SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Â
Smau milano 2013 massimo farina
1. I contratti del
Cloud Computing
di Massimo Farina
http://www.massimofarina.it
http://www.diricto.it
massimo@massimofarina.it
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
2. INQUADRAMENTO DEL FENOMENO
alla base del cloud non câè nulla di completamente nuovo, in
quanto la sua logica è
la medesima dei servizi on-line,
tradizionalmente erogati ai consumatori finali (per es. tramite email e social networks) ma con la peculiaritĂ di rivolgersi al
mondo del business e della pubblica amministrazione attraverso la
virtualizzazione di hardware e software con collegamenti online verso centri (banche dati) remoti.
Il Cloud Computing è un
nuovo modo di
fornire risorse, non una nuova
tecnologia!
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
3. Le varie forme di
Cloud Comuting
Insieme di tecnologie e di modalitĂ di
fruizione di servizi informatici che
favoriscono lâutilizzo e lâerogazione di
software, la possibilitĂ di conservare e
di elaborare grandi quantitĂ di
informazioni via Internet
Il cloud consente di usufruire di
servizi complessi senza doversi
necessariamente dotare nĂŠ di
computer e altri hardware
avanzati, nĂŠ di personale in grado
di programmare o gestire il
sistema.
Tutto può essere demandato
allâesterno, in outsourcing, e a
un costo potenzialmente limitato,
in quanto le risorse informatiche
necessarie per i servizi richiesti
possono essere condivise con altri
soggetti che hanno le stesse
esigenze.
Il cloud offre, a seconda dei casi, il
trasferimento della conservazione
o dellâelaborazione dei dati dai
computer degli utenti ai sistemi del
fornitore.
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
4. Assenza di
Definizioni
codificate
INFRASTRUCTURE
AS A SERVICE
SOFTWARE AS A
SERVICE
Private cloud
In materia ci sono due
principali interventi del
Garante per la protezione
dei dati personali
Public cloud
Hybrid cloud
PLATFORM AS A
SERVICE
16 novembre 2011
24 maggio 2012
Cloud Computing:
INDICAZIONI PER LâUSO
CONSAPEVOLE DEI SERVIZI
Cloud Computing:
IL VADEMECUM DEL GARANTE
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
5. (o ânuvola privataâ) è una infrastruttura informatica (rete di computer collegati per
offrire servizi) per lo piĂš dedicata alle esigenze di una singola organizzazione,
ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale
forma dellâhosting dei server), nei confronti del quale il titolare dei dati può esercitare
un controllo puntuale.
Es. Le ânuvole privateâ possono essere paragonate ai
tradizionali âdata centerâ nei quali, però, sono usati
degli accorgimenti tecnologici che permettono di
ottimizzare lâutilizzo delle risorse disponibili e di
potenziarle agevolmente in caso di necessitĂ .
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
6. (o ânuvola pubblicaâ) è lâinfrastruttura di proprietĂ di un fornitore specializzato
nellâerogazione di servizi che mette a disposizione di utenti, aziende o Pubbliche
amministrazioni i propri sistemi attraverso la condivisione e lâerogazione via
Internet di applicazioni informatiche, di capacitĂ elaborativa e di âstoccaggioâ
dati.
La fruizione di tali servizi avviene tramite la rete Internet e implica il trasferimento
dei soli dati o anche dellâattivitĂ di elaborazione presso i sistemi del fornitore del
servizio, il quale assume un ruolo importante in ordine allâefficacia delle misure
adottate per garantire la protezione delle informazioni che gli sono state affidate.
Con la cessione dei dati si cede anche una
parte importante del controllo esercitabile su
di essi
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
7. (o âaltre nuvoleâ o ânuvole misteâ) si tratta di sistemi :
1) caratterizzati da soluzioni che prevedono lâutilizzo di servizi erogati da
infrastrutture private accanto a servizi acquisiti da cloud pubblici â
2) cloud di gruppo (community cloud), in cui lâinfrastruttura è condivisa da
diverse organizzazioni a beneficio di una specifica comunitĂ di utenti
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
8. infrastruttura cloud resa
disponibile come servizio
Caratteristiche
principali
- Il fornitore del servizio cloud offre,
secondo un modello âa consumoâ,
gli strumenti hardware e software di
base (spazi di memoria, sistemi
operativi,
programmi
di
virtualizzazioneâŚ)
- Tali fornitori sono in genere
operatori di mercato specializzati,
che
dispongono
di
unâinfrastruttura
tecnologica,
complessa e spesso distribuita in
aree geografiche diverse.
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
Es.
server
virtuali
remoti che lâutente
finale può utilizzare in
sostituzione
o
in
affiancamento
ai
sistemi giĂ presenti nei
locali dellâazienda o
dellâamministrazione
9. software erogato come
servizio del cloud
- Il fornitore eroga via Internet una
serie di servizi applicativi ponendoli
a disposizione degli utenti finali
Caratteristiche
principali
Es. applicazioni comunemente usate negli uffici erogate in
modalitĂ web quali lâelaborazione di fogli di calcolo o di testi, la
gestione del protocollo e delle regole per lâaccesso informatico ai
documenti, la rubrica dei contatti e i calendari condivisi, ma
anche ai piĂš avanzati
servizi di posta elettronica.
