Smau milano 2013 massimo farina

I contratti del
Cloud Computing
di Massimo Farina
http://www.massimofarina.it
http://www.diricto.it
massimo@massimofarina.it

Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it

INQUADRAMENTO DEL FENOMENO
alla base del cloud non c’è nulla di completamente nuovo, in
quanto la sua logica è
la medesima dei servizi on-line,
tradizionalmente erogati ai consumatori finali (per es. tramite email e social networks) ma con la peculiarità di rivolgersi al
mondo del business e della pubblica amministrazione attraverso la
virtualizzazione di hardware e software con collegamenti online verso centri (banche dati) remoti.

Il Cloud Computing è un
nuovo modo di
fornire risorse, non una nuova
tecnologia!


Le varie forme di
Cloud Comuting

Insieme di tecnologie e di modalità di
fruizione di servizi informatici che
favoriscono l’utilizzo e l’erogazione di
software, la possibilità di conservare e
di elaborare grandi quantità di
informazioni via Internet

Il cloud consente di usufruire di
servizi complessi senza doversi
necessariamente dotare né di
computer e altri hardware
avanzati, né di personale in grado
di programmare o gestire il
sistema.

Tutto può essere demandato
all’esterno, in outsourcing, e a
un costo potenzialmente limitato,
in quanto le risorse informatiche
necessarie per i servizi richiesti
possono essere condivise con altri
soggetti che hanno le stesse
esigenze.

Il cloud offre, a seconda dei casi, il
trasferimento della conservazione
o dell’elaborazione dei dati dai
computer degli utenti ai sistemi del
fornitore.


Assenza di
Definizioni
codificate
INFRASTRUCTURE
AS A SERVICE
SOFTWARE AS A
SERVICE

Private cloud

In materia ci sono due
principali interventi del
Garante per la protezione
dei dati personali

Public cloud

Hybrid cloud

PLATFORM AS A
SERVICE

16 novembre 2011
24 maggio 2012

Cloud Computing:
INDICAZIONI PER L’USO
CONSAPEVOLE DEI SERVIZI

Cloud Computing:
IL VADEMECUM DEL GARANTE


(o “nuvola privata”) è una infrastruttura informatica (rete di computer collegati per
offrire servizi) per lo più dedicata alle esigenze di una singola organizzazione,
ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale
forma dell’hosting dei server), nei confronti del quale il titolare dei dati può esercitare
un controllo puntuale.

Es. Le “nuvole private” possono essere paragonate ai
tradizionali “data center” nei quali, però, sono usati
degli accorgimenti tecnologici che permettono di
ottimizzare l’utilizzo delle risorse disponibili e di
potenziarle agevolmente in caso di necessità.


(o “nuvola pubblica”) è l’infrastruttura di proprietà di un fornitore specializzato
nell’erogazione di servizi che mette a disposizione di utenti, aziende o Pubbliche
amministrazioni i propri sistemi attraverso la condivisione e l’erogazione via
Internet di applicazioni informatiche, di capacità elaborativa e di “stoccaggio”
dati.
La fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento
dei soli dati o anche dell’attività di elaborazione presso i sistemi del fornitore del
servizio, il quale assume un ruolo importante in ordine all’efficacia delle misure
adottate per garantire la protezione delle informazioni che gli sono state affidate.

Con la cessione dei dati si cede anche una
parte importante del controllo esercitabile su
di essi

(o “altre nuvole” o “nuvole miste”) si tratta di sistemi :
1) caratterizzati da soluzioni che prevedono l’utilizzo di servizi erogati da
infrastrutture private accanto a servizi acquisiti da cloud pubblici –
2) cloud di gruppo (community cloud), in cui l’infrastruttura è condivisa da
diverse organizzazioni a beneficio di una specifica comunità di utenti


infrastruttura cloud resa
disponibile come servizio

Caratteristiche
principali

- Il fornitore del servizio cloud offre,
secondo un modello “a consumo”,
gli strumenti hardware e software di
base (spazi di memoria, sistemi
operativi,
programmi
di
virtualizzazione…)
- Tali fornitori sono in genere
operatori di mercato specializzati,
che
dispongono
di
un’infrastruttura
tecnologica,
complessa e spesso distribuita in
aree geografiche diverse.

Es.
server
virtuali
remoti che l’utente
finale può utilizzare in
sostituzione
o
in
affiancamento
ai
sistemi già presenti nei
locali dell’azienda o
dell’amministrazione

software erogato come
servizio del cloud

- Il fornitore eroga via Internet una
serie di servizi applicativi ponendoli
a disposizione degli utenti finali

Caratteristiche
principali
Es. applicazioni comunemente usate negli uffici erogate in
modalità web quali l’elaborazione di fogli di calcolo o di testi, la
gestione del protocollo e delle regole per l’accesso informatico ai
documenti, la rubrica dei contatti e i calendari condivisi, ma
anche ai più avanzati
servizi di posta elettronica.


