Smau Bologna 2011 Juri Monducci

  • Published on
    18-Nov-2014

  • View
    925

  • Download
    2

Embed Size (px)

DESCRIPTION

Cloud computing: opportunit di business e problematiche legali

Transcript

<ul><li> 1. CLOUD COMPUTING: OPPORTUNITA DI BUSINESS E PROBLEMATICHE LEGALI Avv. Juri Monducci </li> <li> 2. <ul><li>CHI SONO </li></ul><ul><li>CHI MPS </li></ul><ul><li>Socio fondatore dello studio legale Monducci Perri Spedicato &amp; Partners. </li></ul><ul><li>Dottore di ricerca in Informatica giuridica e diritto dellinformatica. </li></ul><ul><li>Ricercatore in Informatica giuridica presso lUniversit degli Studi di Milano. </li></ul><ul><li>Professore aggregato di Informatica giuridica avanzata presso lUniversit degli Studi di Milano. </li></ul><ul><li>Membro del comitato scientifico di AIPSI e IISFA. </li></ul><ul><li>Lo Studio legale associato Monducci Perri Spedicato &amp; Partners una law boutique specializzata in propriet intellettuale, diritto delle nuove tecnologie e diritto dellinnovazione. </li></ul><ul><li>Affianca chi fa dellinnovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nellattivit day by day e assistendolo nelle operazioni pi complesse. </li></ul></li> <li> 3. Perch diventare cloud ? <ul><li>Lato utente, non devono essere rispettati particolari requisiti per linstallazione di software; </li></ul><ul><li>Il cliente utilizza software del cloud provider su server del cloud provider; </li></ul><ul><li>Il cliente pu corrispondere importi correlati alleffettivo utilizzo; </li></ul><ul><li>Si scarica sul cloud provider la responsabilit di mantenere il software aggiornato per evitare malfunzionamenti; </li></ul><ul><li>Si scarica (parzialmente) sul cloud provider la responsabilit giuridica di tenere i dati in sicurezza; </li></ul><ul><li>Si scarica sul cloud provider la responsabilit di gestire lhardware e la business continuity; </li></ul><ul><li>Si incentiva il c.d. green computing. </li></ul></li> <li> 4. Ma soprattutto <ul><li>The Centre for Economics and Business Research predicts that Europe's five largest economies could save 177bn each year for the next five years if all their businesses were to switch over at the expected rate. </li></ul></li> <li> 5. Siamo gi tutti pi o meno cloud ? </li> <li> 6. E il diritto? </li> <li> 7. Le nuvole da un punto di vista giuridico <ul><li>Per il giurista, il cloud computing si traduce nella condivisione o conservazione, da parte degli utenti, di dati o applicazioni su server di propriet o gestiti da terzi, ai quali si accede tramite Internet. </li></ul><ul><li>Quello che noi vediamo con preoccupazione, quindi, al di l degli indubbi vantaggi in termini di costi, efficienza, outsourcing della gestione del patrimonio informativo, questo flusso di dati che viaggia verso nuvole. </li></ul><ul><li>Trattandosi di offerte rivolte tanto al privato quanto allazienda e alla PA, evidente che molta attenzione deve essere posta agli aspetti di riservatezza dei dati e sicurezza delle informazioni. </li></ul></li> <li> 8. I problemi WWW <ul><li>Chi pu accedere ai dati? (Who) </li></ul><ul><li>Cosa viene fatto con i miei dati (What) </li></ul><ul><li>Dove sono i miei dati? (Where) </li></ul></li> <li> 9. O meglio <ul><li>Quale legge applicabile al contratto? </li></ul><ul><li>Qual il foro competente? </li></ul><ul><li>Come garantire la titolarit dei dati? </li></ul><ul><li>Come garantire la salvaguardia dei segreti aziendali? </li></ul><ul><li>Come garantire la possibilit di acquisizione forense di prove digitali? </li></ul><ul><li>Come garantire la legal compliance in relazione al trattamento dei dati personali? </li></ul><ul><li>Come garantire la massima sicurezza nel trattamento dei dati? </li></ul><ul><li>Ecc </li></ul></li> <li> 10. I profili (al momento) pi rilevanti del cloud <ul><li>Profili contrattuali </li></ul><ul><li>Profili legati al trattamento dei dati personali </li></ul></li> <li> 11. Legge applicabile obscured by clouds ? <ul><li>In uno scenario tipico, potremmo trovare almeno quattro diversi ordinamenti giuridici da tenere in considerazione: </li></ul><ul><li>1) la legge del cliente/utente del servizio; </li></ul><ul><li>2) la legge del Paese del cloud provider; </li></ul><ul><li>3) la legge del Paese dove sono conservati i dati; </li></ul><ul><li>4) la legge del Paese del soggetto cui si riferiscono i dati. </li></ul></li> <li> 12. Lessons learned <ul><li>Yahoo! in Belgio </li></ul><ul><li><ul><li>Alcuni truffatori si scambiavano informazioni mediante Yahoo! Mail </li></ul></li></ul><ul><li><ul><li>La polizia chiede collaborazione a Yahoo! </li></ul></li></ul><ul><li><ul><li>Yahoo! rifiuta sostenendo che una compagnia statunitense e non soggetta alle leggi del Belgio, quindi li esorta a seguire la strada della rogatoria internazionale </li></ul></li></ul><ul><li><ul><li>Le autorit belghe argomentano che, offrendo Yahoo! i propri servizi in Belgio, deve intendersi soggetta alle leggi belghe, e multano Yahoo! </li></ul></li></ul><ul><li><ul><li>Yahoo! vince in appello </li></ul></li></ul></li> <li> 13. Lessons learned /2 <ul><li>Google Brazil </li></ul><ul><li><ul><li>Nellagosto del 2006, una Corte brasiliana ordina a Google di fornire immediatamente informazioni utili a identificare alcuni utenti su Orkut, comminando una sanzione di $23.000 per ogni giorno di ritardo; </li></ul></li></ul><ul><li><ul><li>Come nel caso di Yahoo!, Google argomenta che la strada da seguire quella delle rogatorie internazionali; </li></ul></li></ul><ul><li><ul><li>Nel luglio 2008 Google e le autorit brasiliane raggiungono un accordo volto alla apposizione di filtri per i contenuti e alla fornitura di informazioni senza necessit di attivare gli strumenti ordinari. </li></ul></li></ul></li> <li> 14. Contratti e legge applicabile <ul><li>In ambito europeo, potrebbero soccorrere allesigenza di individuare la legge applicabile due testi normativi </li></ul><ul><li><ul><li>Council Regulation (EC) No. 593/2008 of the European Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I), OJ 2008 No. L177/6, 04 July 2008. </li></ul></li></ul><ul><li><ul><li>Council Regulation (EC) No 864/2007 of the European Parliament and of the Council of 11 July 2007 on the law applicable to non-contractual obligations (Rome II), OJ 2007 No. L199/40, 31 July 2007. </li></ul></li></ul></li> <li> 15. La Country of origin rule <ul><li>Sempre in ambito europeo, la Direttiva c.d. e-commerce del 2000 stabilisce che il fornitore di un servizio della societ dellinformazione non deve preoccuparsi di essere a norma con la legge di tutti gli Stati membri, ma solo con quella del Paese dorigine; </li></ul><ul><li>Analogamente, la sede del cloud provider verr collocata dove viene esercitata lattivit economica, quindi dove ha sede il provider e non dove risiedono i dati. </li></ul></li> <li> 16. Riassumendo <ul><li>La transnazionalit dei servizi cloud pone molti problemi relativamente a quale legge regolamenta il servizio; </li></ul><ul><li>Il cloud provider e lutente hanno gli strumenti giuridici per definire contrattualmente il regime giuridico applicabile; </li></ul><ul><li>Vi sono, tuttavia, altri aspetti che non possono essere coperti dal diritto privato, quindi la scelta della sede, da parte del cloud provider, un fattore strategico sia per il provider sia per lutente; </li></ul><ul><li>A seconda dei dati che si vorranno collocare sulla nuvola, bisogner analizzare i poteri daccesso che la legge dello Stato ove ha sede il provider consente alle forze dellordine (ad es. Patriot Act per gli USA come nel casp PbD vs. SWIFT). </li></ul></li> <li> 17. I rischi da evitare <ul><li>Lock-in verso uno specifico fornitore; </li></ul><ul><li>Perdita del proprio patrimonio informativo a seguito di vicende societarie del provider; </li></ul><ul><li>Difficolt nel determinare il luogo dellobbligazione e la legge applicabile; </li></ul><ul><li>Difficolt nella costituzione di elementi di prova per far valere una propria pretesa in giudizio; </li></ul><ul><li>Tutto ci che riguarda la sicurezza dei dati; </li></ul><ul><li>Tutto ci che riguarda la business continuity. </li></ul></li> <li> 18. In una parola: clausole contrattuali <ul><li>Bisogna predisporre delle clausole contrattuali molto precise, concentrandosi sui seguenti punti (la lista integrabile dal pubblico presente): </li></ul><ul><li><ul><li>Legge applicabile e foro competente; </li></ul></li></ul><ul><li><ul><li>Service Level Agreement (ovvero garanzie e responsabilit); </li></ul></li></ul><ul><li><ul><li>Prezzo del servizio e scalabilit dello stesso; </li></ul></li></ul><ul><li><ul><li>Misure di sicurezza adottate (backup, disaster recovery, ecc.); </li></ul></li></ul><ul><li><ul><li>Supporto; </li></ul></li></ul><ul><li><ul><li>Formati di esportazione dei dati. </li></ul></li></ul></li> <li> 19. Cosa sta accadendo, in pratica? <ul><li>Diversi cloud provider stanno optando per la collocazione di una sede e di un datacenter allinterno dellUE; </li></ul><ul><li>Siamo in trepidante attesa delle modifiche alla Direttiva 95/46/EC; </li></ul><ul><li>E questo ci porta a parlare dei profili di privacy e di sicurezza :-) </li></ul></li> <li> 20. Some quotes <ul><li>The processing of sensitive data generally should not be allowed in cloud computing systems, or only if the relevant servers are located in the EU </li></ul><ul><li> (Mr. Axel Voss) </li></ul><ul><li>EU law should apply when EU data are processed anywhere in the world </li></ul><ul><li> (Mrs. Viviane Reding) </li></ul></li> <li> 21. Other quotes <ul><li>One reason you should not use web applications to do your computing is that you lose control. Its just as bad as using a proprietary program. Do your own computing on your own computer with your copy of a freedom-respecting program. If you use a proprietary program or somebody elses web server, youre