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
10. PAAS
piattaforme software fornite
via Internet come servizio
- Il fornitore offre soluzioni evolute
di sviluppo software che rispondono
alle specifiche esigenze del cliente.
Caratteristiche
principali
- In genere questo tipo di servizi è
rivolto a operatori di mercato che
li utilizzano per sviluppare e
ospitare
soluzioni
applicative
proprie, allo scopo di assolvere a
esigenze interne, oppure per
fornire a loro volta servizi a terzi.
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
Es. applicativi per la
gestione
finanziaria,
della contabilitĂ o della
logistica
11. Quale schema negoziale adottano le parti del cloud?
GLI SCHEMI NEGOZIALI PIĂ
RICORRENTI
⢠Contratto di licenza Software;
⢠Contratto di sviluppo Software;
⢠Contratto di assistenza e
manutenzione;
⢠Contratto di fornitura Hardware;
PRINCIPALI PROBELMATICHE
⢠Inquadramento delle singole
fattispecie al fine di identificare la
disciplina applicabile
⢠PiÚ discipline concorrenti (necessità di
coordinamento)
⢠Complessità soggettiva (piÚ soggetti
coinvolti su differenti contratti
collegati)
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
12. Un possibile modello
OUTSOURCING
Con il termine outsourcing si intende fare riferimento al c.d.
fenomeno della âesternalizzazioneâ ovvero a quel processo in virtĂš
del quale alcune attivitĂ produttive di una impresa vengano affidate
a terzi ed in tal modo portate al di fuori dellâazienda stessa.
NOTA: lâoutsourcing, tuttavia, non costituisce una tipologia contrattuale tipica. Esso,
piuttosto, prende vita attraverso lâutilizzo di una pluralitĂ di fattispecie eterogenee, trale
quali lâappalto di servizi
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
13. Cloud Computing vs Outsourcing = aspetti comuni
Uno dei punti comuni ai due modelli è la centralità del
servizio e della qualitĂ dello stesso
da qui lâattenzione, presente in entrambe le fattispecie, per la definizione nel testo del
contratto di specifici standard inerenti le prestazioni, per la predisposizione di indici e
parametri atti a misurare lâefficienza del servizio, nonchĂŠ per la definizione delle
metriche di costo, anche in ragione di tali indicatori.
NOTA: il contratto va completato con tutta una serie di allegati tecnici, che definiscono
nel dettaglio i vari parametri del servizio, assicurando, in tal modo, lâimpegno della parte
fornitrice circa la qualitĂ della prestazione
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
14. Cloud Computing vs Outsourcing = differenze
Il contratto di outsourcing realizza non solamente unâesternalizzazione
delle risorse strutturali ma anche delle c.d. risorse umane; non è cosÏ per i
contratti di cloud computing
Il contratto di Pubblic cloud computing è connotato da uno schema di erogazione âuno a
moltiâ , dove i contratti sono per lo piĂš standardizzati e destinate ad unâampia platea di
soggetti; non è cosĂŹ per i contratti di outsourcing nei quali il rapporto è fiduciario e âuno a
unoâ.
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
15. Struttura del contratto di cloud
Composto generalmente da tre documenti:
⢠condizioni generali del servizio
⢠polices relative al comportamento delle parti
⢠modalità del trattamento dei dati
Quanto ai contenuti, va rilevato come essi vengano a concentrarsi attorno a due poli,
uno concernente i profili generali del contratto (durata, lingua, corrispettivo, legge
applicabile, giurisdizione applicabile, ecc.) ed uno riguardante i profili informativi,
ovvero la gestione delle informazioni immesse nellâambiente cloud (gestione dei dati,
flussi transfrontalieri, sicurezza, ipotesi di disclosure, ecc.).
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
16. Sistematizzazione delle infrastrutture
Riorganizzazione dei flussi informativi e migliore
fruibilitĂ dei dati
Razionalizzazione dei costi (servizi piĂš moderni, piĂš
efficienti e piĂš funzionali)
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
17. Circolazione dei dati personali
Esternalizzazione e Delocalizzazione dei sistemi e dei
servizi: perdita del controllo diretto ed esclusivo dei dati
Conservazione dei dati in luoghi geografici differenti
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
18. ResponsabilitĂ per i danni causati dai guasti subiti dal service/
platform/infrastructure
provider
che
possono
causare
l'inaccessibilitĂ o la perdita dei dati
Guasti alla rete che possono determinare l'indisponibilitĂ dei
dati
contromisure
- Specificare nel contratto i PLA (Privacy Level Agreement), che sono dei SLA (Service Level Agreement) che
descrivono specificamente l'erogazione di servizi relativi ai dati personali. I PLA indicano i livelli di erogazione del
servizio che il fornitore cloud si impegna ad assicurare, compresa la ContinuitĂ Operativa e il Disaster Recovery
(art. 68, co. 1-bis, lett. C, CAD).
-Formalizzazione nel contratto della responsabilitĂ del cloud provider per il caso di inadempimento rispetto agli
obblighi contrattuali affidabilitĂ del fornitore .
OpportunitĂ di estendere lâobbligo di notificazione delle violazioni di sicurezza relative ai dati personali anche ai cloud
providers? (oggi giĂ prevista per le societĂ telefoniche e gli internet providers - d.lgs. 69 e 70 / 2012)
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
19. Lâutilizzo di tecnologie proprietarie da parte del fornitore di servizi
potrebbe determinare problemi nel cambiare il fornitore stesso
contromisure
- Impegno contrattuale del fornitore di cloud di garantire la portabilitĂ di tutti i dati conferiti
mediante adozione di standard internazionali (es. HL7, openEHR, EN 13606 ecc) per la
codifica dei dati sanitari
-Inserimento delle cosiddette clausole di way-out, che consentono il libero cambio del
fornitore del servizio cloud
-UtilitĂ del di operare a livello di progettazione (privacy by design) con riferimento ai
fornitori e non agli utenti
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
20. ASPETTI SOGGETTIVI SUL
TRATTAMENTO DEI DATI
PERSONALI
TITOLARE
(del trattamento)
TRASFERIMENTO DI DATI
ALLâESTERO
(artt. 42-45 d.lgs. 196/03)
Corretto inquadramento del
titolare e del rapporto con i
responsabili e gli incaricati
DIVIETO GENERALE: consentito solo
verso paesi che garantiscono âun adeguato
livello di tutelaâ (di Svizzera, Canada,
Argentina, Isola di Guernsey, Isola di Man,
Isola di Jersey, Isole Far Oer, Andorra
Israele, USA (safe harbor)
Safe Harbor (accordo bilaterale Ue-Usa che
definisce regole sicure e condivise per il
trasferimento dei dati personali effettuato verso
aziende presenti sul territorio americano.
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
21. DifficoltĂ di seguire il modello titolare/responsabile in quanto risulta,
di fatto, assai complicato (praticamente impossibile) nominare i cloud
providers (o i sub-providers), quali responsabili esterni del
trattamento
SOLUZIONE
Adozione, come giĂ prevista per i fornitori di telecomunicazioni,
del modello âtitolari supplementariâ per la fornitura del servizio
(considerando 47 della Direttiva 95/46/EC)
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
22. ASPETTI OGGETTIVI SUL
TRATTAMENTO DEI DATI
PERSONALI
MISURE
MINIME DI
SICUREZZA
MISURE
IDONEE DI
SICUREZZA
Il titolare dei dati deve assicurarsi che:
siano adottate misure tecniche e organizzative volte a ridurre
al minimo i rischi di distruzione o perdita anche accidentale
dei dati, di accesso non autorizzato, di trattamento non
consentito o non conforme alle finalitĂ della raccolta, di
modifica dei dati in conseguenza di interventi non autorizzati
o non conformi alle regole.
â˘Il cliente (cd. interessato) dovrebbe,
ad esempio, accertarsi che i dati siano sempre âdisponibiliâ
(che si possa cioè sempre accedere ai dati) e âriservatiâ (che
lâaccesso cioè sia consentito solo a chi ne ha diritto).
Nota: Per garantire che i dati siano al sicuro, non sono
importanti solo le modalitĂ con cui sono conservati, ma anche
quelle con cui sono trasmessi (ad esempio utilizzando
tecniche di cifratura).
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
23. INFORMATIVA
Art. 13 L'interessato o la persona presso la quale sono raccolti
i dati personali sono previamente informati oralmente o per
iscritto circa:
a) le finalitĂ e le modalitĂ del trattamento cui sono destinati i
dati;
b) la natura obbligatoria o facoltativa del conferimento dei
dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali
possono essere comunicati o che possono venirne a
conoscenza in qualitĂ di responsabili o incaricati, e l'ambito
di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
Art. 161: La violazione delle disposizioni di cui all'articolo 13 è
punita con la sanzione amministrativa del pagamento di una
somma da seimila euro a trentaseimila euro.
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it
25. LICENZA
Attribuzione - Non Commerciale - Condividi allo stesso modo 2.5
Tu sei libero:
di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire o
recitare l'opera
di creare opere derivate
Alle seguenti condizioni:
Attribuzione. Devi riconoscere il contributo dell'autore originario.
Non commerciale. Non puoi usare questâopera per scopi commerciali.
Condividi allo stesso modo. Se alteri, trasformi o sviluppi questâopera, puoi
distribuire lâopera risultante solo per mezzo di una licenza identica a questa.
In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i termini della licenza
di questâopera.
Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di queste
condizioni.
Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto sopra
Massimo Farina - massimo@massimofarina.it
http://www.massimofarina.it - http://www.diricto.it