
Open Data e trasparenza - Forum PA 2015
Open Data e trasparenza - Forum PA 2015Open Data e trasparenza - Forum PA 2015
Open Data e trasparenza - Forum PA 2015
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
Blockchain Challenge - Raffaele Battaglini - Marco Roberti - 14/11/18
Blockchain Challenge - Raffaele Battaglini - Marco Roberti - 14/11/18Blockchain Challenge - Raffaele Battaglini - Marco Roberti - 14/11/18
Blockchain Challenge - Raffaele Battaglini - Marco Roberti - 14/11/18
 
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
Blockchain e GDPR: un binomio possibile - Smau Napoli 2019
 
Depliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystemDepliant Privacy Evolution TeamSystem
Depliant Privacy Evolution TeamSystem
 
Digitalizzazione della Pubblica Amministrazione Savino Solution Nicola
Digitalizzazione della Pubblica Amministrazione Savino Solution NicolaDigitalizzazione della Pubblica Amministrazione Savino Solution Nicola
Digitalizzazione della Pubblica Amministrazione Savino Solution Nicola
 
Smau Padova 2015 - Aipsi
Smau Padova 2015 - AipsiSmau Padova 2015 - Aipsi
Smau Padova 2015 - Aipsi
 
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
Code is the Law - Quale futuro per il Pubblico Dominio in un ambiente digital...
 
Lezione 7 4 2011
Lezione 7 4 2011Lezione 7 4 2011
Lezione 7 4 2011
 
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di CagliariCloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
Cloud computing: aspetti giuridici - Ordine Ingegneri di Cagliari
 
Il ruolo del Responsabile della conservazione digitale dei documenti: profess...
Il ruolo del Responsabile della conservazione digitale dei documenti: profess...Il ruolo del Responsabile della conservazione digitale dei documenti: profess...
Il ruolo del Responsabile della conservazione digitale dei documenti: profess...
 
Blockchain smart contracts
Blockchain smart contracts Blockchain smart contracts
Blockchain smart contracts
 
Trattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legaleTrattamento dei dati e cloud nello studio legale
Trattamento dei dati e cloud nello studio legale
 
La tutela del diritto d'autore online - lezione del 20 dicembre 2014 SSPL Uni...
La tutela del diritto d'autore online - lezione del 20 dicembre 2014 SSPL Uni...La tutela del diritto d'autore online - lezione del 20 dicembre 2014 SSPL Uni...
La tutela del diritto d'autore online - lezione del 20 dicembre 2014 SSPL Uni...
 