PAAS

piattaforme software fornite
via Internet come servizio

- Il fornitore offre soluzioni evolute
di sviluppo software che rispondono
alle specifiche esigenze del cliente.

Caratteristiche
principali
- In genere questo tipo di servizi è
rivolto a operatori di mercato che
li utilizzano per sviluppare e
ospitare
soluzioni
applicative
proprie, allo scopo di assolvere a
esigenze interne, oppure per
fornire a loro volta servizi a terzi.

Es. applicativi per la
gestione
finanziaria,
della contabilità o della
logistica

Quale schema negoziale adottano le parti del cloud?
GLI SCHEMI NEGOZIALI PIÙ
RICORRENTI

• Contratto di licenza Software;
• Contratto di sviluppo Software;
• Contratto di assistenza e
manutenzione;
• Contratto di fornitura Hardware;

PRINCIPALI PROBELMATICHE

• Inquadramento delle singole
fattispecie al fine di identificare la
disciplina applicabile
• Più discipline concorrenti (necessità di
coordinamento)
• Complessità soggettiva (più soggetti
coinvolti su differenti contratti
collegati)


Un possibile modello

OUTSOURCING

Con il termine outsourcing si intende fare riferimento al c.d.
fenomeno della “esternalizzazione” ovvero a quel processo in virtù
del quale alcune attività produttive di una impresa vengano affidate
a terzi ed in tal modo portate al di fuori dell’azienda stessa.

NOTA: l’outsourcing, tuttavia, non costituisce una tipologia contrattuale tipica. Esso,
piuttosto, prende vita attraverso l’utilizzo di una pluralità di fattispecie eterogenee, trale
quali l’appalto di servizi


Cloud Computing vs Outsourcing = aspetti comuni
Uno dei punti comuni ai due modelli è la centralità del
servizio e della qualità dello stesso

da qui l’attenzione, presente in entrambe le fattispecie, per la definizione nel testo del
contratto di specifici standard inerenti le prestazioni, per la predisposizione di indici e
parametri atti a misurare l’efficienza del servizio, nonché per la definizione delle
metriche di costo, anche in ragione di tali indicatori.
NOTA: il contratto va completato con tutta una serie di allegati tecnici, che definiscono
nel dettaglio i vari parametri del servizio, assicurando, in tal modo, l’impegno della parte
fornitrice circa la qualità della prestazione


Cloud Computing vs Outsourcing = differenze
Il contratto di outsourcing realizza non solamente un’esternalizzazione
delle risorse strutturali ma anche delle c.d. risorse umane; non è così per i
contratti di cloud computing

Il contratto di Pubblic cloud computing è connotato da uno schema di erogazione “uno a
molti” , dove i contratti sono per lo più standardizzati e destinate ad un’ampia platea di
soggetti; non è così per i contratti di outsourcing nei quali il rapporto è fiduciario e “uno a
uno”.


Struttura del contratto di cloud
Composto generalmente da tre documenti:
• condizioni generali del servizio
• polices relative al comportamento delle parti
• modalità del trattamento dei dati

Quanto ai contenuti, va rilevato come essi vengano a concentrarsi attorno a due poli,
uno concernente i profili generali del contratto (durata, lingua, corrispettivo, legge
applicabile, giurisdizione applicabile, ecc.) ed uno riguardante i profili informativi,
ovvero la gestione delle informazioni immesse nell’ambiente cloud (gestione dei dati,
flussi transfrontalieri, sicurezza, ipotesi di disclosure, ecc.).


Sistematizzazione delle infrastrutture
Riorganizzazione dei flussi informativi e migliore
fruibilità dei dati
Razionalizzazione dei costi (servizi più moderni, più
efficienti e più funzionali)


Circolazione dei dati personali
Esternalizzazione e Delocalizzazione dei sistemi e dei
servizi: perdita del controllo diretto ed esclusivo dei dati
Conservazione dei dati in luoghi geografici differenti


Responsabilità per i danni causati dai guasti subiti dal service/
platform/infrastructure
provider
che
possono
causare
l'inaccessibilità o la perdita dei dati
Guasti alla rete che possono determinare l'indisponibilità dei
dati

contromisure
- Specificare nel contratto i PLA (Privacy Level Agreement), che sono dei SLA (Service Level Agreement) che
descrivono specificamente l'erogazione di servizi relativi ai dati personali. I PLA indicano i livelli di erogazione del
servizio che il fornitore cloud si impegna ad assicurare, compresa la Continuità Operativa e il Disaster Recovery
(art. 68, co. 1-bis, lett. C, CAD).
-Formalizzazione nel contratto della responsabilità del cloud provider per il caso di inadempimento rispetto agli
obblighi contrattuali affidabilità del fornitore .
Opportunità di estendere l’obbligo di notificazione delle violazioni di sicurezza relative ai dati personali anche ai cloud
providers? (oggi già prevista per le società telefoniche e gli internet providers - d.lgs. 69 e 70 / 2012)


