Contratti Cloud: un ombrello per proteggersi dai rischi della “Nuvola”

1. Contratti Cloud: un ombrello
per proteggersi dai rischi
della “Nuvola”
Relatore Dott. Marco Parretti
Of Counsel Studio Legale Frediani partner Colin & Partners
Padova,
1 Aprile 2015
SMAU

2. I temi di oggi
CLOUD
Rapporto tra
fornitore e
fruitore
Tutela del
patrimonio
aziendale
Tematiche che
incidono sulla
governance
aziendale del
fruitore

3. I soggetti giuridici tipici coinvolti
 Fornitore di servizi – Offre servizi (server virtuali,
storage, applicazioni complete) generalmente
secondo un modello "pay-per-use"
 Cliente amministratore – Sceglie e configura i
servizi offerti dal fornitore, generalmente offrendo
un valore aggiunto come ad esempio le
applicazioni software
 Cliente finale – Utilizza i servizi opportunamente
configurati dal cliente amministratore

4. La Governance aziendale tramite cloud
• L’esecuzione dei trattamenti su
commissione deve essere disciplinata
da un contratto o altro atto giuridico
che vincoli l’incaricato del trattamento
al responsabile del trattamento e che
preveda segnatamente tutti gli
obblighi elencati dall’art. 26.

5. Gli aspetti di rilevanza
 PROPRIETA’DEL DATO
 DATA PROTECTION E PRIVACY
 MIGRAZIONE DATI PER
CAMBIAMENTO DI FORNITORE
 SUBAPPALTO
 LEGGE APPLICABILE E FORO
COMPETENTE
 MIGRAZIONE DATI PER
CAMBIAMENTO DI FORNITORE

6. Il contratto di cloud computing
• PROPRIETA’
- Regolare proprietà dei beni utilizzati per erogazione servizio;
- Garantirsi restituzione dati a cessazione rapporto;
- Attenzione alla proprietà intellettuale (marchi, brevetti etc.) e alla
proprietà dei codici sorgenti dei programmi utilizzati;

7. Il contratto di cloud computing
• DATA PROTECTION E PRIVACY
- Proteggere dati riservati da conoscenza fornitore (es: know-how, liste
clienti) = accordi segretezza
- Nomina a responsabile privacy e rispetto misure sicurezza se si è
fornitori
- Attenzione al trasferimento di dati all’estero:
Alcuni servizi cloud permettono di
circoscrivere la circolazione dati entro
EU (cd. PLA Privacy Level Agreement.
“Livello adeguato” ( 13 paesi Svizzera,
Canada, Argentina ecc.)
Strumenti alternativi: consenso, model
clauses, contratti ad hoc, binding
corporate rules, Safe Harbor

8. Il contratto di cloud computing
• MIGRAZIONE DATI PER CAMBIAMENTO DI FORNITORE
- garantirsi forme di assistenza e portabilità del dato, dopo
cessazione contratto

9. Il contratto di cloud computing
• LEGGE APPLICABILE E FORO COMPETENTE
- definire foro (attenzione alla collocazione dei server – per esecuzione
provvedimenti giudice italiano)
- Altrimenti:
1) stabilimento del titolare [criterio
principale]
2) In caso di assenza di stabilimento in
territorio UE  luogo dove si trovano gli
strumenti utilizzati per il trattamento

10. Il contratto di cloud computing
• SUBAPPALTO
- Ove possibile prevedere un divieto di subappalto dell’attività;
- Nel caso in cui non sia possibile (per le caratteristiche del servizio o la
complessità dell’attività)?

