Smau Bologna 2011 Juri Monducci

Embed Size (px)

DESCRIPTION

Cloud computing: opportunità di business e problematiche legali

Text of Smau Bologna 2011 Juri Monducci

  • 1. CLOUD COMPUTING: OPPORTUNITA DI BUSINESS E PROBLEMATICHE LEGALI Avv. Juri Monducci
  • 2.
    • CHI SONO
    • CHI MPS
    • Socio fondatore dello studio legale Monducci Perri Spedicato & Partners.
    • Dottore di ricerca in Informatica giuridica e diritto dellinformatica.
    • Ricercatore in Informatica giuridica presso lUniversit degli Studi di Milano.
    • Professore aggregato di Informatica giuridica avanzata presso lUniversit degli Studi di Milano.
    • Membro del comitato scientifico di AIPSI e IISFA.
    • Lo Studio legale associato Monducci Perri Spedicato & Partners una law boutique specializzata in propriet intellettuale, diritto delle nuove tecnologie e diritto dellinnovazione.
    • Affianca chi fa dellinnovazione il proprio lavoro e il proprio impegno quotidiani, supportandolo nellattivit day by day e assistendolo nelle operazioni pi complesse.
  • 3. Perch diventare cloud ?
    • Lato utente, non devono essere rispettati particolari requisiti per linstallazione di software;
    • Il cliente utilizza software del cloud provider su server del cloud provider;
    • Il cliente pu corrispondere importi correlati alleffettivo utilizzo;
    • Si scarica sul cloud provider la responsabilit di mantenere il software aggiornato per evitare malfunzionamenti;
    • Si scarica (parzialmente) sul cloud provider la responsabilit giuridica di tenere i dati in sicurezza;
    • Si scarica sul cloud provider la responsabilit di gestire lhardware e la business continuity;
    • Si incentiva il c.d. green computing.
  • 4. Ma soprattutto
    • The Centre for Economics and Business Research predicts that Europe's five largest economies could save 177bn each year for the next five years if all their businesses were to switch over at the expected rate.
  • 5. Siamo gi tutti pi o meno cloud ?
  • 6. E il diritto?
  • 7. Le nuvole da un punto di vista giuridico
    • Per il giurista, il cloud computing si traduce nella condivisione o conservazione, da parte degli utenti, di dati o applicazioni su server di propriet o gestiti da terzi, ai quali si accede tramite Internet.
    • Quello che noi vediamo con preoccupazione, quindi, al di l degli indubbi vantaggi in termini di costi, efficienza, outsourcing della gestione del patrimonio informativo, questo flusso di dati che viaggia verso nuvole.
    • Trattandosi di offerte rivolte tanto al privato quanto allazienda e alla PA, evidente che molta attenzione deve essere posta agli aspetti di riservatezza dei dati e sicurezza delle informazioni.
  • 8. I problemi WWW
    • Chi pu accedere ai dati? (Who)
    • Cosa viene fatto con i miei dati (What)
    • Dove sono i miei dati? (Where)
  • 9. O meglio
    • Quale legge applicabile al contratto?
    • Qual il foro competente?
    • Come garantire la titolarit dei dati?
    • Come garantire la salvaguardia dei segreti aziendali?
    • Come garantire la possibilit di acquisizione forense di prove digitali?
    • Come garantire la legal compliance in relazione al trattamento dei dati personali?
    • Come garantire la massima sicurezza nel trattamento dei dati?
    • Ecc
  • 10. I profili (al momento) pi rilevanti del cloud
    • Profili contrattuali
    • Profili legati al trattamento dei dati personali
  • 11. Legge applicabile obscured by clouds ?
    • In uno scenario tipico, potremmo trovare almeno quattro diversi ordinamenti giuridici da tenere in considerazione:
    • 1) la legge del cliente/utente del servizio;
    • 2) la legge del Paese del cloud provider;
    • 3) la legge del Paese dove sono conservati i dati;
    • 4) la legge del Paese del soggetto cui si riferiscono i dati.
  • 12. Lessons learned
    • Yahoo! in Belgio
      • Alcuni truffatori si scambiavano informazioni mediante Yahoo! Mail
      • La polizia chiede collaborazione a Yahoo!
      • Yahoo! rifiuta sostenendo che una compagnia statunitense e non soggetta alle leggi del Belgio, quindi li esorta a seguire la strada della rogatoria internazionale
      • Le autorit belghe argomentano che, offrendo Yahoo! i propri servizi in Belgio, deve intendersi soggetta alle leggi belghe, e multano Yahoo!
      • Yahoo! vince in appello
  • 13. Lessons learned /2
    • Google Brazil
      • Nellagosto del 2006, una Corte brasiliana ordina a Google di fornire immediatamente informazioni utili a identificare alcuni utenti su Orkut, comminando una sanzione di $23.000 per ogni giorno di ritardo;
      • Come nel caso di Yahoo!, Google argomenta che la strada da seguire quella delle rogatorie internazionali;
      • Nel luglio 2008 Google e le autorit brasiliane raggiungono un accordo volto alla apposizione di filtri per i contenuti e alla fornitura di informazioni senza necessit di attivare gli strumenti ordinari.
  • 14. Contratti e legge applicabile
    • In ambito europeo, potrebbero soccorrere allesigenza di individuare la legge applicabile due testi normativi
      • Council Regulation (EC) No. 593/2008 of the European Parliament and of the Council of 17 June 2008 on the law applicable to contractual obligations (Rome I), OJ 2008 No. L177/6, 04 July 2008.
      • Council Regulation (EC) No 864/2007 of the European Parliament and of the Council of 11 July 2007 on the law applicable to non-contractual obligations (Rome II), OJ 2007 No. L199/40, 31 July 2007.
  • 15. La Country of origin rule
    • Sempre in ambito europeo, la Direttiva c.d. e-commerce del 2000 stabilisce che il fornitore di un servizio della societ dellinformazione non deve preoccuparsi di essere a norma con la legge di tutti gli Stati membri, ma solo con quella del Paese dorigine;
    • Analogamente, la sede del cloud provider verr collocata dove viene esercitata lattivit economica, quindi dove ha sede il provider e non dove risiedono i dati.
  • 16. Riassumendo
    • La transnazionalit dei servizi cloud pone molti problemi relativamente a quale legge regolamenta il servizio;
    • Il cloud provider e lutente hanno gli strumenti giuridici per definire contrattualmente il regime giuridico applicabile;
    • Vi sono, tuttavia, altri aspetti che non possono essere coperti dal diritto privato, quindi la scelta della sede, da parte del cloud provider, un fattore strategico sia per il provider sia per lutente;
    • A seconda dei dati che si vorranno collocare sulla nuvola, bisogner analizzare i poteri daccesso che la legge dello Stato ove ha sede il provider consente alle forze dellordine (ad es. Patriot Act per gli USA come nel casp PbD vs. SWIFT).
  • 17. I rischi da evitare
    • Lock-in verso uno specifico fornitore;
    • Perdita del proprio patrimonio informativo a seguito di vicende societarie del provider;
    • Difficolt nel determinare il luogo dellobbligazione e la legge applicabile;
    • Difficolt nella costituzione di elementi di prova per far valere una propria pretesa in giudizio;
    • Tutto ci che riguarda la sicurezza dei dati;
    • Tutto ci che riguarda la business continuity.
  • 18. In una parola: clausole contrattuali
    • Bisogna predisporre delle clausole contrattuali molto precise, concentrandosi sui seguenti punti (la lista integrabile dal pubblico presente):
      • Legge applicabile e foro competente;
      • Service Level Agreement (ovvero garanzie e responsabilit);
      • Prezzo del servizio e scalabilit dello stesso;
      • Misure di sicurezza adottate (backup, disaster recovery, ecc.);
      • Supporto;
      • Formati di esportazione dei dati.
  • 19. Cosa sta accadendo, in pratica?
    • Diversi cloud provider stanno optando per la collocazione di una sede e di un d