Relazione presentata al convegno AMADIR a Roma il 18 marzo 2011.

1. Profili
contra,ualis/ci,
di
privacy
e
di
sicurezza
dei
da/
connessi
all’u/lizzo
di
servizi
di
cloud
compu)ng:
quale
bilanciamento
tra
diri<
degli
uten/
e
doveri
dei
fornitori
Avv.
Pierluigi
Perri

2. Chi
parla?
• Name
partner
dello
studio
•
Professore
Aggregato
di
Informa/ca
Giuridica
Avanzata
• Ricercatore
presso
la
Facoltà
di
Giurisprudenza
dell’Università
degli
Studi
di
Milano
• Do,ore
di
ricerca
in
Informa/ca
giuridica
e
Diri,o
dell’informa/ca
presso
l’Università
di
Bologna
• ...più
una
serie
di
altre
cose
che
leggerete
se
vorrete
cercarmi
(ed
aggiungermi)
su
LinkedIn

3. Perché
il
cloud?
• Lato
utente,
non
devono
essere
rispe,a/
par/colari
requisi/
per
l’installazione
di
soUware;
• Il
cliente
u/lizza
soUware
del
cloud
provider
su
server
del
cloud
provider;
• Il
cliente
può
corrispondere
impor/
correla/
all’effe<vo
u/lizzo;
• Si
scarica
sul
cloud
provider
la
responsabilità
di
mantenere
il
soUware
aggiornato
per
evitare
malfunzionamen/;
• Si
scarica
(parzialmente)
sul
cloud
provider
la
responsabilità
di
tenere
i
da/
sicuri;
• Si
scarica
sul
cloud
provider
la
responsabilità
di
ges/re
l’hardware
e
la
business
con/nuity;
• Si
incen/va
il
c.d.
green
compu/ng.

4. Siamo
già
tu<
cloud?

5. Quid
iuris?

6. Il
cloud
per
il
giurista
• Per
il
giurista,
il
cloud
compu/ng
si
traduce
nella
condivisione
o
conservazione,
da
parte
degli
uten/,
di
da/
o
applicazioni
su
server
di
proprietà
o
ges//
da
terzi,
ai
quali
si
accede
tramite
Internet.
• Quello
che
noi
vediamo
con
preoccupazione,
quindi,
al
di
là
degli
indubbi
vantaggi
in
termini
di
cos/,
efficienza,
outsourcing
della
ges/one
del
patrimonio
informa/vo,
è
questo
flusso
di
da/
che
viaggia
verso
“nuvole”.
• Tra,andosi
di
offerte
rivolte
tanto
al
privato
quanto
all’azienda
e
alla
PA,
è
evidente
che
molta
a,enzione
deve
essere
posta
agli
aspe<
di
riservatezza
dei
da/
e
sicurezza
delle
informazioni.

7. I
problemi
“WWW”
• Chi
può
accedere
ai
da/?
(Who)
• Cosa
viene
fa,o
con
i
miei
da/
(What)
• Dove
sono
i
miei
da/?
(Where)

8. Rec/us…
• Quale
legge
è
applicabile
al
contra,o?
• Qual
è
il
foro
competente?
• Come
garan/re
la
/tolarità
dei
da/?
• Come
garan/re
la
salvaguardia
dei
segre/
aziendali?
• Come
garan/re
la
possibilità
di
acquisizione
forense
di
prove
digitali?
• Come
garan/re
la
legal
compliance
in
relazione
al
tra,amento
dei
da/
personali?
• Come
garan/re
la
massima
sicurezza
nel
tra,amento
dei
da/?
• Ecc…

9. I
profili
rilevan/
(al
momento)
del
cloud
• Profili
contra,uali
• Profili
lega/
al
tra,amento
dei
da/
personali

10. Legge
applicabile…obscured
by
clouds?
• In
uno
scenario
/pico,
potremmo
trovare
almeno
qua,ro
diversi
ordinamen/
giuridici
da
tenere
in
considerazione:
• 1)
la
legge
del
cliente/utente
del
servizio;
• 2)
la
legge
del
Paese
del
cloud
provider;
• 3)
la
legge
del
Paese
dove
sono
conserva/
i
da/;
• 4)
la
legge
del
Paese
del
sogge,o
cui
si
riferiscono
i
da/.

11. Lessons
learned
• Yahoo!
in
Belgio
– Alcuni
truffatori
si
scambiavano
informazioni
mediante
Yahoo!
Mail
– La
polizia
chiede
collaborazione
a
Yahoo!
– Yahoo!
rifiuta
sostenendo
che
è
una
compagnia
statunitense
e
non
è
sogge,a
alle
leggi
del
Belgio,
quindi
li
esorta
a
seguire
la
strada
della
rogatoria
internazionale
– Le
autorità
belghe
argomentano
che,
offrendo
Yahoo!
i
propri
servizi
in
Belgio,
deve
intendersi
sogge,a
alle
leggi
belghe,
e
multano
Yahoo!
– Yahoo!
vince
in
appello

12. Lessons
learned
/2
• Google
Brazil
– Nell’agosto
del
2006,
una
Corte
brasiliana
ordina
a
Google
di
fornire
immediatamente
informazioni
u/li
a
iden/ficare
alcuni
uten/
su
Orkut,
comminando
una
sanzione
di
$23.000
per
ogni
giorno
di
ritardo;
– Come
nel
caso
di
Yahoo!,
Google
argomenta
che
la
strada
da
seguire
è
quella
delle
rogatorie
internazionali;
– Nel
luglio
2008
Google
e
le
autorità
brasiliane
raggiungono
un
accordo
volto
alla
apposizione
di
filtri
per
i
contenu/
e
alla
fornitura
di
informazioni
senza
necessità
di
a<vare
gli
strumen/
ordinari.

13. Contra<
e
legge
applicabile
• In
ambito
europeo,
potrebbero
soccorrere
all’esigenza
di
individuare
la
legge
applicabile
due
tes/
norma/vi
– Council
Regula/on
(EC)
No.
593/2008
of
the
European
Parliament
and
of
the
Council
of
17
June
2008
on
the
law
applicable
to
contractual
obliga/ons
(Rome
I),
OJ
2008
No.
L177/6,
04
July
2008.
– Council
Regula/on
(EC)
No
864/2007
of
the
European
Parliament
and
of
the
Council
of
11
July
2007
on
the
law
applicable
to
non-­‐contractual
obliga/ons
(Rome
II),
OJ
2007
No.
L199/40,
31
July
2007.

14. La
“Country
of
origin”
rule
• Sempre
in
ambito
europeo,
la
Dire<va
c.d.
“e-­‐
commerce”
del
2000
stabilisce
che
il
fornitore
di
un
servizio
della
società
dell’informazione
non
deve
preoccuparsi
di
essere
a
norma
con
la
legge
di
tu<
gli
Sta/
membri,
ma
solo
con
quella
del
Paese
d’origine;
• Analogamente,
la
sede
del
cloud
provider
verrà
collocata
dove
viene
esercitata
l’a<vità
economica,
quindi
dove
ha
sede
il
provider
e
non
dove
risiedono
i
da/.

15. Riassumendo…
• La
transnazionalità
dei
servizi
cloud
pone
mol/
problemi
rela/vamente
a
quale
legge
regolamenta
il
servizio;
• Il
cloud
provider
e
l’utente
hanno
gli
strumen/
giuridici
per
definire
contra,ualmente
il
regime
giuridico
applicabile;
• Vi
sono,
tu,avia,
altri
aspe<
che
non
possono
essere
coper/
dal
diri,o
privato,
quindi
la
scelta
della
sede,
da
parte
del
cloud
provider,
è
un
fa,ore
strategico
sia
per
il
provider
sia
per
l’utente;
• A
seconda
dei
da/
che
si
vorranno
collocare
sulla
nuvola,
bisognerà
analizzare
i
poteri
d’accesso
che
la
legge
dello
Stato
ove
ha
sede
il
provider
consente
alle
forze
dell’ordine
(ad
es.
Patriot
Act
per
gli
USA
come
nel
casp
PbD
vs.
SWIFT).

16. I
rischi
da
evitare
• Lock-­‐in
verso
uno
specifico
fornitore;
• Perdita
del
proprio
patrimonio
informa/vo
a
seguito
di
vicende
societarie
del
provider;
• Difficoltà
nel
determinare
il
luogo
dell’obbligazione
e
la
legge
applicabile;
• Difficoltà
nella
cos/tuzione
di
elemen/
di
prova
per
far
valere
una
propria
pretesa
in
giudizio;
• Tu,o
ciò
che
riguarda
la
sicurezza
dei
da/;
• Tu,o
ciò
che
riguarda
la
business
con/nuity.

17. In
una
parola:
clausole
• Bisogna
predisporre
delle
clausole
contra,uali
molto
precise,
concentrandosi
sui
seguen/
pun/
(la
lista
è
integrabile
dal
pubblico):
– Legge
applicabile
e
foro
competente;
– S e r v i c e
L e v e l
A g r e e m e n t
( o v v e r o
g a r a n z i e
e
responsabilità);
– Prezzo
del
servizio
e
scalabilità
dello
stesso;
– Misure
di
sicurezza
ado,ate
(backup,
disaster
recovery,
ecc.);
– Supporto;
– Forma/
di
esportazione
dei
da/.

18. Cosa
sta
accadendo
in
pra/ca?
• Diversi
cloud
provider
stanno
optando
per
la
collocazione
di
una
sede
e
di
un
datacenter
all’interno
dell’UE;
• Siamo
in
trepidante
a,esa
delle
modifiche
alla
Dire<va
95/46/EC;
• E
questo
ci
porta
a
parlare
dei
profili
di
privacy
:-­‐)

19. Quotes…
• «The
processing
of
sensi/ve
data
generally
should
not
be
allowed
in
cloud
compu/ng
systems,
or
only
if
the
relevant
servers
are
located
in
the
EU»
(Mr.
Axel
Voss)
• «EU
law
should
apply
when
EU
data
are
processed
anywhere
in
the
world»
(Mrs.
Viviane
Reding)

20. Other
quotes…
• «One
reason
you
should
not
use
web
applica/ons
to
do
your
compu/ng
is
that
you
lose
control.
It’s
just
as
bad
as
using
a
proprietary
program.
Do
your
own
compu/ng
on
your
own
computer
with
your
copy
of
a
freedom-­‐
respec/ng
program.
If
you
use
a
proprietary
program
or
somebody
else’s
web
server,
you’re
defenseless.
You’re
pu,y
in
the
hands
of
whoever
developed
that
soUware»
(Richard
Stallman)
• «Occorre
rifle,ere
anche
sui
rischi
che
pone
la
nuova
tecnologia
del
“cloud
compu/ng”,
con
la
quale
i
da/
verranno
sempre
più
so,ra<
alla
disponibilità
materiale
di
chi
li
produce
e
usa,
e
ges//
da
enormi
server
colloca/
in
ogni
parte
del
pianeta»
(Francesco
Pizze<)

21. In
par/colare…
• Secondo
il
Garante
italiano,
«la
nuova
tecnologia
del
“cloud
compu/ng”,
con
la
quale
i
da/
verranno
sempre
più
so,ra<
alla
disponibilità
materiale
di
chi
li
produce
e
usa
e
ges//
da
enormi
server
colloca/
in
ogni
parte
del
pianeta»
cos/tuirà
«un
fenomeno
che
mol/plicherà
i
servizi
di
“remote
hard
disk”
e
renderà
sempre
più
ampio
il
ricorso
all'outsourcing
e
all'hos/ng
dei
sistemi,
mol/plicando
i
servizi
forni/
da
terzi
secondo
modalità
che
favoriscono
sempre
di
più
la
delocalizzazione
dei
da/
conserva/».
• Per
ques/
mo/vi,
invoca
la
creazione
di
«un
elenco
esaus/vo
delle
banche
da/
di
interesse
nazionale
e
della
loro
dislocazione,
comprese
quelle
ges/te
da
priva/».

22. Pun/
cri/ci
• Applicabilità
del
d.lgs.
196/2003
al
cloud
provider
• Ruolo
del
cloud
provider
nel
tra,amento
dei
da/
•
Trasferimento
dei
da/
all’estero

23. Applicabilità
• È
possibile
applicare
il
Codice
al
cloud
provider
quanto
quest’ul/mo:
– è
stabilito
in
Italia
(art.
5,
co.
1);
– è
stabilito
nel
territorio
di
un
Paese
non
appartenente
all’Unione
europea
e
impiega,
per
il
tra,amento,
strumen/
situa/
in
Italia
anche
diversi
da
quelli
ele,ronici,
salvo
che
essi
siano
u/lizza/
solo
ai
fini
di
transito
nel
territorio
dell’Unione
europea
(art.
5,
co.
2).
• Se
il
cloud
provider
ha
la
propria
sede
e
le
proprie
infrastru,ure
al
di
fuori
del
territorio
dello
Stato
non
potrà
essere
assogge,ato
al
Codice

24. Titolare
o
responsabile?
• CONTITOLARE
O
RESPONSABILE
DEL
TRATTAMENTO?
• Il
TITOLARE
del
tra,amento
è
la
«persona
fisica,
la
persona
giuridica,
la
pubblica
amministrazione
e
qualsiasi
altro
ente,
associazione
od
organismo
cui
competono,
anche
unitamente
ad
altro
/tolare,
le
decisioni
in
ordine
alle
finalità,
alle
modalità
del
tra,amento
di
da/
personali
e
agli
strumen/
u/lizza/,
ivi
compreso
il
profilo
della
sicurezza»
(art.
4,
co.
1,
le,.
f).
• Il
RESPONSABILE
del
tra,amento
è
la
«persona
fisica,
la
persona
giuridica,
la
pubblica
amministrazione
e
qualsiasi
altro
ente,
associazione
od
organismo
prepos/
dal
/tolare
al
tra,amento
di
da/
personali»
(art.
4,
co.
1,
le,.
g).

25. Problemi
applica/vi
• L’art.
29,
d.lgs.
196/2003,
pone
qualche
problema
applica/vo…
– «Il
responsabile
è
designato
dal
/tolare
facolta/vamente.
– Se
designato,
il
responsabile
è
individuato
tra
sogge<
che
per
esperienza,
capacità
ed
affidabilità
forniscano
idonea
garanzia
del
pieno
rispe,o
delle
vigen/
disposizioni
in
materia
di
tra,amento,
ivi
compreso
il
profilo
rela/vo
alla
sicurezza.
– Ove
necessario
per
esigenze
organizza/ve,
possono
essere
designa/
responsabili
più
sogge<,
anche
mediante
suddivisione
di
compi/.
– I
compi(
affida(
al
responsabile
sono
anali(camente
specifica(
per
iscri4o
dal
(tolare.
– Il
responsabile
effe,ua
il
tra,amento
a4enendosi
alle
istruzioni
impar(te
dal
(tolare
il
quale,
anche
tramite
verifiche
periodiche,
vigila
sulla
puntuale
osservanza
delle
disposizioni
di
cui
al
comma
2
e
delle
proprie
istruzioni».

26. Trasferimento
dei
da/
all’estero
• Art.
43,
d.lgs.
196/2003
– 1.
Il
trasferimento
anche
temporaneo
fuori
del
territorio
dello
Stato,
con
qualsiasi
forma
o
mezzo,
di
da/
personali
ogge,o
di
tra,amento,
se
dire,o
verso
un
Paese
non
appartenente
all’Unione
europea
è
consen/to
quando:
• a)
l’interessato
ha
manifestato
il
proprio
consenso
espresso
o,
se
si
tra,a
di
da/
sensibili,
in
forma
scri,a;
• b)
è
necessario
per
l'esecuzione
di
obblighi
derivan/
da
un
contra,o
del
quale
e'
parte
l'interessato
o
per
adempiere,
prima
della
conclusione
del
contra,o,
a
specifiche
richieste
dell'interessato,
ovvero
per
la
conclusione
o
per
l'esecuzione
di
un
contra,o
s/pulato
a
favore
dell'interessato;
• (…)
• h)
il
tra,amento
concerne
da/
riguardan/
persone
giuridiche,
en/
o
associazioni.

27. Trasferimento
dei
da/
all’estero
/2
• Art.
44,
d.lgs.
196/2003
– «Il
trasferimento
di
da/
personali
ogge,o
di
tra,amento,
dire,o
verso
un
Paese
non
appartenente
all'Unione
europea,
è
altresì
consen/to
quando
è
autorizzato
dal
Garante
sulla
base
di
adeguate
garanzie
per
i
diri<
dell’interessato:
• a)
individuate
dal
Garante
anche
in
relazione
a
garanzie
prestate
con
un
contra,o;
• b)
individuate
con
le
decisioni
previste
dagli
ar/coli
25,
paragrafo
6,
e
26,
paragrafo
4,
della
dire<va
95/46/CE
del
Parlamento
europeo
e
del
Consiglio,
del
24
o,obre
1995,
con
le
quali
la
Commissione
europea
constata
che
– un
Paese
non
appartenente
all'Unione
europea
garan(sce
un
livello
di
protezione
adeguato
o
– che
alcune
clausole
contra4uali
offrono
garanzie
sufficien(.

28. Trasferimento
di
da/
all’estero
/3
• Art.
45,
d.lgs.
196/2003
• «Fuori
dei
casi
di
cui
agli
ar/coli
43
e
44,
il
trasferimento
anche
temporaneo
fuori
del
territorio
dello
Stato,
con
qualsiasi
forma
o
mezzo,
di
da/
personali
ogge,o
di
tra,amento,
dire,o
verso
un
Paese
non
appartenente
all’Unione
europea,
è
vietato
quando
l’ordinamento
del
Paese
di
des/nazione
o
di
transito
dei
da/
non
assicura
un
livello
di
tutela
delle
persone
adeguato.
Sono
valutate
anche
le
modalità
del
trasferimento
e
dei
tra,amen/
previs/,
le
rela/ve
finalità,
la
natura
dei
da/
e
le
misure
di
sicurezza».