11. Le indicazioni del Garante in caso di subappalto
Le figure coinvolte:
Titolare
Responsabile
ed Incaricati
Il problema del sub-appalto
e le catene di nomine a
responsabile
I sub-fornitori: un
Responsabile può nominare
un altro Responsabile? (Provv.
Garante Privacy 29 novembre 2012)
Art.29 Codice Privacy:“ Il Responsabile è designato
facoltativamente dal Titolare”
Che fare?
Cliente Titolare
Fornitore
Responsabile
Sub-Fornitore
Responsabile

12. Le indicazioni del Garante in caso di subappalto
il Fornitore deve informare
il proprio Cliente-Titolare
che intende avvalersi di
sub-fornitori
il Cliente-Titolare deve
acconsentire alla sub-
fornitura
il Responsabile deve
sottoscrivere con i sub-
fornitori degli accordi che
li vincoli a tutti gli obblighi
di sicurezza che ha
assunto con il Cliente-
Titolare
Cliente Titolare
Fornitore
Responsabile
Sub-Fornitore
Responsabile
tali accordi dovranno
essere inviati al Cliente-
Titolare, il quale dovrà
altresì essere tenuto
informato delle eventuali
modifiche, procedendo
nel caso ad ulteriori invii

13. Uno sguardo alla normativa europea
Impatti anche sul mondo cloud
- l'obbligo di "privacy impact
assessment" (valutazioni preventive di
impatto sulla tutela dei dati);
- la previsione delle figure dei “joint
controllers” (titolari congiunti), che
potranno suddividersi le responsabilità
privacy in un apposito contratto, di cui
si dovrà tenere conto in caso di
controlli o contenziosi;
- l’obbligo di attenersi, nell’ideazione di
nuovi prodotti o servizi, ai principi della
“data protection by design” e della
“data protection by default”.

14. Tematiche che incidono sulla governance aziendale del fruitore
PRIMA DI ADERIRE A SERVIZI
CLOUD...
1) Ponderare prioritariamente rischi
e benefici dei servizi offerti
2) Effettuare una verifica in ordine
all’affidabilità del fornitore
3) Privilegiare i servizi che
favoriscono la portabilità dei dati
4) Assicurarsi la disponibilità dei
dati in caso di necessità
5) Selezionare i dati da inserire
nella cloud

15. Tematiche che incidono sulla governance aziendale del fruitore
PRIMA DI ADERIRE A SERVIZI
CLOUD...
6) Non perdere di vista i dati
7) Informarsi su dove risiederanno
concretamente i dati
8) Verificare le politiche di
persistenza dei dati legate alla loro
conservazione
9) Esigere e adottare opportune
cautele per tutelare la
confidenzialità dei dati
10) Formare adeguatamente il
personale

16. Contratti Cloud: un ombrello per proteggersi dai rischi della “Nuvola”
Grazie!
Dott. Marco Parretti
mparretti@consulentelegaleinformatico.it
Il materiale didattico (ivi inclusi, ma non limitatamente, il
testo, immagini, fotografie, grafica) è di proprietà esclusiva
e riservata della società Colin & Partners Srl, e protetto dalle
leggi sul copyright ed in generale dalle vigenti norme
nazionali ed internazionali in materia. Il materiale fornito
potrà essere riprodotto solo a scopo didattico per il
presente corso ed ogni altra riproduzione o utilizzo in toto o
in parte è vietata salvo esplicita autorizzazione per scritto e
a priori da parte della Colin & Partners Srl.
Le informazioni contenute nel materiale didattico sono da
ritenersi esatte esclusivamente alla data di svolgimento del
corso e potranno essere soggette a variazioni, in base alle
modifiche legislative intervenute, in relazione alle quali la
Colin & Partners Srl non si assume l’onere di inviare
l’aggiornamento, salvo diversamente stabilito
contrattualmente tra le parti.
Copyright
Contatti
Sede legale e amministrativa:
Via Cividale, 51 – Montecatini Terme (PT) 51016
Tel. +39 0572 78166
Fax +39 0572 294540
Partita Iva e Codice Fiscale: 01651060475
Le nostre sedi: Montecatini Terme (PT), Roma, Milano, Lucca
www.consulentelegaleinformatico.it
Per richieste progetti e preventivi:
info@consulentelegaleinformatico.it
Per organizzare eventi e corsi di formazione:
comunicazione@consulentelegaleinformatico.it
Seguici su: