Contratti Cloud: un ombrello per proteggersi dai rischi della “Nuvola”

1. Contratti Cloud:
un ombrello per
proteggersi dai
rischi della “Nuvola”
.Relatore Dott. Marco Parretti
Colin & Partners srl

2. I temi di oggi
CLOUD
Rapporto tra
fornitore e
fruitore
Tutela del
patrimonio
aziendale
Tematiche che
incidono sulla
governance
aziendale del
fruitore

3. I soggetti giuridici tipici coinvolti
 Fornitore di servizi – Offre servizi (server virtuali, storage, applicazioni
complete) generalmente secondo un modello "pay-per-use“
 Cliente amministratore – Sceglie e configura i servizi offerti dal
fornitore, generalmente offrendo un valore aggiunto come ad esempio
le applicazioni software
 Cliente finale – Utilizza i servizi opportunamente configurati dal cliente
amministratore

4. La Governance aziendale tramite cloud
L’esecuzione dei trattamenti su commissione
deve essere disciplinata da un contratto o
altro atto giuridico che vincoli l’incaricato
del trattamento al responsabile del
trattamento e che preveda segnatamente
tutti gli obblighi elencati dall’art. 26.

5. Gli aspetti di rilevanza
PROPRIETA’DEL DATO
DATA PROTECTION E PRIVACY
MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE
SUBAPPALTO
LEGGE APPLICABILE E FORO COMPETENTE
MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE

6. Il contratto di cloud computing
PROPRIETA’
Regolare proprietà dei beni utilizzati per erogazione servizio;
Garantirsi restituzione dati a cessazione rapporto;
Attenzione alla proprietà intellettuale (marchi, brevetti etc.) e
alla proprietà dei codici sorgenti dei programmi utilizzati;

7. DATA PROTECTION E PRIVACY
- Proteggere dati riservati da conoscenza fornitore (es: know-how,
liste clienti) = accordi segretezza
- Nomina a responsabile privacy e rispetto misure sicurezza se si è
fornitor
- Attenzione al trasferimento di dati all’estero
Alcuni servizi cloud permettono di
circoscrivere la circolazione dati entro
EU (cd. PLA Privacy Level Agreement.
“Livello adeguato” ( 13 paesi Svizzera,
Canada, Argentina ecc.)
Strumenti alternativi: consenso, model
clauses, contratti ad hoc, binding
corporate rules, Safe Harbor
Il contratto di cloud computing

8. Il contratto di cloud computing
MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE
- garantirsi forme di assistenza e portabilità del dato, dopo
cessazione contratto

9. Il contratto di cloud computing
LEGGE APPLICABILE E FORO COMPETENTE
- definire foro (attenzione alla collocazione dei server – per esecuzione
provvedimenti giudice italiano)
- Altrimenti:
1) stabilimento del titolare [criterio
principale]
2) In caso di assenza di stabilimento in
territorio UE  luogo dove si trovano
strumenti utilizzati per il trattamento

10. Il contratto di cloud computing
SUBAPPALTO
Ove possibile prevedere un divieto di subappalto dell’attività;
Nel caso in cui non sia possibile (per le caratteristiche del servizio o la
complessità dell’attività)?

11. Le indicazioni del Garante in caso di subappalto
Le figure coinvolte:
Titolare
Responsabile
ed Incaricati
Il problema del sub-
appalto e le catene di
nomine a responsabile
I sub-fornitori: un
Responsabile può
nominare un altro
Responsabile?
(Provv. Garante Privacy 29 novembre 2012)
Art.29 Codice Privacy:“ Il Responsabile è designato
facoltativamente dal Titolare”
Che fare?
Cliente Titolare
Fornitore
Responsabile
Sub-Fornitore
Responsabile

12. Le indicazioni del Garante in caso di subappalto
Cliente Titolare
Fornitore
Responsabile
Sub-Fornitore
Responsabile
Il Fornitore deve
informare il proprio
Cliente-Titolare che
intende avvalersi di sub-
fornitori
Il Cliente-Titolare deve
acconsentire alla sub-
fornitura
Il Responsabile deve
sottoscrivere con i sub-
fornitori degli accordi che
li vincoli a tutti gli obblighi
di sicurezza che ha
assunto con il Cliente-
Titolare
Tali accordi dovranno
essere inviati al Cliente-
Titolare, il quale dovrà
altresì essere tenuto
informato delle eventuali
modifiche, procedendo
nel caso ad ulteriori invii

13. Uno sguardo alla normativa europea
Uno sguardo alla normativa europeaImpatti anche sul mondo cloud
l'obbligo di "privacy impact assessment"
(valutazioni preventive di impatto sulla
tutela dei dati);
la previsione delle figure dei “joint
controllers” (titolari congiunti), che potranno
suddividersi le responsabilità privacy in un
apposito contratto, di cui si dovrà tenere
conto in caso di controlli o contenziosi;
l’obbligo di attenersi, nell’ideazione di nuovi
prodotti o servizi, ai principi della “data
protection by design” e della “data
protection by default”.

14. 1) Ponderare prioritariamente rischi e benefici dei servizi offerti
2) Effettuare una verifica in ordine all’affidabilità del fornitore
3) Privilegiare i servizi che favoriscono la portabilità dei dati
4) Assicurarsi la disponibilità dei dati in caso di necessità
5) Selezionare i dati da inserire nella cloud
6) Non perdere di vista i dati
7) Informarsi su dove risiederanno concretamente i dati
8) Verificare le politiche di persistenza dei dati legate alla loro
conservazione
9) Esigere e adottare opportune cautele per tutelare la confidenzialità
dei dati
10) Formare adeguatamente il personale
Tematiche che incidono sulla governance aziendale del fruitore
PRIMA DI ADERIRE A SERVIZI CLOUD...

15. Grazie!
Dott. Marco Parretti
mparretti@consulentelegaleinformatico.it
Copyright
Il materiale didattico (ivi inclusi, ma non limitatamente, il testo,
immagini, fotografie, grafica) è di proprietà esclusiva e riservata
della società Colin & Partners Srl, e protetto dalle leggi sul
copyright ed in generale dalle vigenti norme nazionali ed
internazionali in materia. Il materiale fornito potrà essere
riprodotto solo a scopo didattico per il presente corso od evento
ed ogni altra riproduzione o utilizzo in toto o in parte è vietata
salvo esplicita autorizzazione per scritto e a priori da parte della
Colin & Partners Srl.
Le informazioni contenute nel presente materiale sono da ritenersi
esatte esclusivamente alla data di svolgimento del corso / evento
e potranno essere soggette a variazioni, in base alle modifiche
legislative intervenute, in relazione alle quali la Colin & Partners Srl
non si assume l’onere di inviare l’aggiornamento, salvo
diversamente stabilito contrattualmente tra le parti.
Contatti
Sede legale e amministrativa:
Via Cividale, 51 – Montecatini Terme (PT) 51016
Tel. +39 0572 78166
Fax +39 0572 294540
Partita Iva e Codice Fiscale: 01651060475
Le nostre sedi: Montecatini Terme (PT), Roma, Milano
www.consulentelegaleinformatico.it
Per richieste progetti e preventivi:
info@consulentelegaleinformatico.it
Per organizzare eventi e corsi di formazione:
comunicazione@consulentelegaleinformatico.it
Seguici su:
Contratti Cloud: un ombrello per proteggersi dai rischi della “nuvola”