Simone Bonavita - Contrattualistica e privacy nel cloud computer

  • 1. Il Cloud, tra contrattualistica e privacy aprile2011
  • 2. Chi Parla? - Dipartimento di IT di Perani Pozzi Tavella [2pt.eu] - Cultore della materia di Informatica Giuridica, cattedra Prof. Ziccardi, Università degli Studi di Milano [ziccardi.org] - Vicepresidente DFA, Digital Forensics Alunmi. [perfezionisti.it] ...il resto lo trovate in Rete...
  • 3. Tra norme e contratti “La direttiva europea di protezione dati è del 1995 ed è obsoleta”(Pizzetti, Cloud Forum 2011). “Il contratto ha forza di legge tra le parti” art. 1372 c.c.
  • 4. Il modello Classico I contratti ad oggetto informatico sono contratti atipici, che possono prevedere obbligazioni di mezzo o di risultato: - Contratto di licenza Software; - Contratto di sviluppo Software; - Contratto di assistenza e manutenzione; - Contratto di fornitura Hardware;
  • 5. Il modello Classico - Molti contratti per differenti oggetti; - Eventuali contratti collegati; - Alta negoziabilità; - Contrattualistica basata sulle richieste del cliente; - Possibilità di negoziare clausole relative al trattamento dei dati personali.
  • 6. Il modello Cloud - Un unico (complesso) contratto per più servizi; - Bassa negoziabilità del Contratto; - Difficoltà a negoziare clausole relative al trattamento dei dati.
  • 7. Dove vanno i dati, chi li tratta... Con il Cloud non è sempre chiaro chi sono i soggetti che trattano i dati e dove. Tuttavia, tramite il contratto è possibile delimitare il perimetro.
  • 8. Dove vanno i dati, chi li tratta... - divieto esplicito di subappato / subfornitura / subcontratto; (art.1656 c.c.) - divieto esplicito di cessione; - indicazione geografica dei server; - legge applicabile, foro competente (cfr. 2010/87/UE)
  • 9. Dove vanno i dati, chi li tratta... Divieto di cessione “Cloud non può cedere a qualunque titolo il Contratto, in tutto o in parte, ad un altro soggetto, salvo consenso preventivamente prestato in forma scritta da parte di xxx.” Localizzazione dei Server “Cloud garantisce che i server che verranno utilizzati ai fini dell'adempimento del Contratto sono localizzati presso la sede di Cloud, sita a Milano, in via Bianchi, n.2” Divieto di subappalto “Cloud non può subappaltare, in tutto o in parte, le obbligazioni previste dal presente contratto”
  • 10. Dove vanno i dati, chi li tratta... Clausola 9 (2010/87/UE) Legge applicabile “Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore, ossia ..............” Legge e Foro “Il Contratto è regolato dalla legge italiana. Le Parti pattuiscono che, con riferimento ad ogni e qualsiasi controversia eventualmente scaturente dal Contratto, sarà esclusivamente competente a decidere l’Autorità Giudiziaria del Foro di Milano, impregiudicata la competenza delle Sezioni Specializzate in materia di Proprietà Industriale ed Intellettuale..”
  • 11. Dove vanno i dati, chi li tratta... Cosa succede se i dati devono essere esportati all'estero?
  • 12. Dove vanno i dati, chi li tratta... • Trasferimento di dati verso isoli Paesi che offrono garanzie adeguate: ad oggi si tratta di Svizzera, Canada, Argentina, Isola di Guernsey, Isola di Man, Isola di Jersey, Isole Far Oer, Andorra Israele, USA (limitatamente alle imprese che aderiscono al c.d. Safe Harbor); • Clausole contrattuali (Cfr. Decisioni della Commissione europea n. 2004/915/CE e 2010/87/UE); • Binding Corporate Rules (solo all'interno della stessa società); • Consenso dell'interessato (cfr. art.43 del Codice).
  • 13. Dove vanno i dati, chi li tratta... CLAUSOLE CONTRATTUALI TIPO («INCARICATI DEL TRATTAMENTO») Ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati 5. Obblighi di Cloud -Cloud, in qualità di importatore dichiara e garantisce quanto segue: a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto; b) di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e di comunicare all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto; c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima di procedere al trattamento dei dati personali trasferiti;(...)
  • 14. Nomina a Responsabile Stabilito un “perimetro” è ora necessario stabilire a che titolo vengono trattati i dati dei soggetti terzi, contenuti nelle banche di dati.
  • 15. Nomina a Responsabile “Responsabile”: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
  • 16. Nomina a Responsabile Gli amministratori di sistema sono “figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti” che le “figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, gli amministratori di reti e di apparati di sicurezza e gli amministratori di sistemi software complessi”. Detti soggetti svolgono attività quali "il salvataggio dei dati (backup/recovery), l’organizzazione dei flussi di rete, la gestione dei supporti di memorizzazione e la manutenzione hardware” che “comportano, infatti, in molti casi, un'effettiva capacità di azione su informazioni che va considerata, a tutti gli effetti, alla stregua di un trattamento di dati personali; ciò anche quando l'Amministratore non consulti in chiaro le informazioni medesime”.
  • 17. Nomina a Responsabile “La parti concordano che Cloud, ai sensi dell’art. 29 del citato Codice della Privacy, sarà Responsabile del trattamento dei dati personali con mansioni di Amministratore di Sistema, conformemente a quanto previsto dal relativo Provvedimento.In ogni caso, i compiti di Cloud consistono specificatamente nelle seguenti prestazioni: a) predisporre sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici. Tali registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste. b) (...) Le parti concordano che, conformemente a quanto previsto dal Provvedimento del Garante xxx potrà procedere ad una verifica - almeno annuale - delle attività svolte da Cloud, in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza previste dalle normative vigenti, rispetto ai trattamenti dei dati personali. Cloud, inoltre, sarà tenuta, su semplice richiesta di xxx a fornire gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, impiegate presso la propria struttura”.