L’utilizzo di tecnologie proprietarie da parte del fornitore di servizi
potrebbe determinare problemi nel cambiare il fornitore stesso

contromisure
- Impegno contrattuale del fornitore di cloud di garantire la portabilità di tutti i dati conferiti

mediante adozione di standard internazionali (es. HL7, openEHR, EN 13606 ecc) per la
codifica dei dati sanitari
-Inserimento delle cosiddette clausole di way-out, che consentono il libero cambio del
fornitore del servizio cloud
-Utilità del di operare a livello di progettazione (privacy by design) con riferimento ai
fornitori e non agli utenti


ASPETTI SOGGETTIVI SUL
TRATTAMENTO DEI DATI
PERSONALI

TITOLARE
(del trattamento)

TRASFERIMENTO DI DATI
ALL’ESTERO
(artt. 42-45 d.lgs. 196/03)

Corretto inquadramento del
titolare e del rapporto con i
responsabili e gli incaricati

DIVIETO GENERALE: consentito solo
verso paesi che garantiscono “un adeguato
livello di tutela” (di Svizzera, Canada,
Argentina, Isola di Guernsey, Isola di Man,
Isola di Jersey, Isole Far Oer, Andorra
Israele, USA (safe harbor)
Safe Harbor (accordo bilaterale Ue-Usa che
definisce regole sicure e condivise per il
trasferimento dei dati personali effettuato verso
aziende presenti sul territorio americano.


Difficoltà di seguire il modello titolare/responsabile in quanto risulta,
di fatto, assai complicato (praticamente impossibile) nominare i cloud
providers (o i sub-providers), quali responsabili esterni del
trattamento

SOLUZIONE
Adozione, come già prevista per i fornitori di telecomunicazioni,
del modello “titolari supplementari” per la fornitura del servizio
(considerando 47 della Direttiva 95/46/EC)


ASPETTI OGGETTIVI SUL
TRATTAMENTO DEI DATI
PERSONALI

MISURE
MINIME DI
SICUREZZA

MISURE
IDONEE DI
SICUREZZA

Il titolare dei dati deve assicurarsi che:
siano adottate misure tecniche e organizzative volte a ridurre
al minimo i rischi di distruzione o perdita anche accidentale
dei dati, di accesso non autorizzato, di trattamento non
consentito o non conforme alle finalità della raccolta, di
modifica dei dati in conseguenza di interventi non autorizzati
o non conformi alle regole.

•Il cliente (cd. interessato) dovrebbe,
ad esempio, accertarsi che i dati siano sempre “disponibili”
(che si possa cioè sempre accedere ai dati) e “riservati” (che
l’accesso cioè sia consentito solo a chi ne ha diritto).
Nota: Per garantire che i dati siano al sicuro, non sono
importanti solo le modalità con cui sono conservati, ma anche
quelle con cui sono trasmessi (ad esempio utilizzando
tecniche di cifratura).


INFORMATIVA

Art. 13 L'interessato o la persona presso la quale sono raccolti
i dati personali sono previamente informati oralmente o per
iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i
dati;
b) la natura obbligatoria o facoltativa del conferimento dei
dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a
conoscenza in qualità di responsabili o incaricati, e l'ambito
di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;

Art. 161: La violazione delle disposizioni di cui all'articolo 13 è
punita con la sanzione amministrativa del pagamento di una
somma da seimila euro a trentaseimila euro.

Grazie per l’attenzione
http://www.massimofarina.it
http://www.diricto.it
massimo@massimofarina.it


LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero:
di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera
di creare opere derivate
Alle seguenti condizioni:

Attribuzione. Devi riconoscere il contributo dell'autore originario.
Non commerciale. Non puoi usare quest’opera per scopi commerciali.
Condividi allo stesso modo. Se alteri, trasformi o sviluppi quest’opera, puoi
distribuire l’opera risultante solo per mezzo di una licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di quest’opera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra


Smau milano 2013 massimo farina

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (13)

Ähnlich wie Smau milano 2013 massimo farina

Ähnlich wie Smau milano 2013 massimo farina (20)

Mehr von SMAU

Mehr von SMAU (20)

Smau milano 2013 massimo farina