defenseless. Youre putty in the hands of whoever developed that software </li></ul><ul><li>(Richard Stallman) </li></ul><ul><li>Occorre riflettere anche sui rischi che pone la nuova tecnologia del cloud computing , con la quale i dati verranno sempre pi sottratti alla disponibilit materiale di chi li produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta </li></ul><ul><li>(Francesco Pizzetti) </li></ul></li> <li> 22. In particolare in Italia <ul><li>Secondo il Garante italiano, la nuova tecnologia del cloud computing , con la quale i dati verranno sempre pi sottratti alla disponibilit materiale di chi li produce e usa e gestiti da enormi server collocati in ogni parte del pianeta costituir un fenomeno che moltiplicher i servizi di remote hard disk e render sempre pi ampio il ricorso all'outsourcing e all'hosting dei sistemi, moltiplicando i servizi forniti da terzi secondo modalit che favoriscono sempre di pi la delocalizzazione dei dati conservati. </li></ul><ul><li>Per questi motivi, invoca la creazione di un elenco esaustivo delle banche dati di interesse nazionale e della loro dislocazione, comprese quelle gestite da privati . </li></ul></li> <li> 23. Punti critici <ul><li>Applicabilit del d.lgs. 196/2003 al cloud provider </li></ul><ul><li>Ruolo del cloud provider nel trattamento dei dati </li></ul><ul><li>Trasferimento dei dati allestero </li></ul></li> <li> 24. Applicabilit <ul><li> possibile applicare il Codice al cloud provider quanto questultimo: </li></ul><ul><li><ul><li> stabilito in Italia (art. 5, co. 1); </li></ul></li></ul><ul><li><ul><li> stabilito nel territorio di un Paese non appartenente allUnione europea e impiega, per il trattamento, strumenti situati in Italia anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dellUnione europea (art. 5, co. 2). </li></ul></li></ul><ul><li>Se il cloud provider ha la propria sede e le proprie infrastrutture al di fuori del territorio dello Stato non potr essere assoggettato al Codice </li></ul></li> <li> 25. Contitolare o responsabile? <ul><li>Il TITOLARE del trattamento la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare , le decisioni in ordine alle finalit, alle modalit del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (art. 4, co. 1, lett. f). </li></ul><ul><li>Il RESPONSABILE del trattamento la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (art. 4, co. 1, lett. g). </li></ul></li> <li> 26. Problemi applicativi <ul><li>Lart. 29, d.lgs. 196/2003, pone qualche problema applicativo </li></ul><ul><li><ul><li>Il responsabile designato dal titolare facoltativamente. </li></ul></li></ul><ul><li><ul><li>Se designato, il responsabile individuato tra soggetti che per esperienza, capacit ed affidabilit forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. </li></ul></li></ul><ul><li><ul><li>Ove necessario per esigenze organizzative, possono essere designati responsabili pi soggetti, anche mediante suddivisione di compiti. </li></ul></li></ul><ul><li><ul><li>I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. </li></ul></li></ul><ul><li><ul><li>Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche , vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni. </li></ul></li></ul></li> <li> 27. Trasferimento dei dati allestero <ul><li>Art. 43, d.lgs. 196/2003 </li></ul><ul><li><ul><li>1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente allUnione europea consentito quando: </li></ul></li></ul><ul><li><ul><li><ul><li>a) linteressato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; </li></ul></li></ul></li></ul><ul><li><ul><li><ul><li>b) necessario per l'esecuzione di obblighi derivanti da un contratto del quale e' parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; </li></ul></li></ul></li></ul><ul><li><ul><li><ul><li>() </li></ul></li></ul></li></ul><ul><li><ul><li><ul><li>h) il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni. </li></ul></li></ul></li></ul></li> <li> 28. Trasferimento dei dati allestero /2 <ul><li>Art. 44, d.lgs. 196/2003 </li></ul><ul><li><ul><li>Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, altres consentito quando autorizzato dal Garante sulla base di adeguate garanzie per i diritti dellinteressato: </li></ul></li></ul><ul><li><ul><li><ul><li>a) individuate dal Garante anche in relazione a garanzie prestate con un contratto; </li></ul></li></ul></li></ul><ul><li><ul><li><ul><li>b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che </li></ul></li></ul></li></ul><ul><li><ul><li>un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o </li></ul></li></ul><ul><li><ul><li>che alcune clausole contrattuali offrono garanzie sufficienti. </li></ul></li></ul></li> <li> 29. Trasferimento di dati allestero /3 <ul><li>Art. 45, d.lgs. 196/2003 </li></ul><ul><li>Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente allUnione europea, vietato quando lordinamento del Paese...</li></ul></li></ul>