  • 18. Sicurezza Informatica • “Il diritto, volente o nolente, ha dovuto “mutuare” per certi versi la disciplina informatica della sicurezza, integrandola nei testi di legge” (Perri, 2003). • La Comuntà Europea [...] è impegnata nel promuovere un vero e proprio diritto della sicurezza informatica (Cfr. Buttarelli, Verso un diritto della sicurezza informatica in Sicurezza Informatica, 1995). • “Nella tematica della sicurezza, l'approccio giuridico non è quello prevalente, ma, nel tempo, la disciplina tecnica si è dovuta coniugare con un insieme di regole simbolicamente contrassegnate come diritto della sicurezza informatica” (Buttarelli 1997).
  • 19. Sicurezza Informatica • Il diritto della sicurezza informatica ha ad oggetto lo studio delle norme tramite le quali è possibile assicurare l'integrità, la riservatezza e la disponibilità del dato trattato.
  • 20. Sicurezza Informatica - Disciplinare l'adozione di misure di sicurezze idonee mediante allegati, prevedendo l'utilizzo di canali crittografati; - Verifiche sull'adozione (Cfr. 2010/87/UE); - Risoluzione per inadempimento in caso di mancato rispetto di standard di sicurezza; - Eventuali penali (Cfr. art. 1382 c.c.). ....continua
  • 21. Sicurezza Informatica “Cloud dichiara espressamente di trattare i dati personali di soggetti terzi che le verranno comunicati nell'adempimento del Contratto come previsto dalla attuale normativa in materia di Privacy. Cloud dichiara inoltre di adottare misure di sicurezza idonee in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Cloud, in qualsivoglia momento, farà sottoporre gli elaboratori utilizzati per il trattamento dei dati personali, su richiesta dei xxx, a verifiche da parte di quest'ultima e/o da soggetti dalla stessa delegati e/o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo, al fine di verificare l'effetiva l'adozione delle misure di sicurezza di cui all'articolo precedente”.
  • 22. Sicurezza Informatica “Ai sensi e per gli effetti dell’art. 1456 c.c., il Contratto si risolverà di diritto, senza preavviso, in caso di: a) mancata adozione delle misure di sicurezza di cui all'articolo xx; b) (..) In caso di mancata adozione nell'Allegato B, saranno applicate penali a carico di Cloud stabilite e quantificate come di seguito: € xxx,00 per la mancata adozione di xxxxx; € xxx,00 per la mancata adozione di xxxxx; € xxx,00 per la mancata adozione di xxxxx; .E’ comunque fatta salva la risarcibilità di ogni danno ulteriore”.
  • 23. Sicurezza Informatica - Esibizione di certificazioni (es. ISO 27001); - Segnalazione di brecce nella sicurezza e perdite di dati (Security Breach).
  • 24. Sicurezza Informatica DIRETTIVA 2009/136/CE DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione all’autorità nazionale competente. Quando la violazione di dati personali rischia di pregiudicare i dati personali o la vita privata di un abbonato o di altra persona, il fornitore comunica l’avvenuta violazione anche all’abbonato o ad altra persona interessata. Non è richiesta la notifica di una violazione dei dati personali a un abbonato o a una persona interessata se il fornitore ha dimostrato in modo convincente all’autorità competente di aver utilizzato le opportune misure tecnologiche di protezione e che tali misure erano state applicate ai dati interessati dalla violazione della sicurezza. Tali misure tecnologiche di protezione rendono i dati incomprensibili a chiunque non sia autorizzato ad accedervi.
  • 25. Sicurezza Informatica “Una altra criticità è che la Telecom 2 impone questo obbligo solo ai gestori della banda larga (…) non agli spedizioni dei dati”(..) “e questo è un limite”(Pizzetti, Cloud Forum 2011).
  • 26. Sicurezza Informatica “Cloud comunicherà a xxx ogni distruzione o perdita dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme entro 48 ore dal momento della relativa scoperta, mediante una comunicazione a mezzo email da fare pervenire all'indirizzo xxx@xxx.it”.
  • 27. Clausole Way-Out - Interoperabilità; - Distruzione mediante wipeing; Restituzione su supporto/formato. determinato
  • 28. Clausole Way-Out Non mi sono trovato bene con Cloud, S.p.A. voglio passare a Nuvola S.p.A. I dati che mi fornirà Cloud possono essere importati su Nuvola? Come assicurare la disponibilità del dato?
  • 29. Clausole Way-Out “Cloud garantisce sin d’ora che ogni banca di dati contenente dati personali realizzata nell'adempimento del Contratto sarà pienamente compatibile e/o interoperabile con altri componenti Hardware e Software dalla stessa e/o da terzi licenziati e/o forniti e/o con gli Assets di xxx. Ogni banca di dati realizzata nell'adempimento del Contratto sarà basata su Open Standard, in modo da offrire il più elevato grado di interoperabilità con altri sistemi. Per Open Standard si intende un linguaggio/formato/protocollo che è: 1. soggetto a una completa valutazione pubblica e a un uso privo di obblighi in modo che sia ugualmente disponibile a chiunque; 2. (...)”.
  • 30. Clausole Way-Out “XXX avrà facoltà di richiedere a Cloud, in qualsiasi momento, la restituzione della Banca di Dati concesso in licenza a xxx a qualunque titolo e/o con qualsiasi modo messo a disposizione. xxx avrà altresì la facoltà di richiedere a Cloud, in qualsiasi momento, la distruzione integrale o parziale della Banca di Dati e/o ogni altro dato personale consegnato e/o in qualsiasi modo e/o a qualunque titolo messo a disposizione di Cloud La distruzione dei dati dovrà avvenire con modalità atte a cancellarli definitivamente ed irreversibilmente da ogni tipo di supporto, quali, a titolo esemplificativo e non esaustivo, wiping, (...)”.
  • 32. Licenza Le presenti slide sono licenziate con GPLv3. Il testo della licenza è disponibile al seguente indirizzo: http://www.gnu.org/licenses/gpl.html