29. Riassumendo
In
conclusione,
per
effe,uare
un
trasferimento
di
da/
all’estero
conforme
al
Codice
Privacy,
è
possibile
seguire
una
delle
seguen/
strade:
ü Trasferimento
di
da(
verso
i
soli
Paesi
che
offrono
garanzie
adeguate:
ad
oggi
si
tra,a
di
(Svizzera,
Canada,
Argen/na,
Isola
di
Guernsey,
Isola
di
Man,
Isola
di
Jersey,
Isole
Far
Oer,
Andorra,
USA
limitatamente
alle
imprese
che
aderiscono
al
c.d.
Safe
Harbor)
ü Inserimento
nel
contra,o
delle
clausole
contra4uali
standard
approvate
dalla
Commissione
europea
(cfr.
da
ul/mo
le
decisioni
della
Commissione
europea
2004/915/CE
e
2010/87/UE)
ü Previsione
di
binding
corporate
rules
(applicabili
tu,avia
solo
ai
trasferimen/
di
da/
all’interno
di
gruppi
di
società)
ü Consenso
espresso
dell’interessato
ex
art.
43
del
Codice

30. Cloud
e
sicurezza
dei
da/
• I
RISCHI
CONNESSI
ALL’ACCESSO
AI
DATI
«Before,
the
bad
guys
usually
needed
to
get
their
hands
on
people’s
computers
to
see
their
secrets;
in
today’s
cloud
all
you
need
is
a
password»
(Jonathan
Zi,rain)
• da
parte
di
crackers
• da
parte
di
concorren/
• da
parte
di
autorità
pubbliche
• da
parte
dello
stesso
provider
o
di
suoi
dipenden/
infedeli

31. Cloud
e
sicurezza
dei
da/
/2
• I
RISCHI
CONNESSI
ALLA
CONSERVAZIONE
DEI
DATI
– come
garan/rsi
che
i
da/
siano
sempre
recuperabili
e
che
essi
non
vengano
corro<?
– come
garan/rsi
in
caso
di
fallimento
del
cloud
provider?
• I
RISCHI
CONNESSI
ALLA
CANCELLAZIONE
DEI
DATI
– alcune
norme
prevedono
la
cancellazione
di
determinate
categorie
di
da/
decorso
un
certo
periodo
di
tempo
dalla
loro
raccolta;
– in
altri
casi
il
/tolare
potrebbe
avere
interesse
a
cancellare
in
modo
defini/vo,
per
svariate
ragioni,
alcuni
da/
– come
accertarsi
che
i
da/
che
il
/tolare
deve/vuole
cancellare
non
siano
più
recuperabili?

32. Cloud
provider
e
privacy:
a
cosa
prestare
a,enzione
• Livello
minimo
del
servizio
in
relazione
alla
protezione
dei
da/
e
alla
con/nuità;
• Trasparenza
in
merito
alla
logica
applicata
al
tra,amento;
• Personalizzazione
della
sicurezza
lato
utente;
• Controllo
del
servizio
per
tu,a
la
durata
del
rapporto.

33. Controllo
del
servizio?
• Tale
a<vità,
potrà
consistere
in:
• -­‐
Verifica
della
rispondenza
di
quanto
desumibile
dal
contra,o
con
il
servizio
concretamente
offerto;
• -­‐
Iden/ficazione
e
immediata
segnalazione
delle
eventuali
problema/che;
• -­‐
In
ragione
dei
da/
tra,a/,
richiesta
di
repor/s/ca
u/le
a
illustrare
il
pieno
rispe,o
dei
parametri
inseri/
negli
SLAs;
• -­‐
Verifica,
in
capo
al
fornitore,
di
eventuali
cer/ficazioni
sulla
sicurezza
informa/ca.

34. Il
(probabile)
futuro…
• Da
più
par/,
si
invoca
la
firma
di
una
Convenzione
universale
che
disciplini
il
tra,amento
dei
da/
da
parte
di
sogge<
che
offrono
servizi
tali
per
cui
i
da/
sono
“ubiqui”;
• Il
raggiungimento
di
tale
obie<vo
può
sicuramente
essere
agevolato
da
una
visione
comune
di
privacy
policy
ado,ata
dai
vari
cloud
provider;
• Alcuni
conta<
sono
già
in
essere,
quali
quelli
dell’EU-­‐US
High
Level
Contact
Group
(cfr.
U.S.,
EU
Issue
Statement
on
Common
Data
Privacy
and
Protec/on
Principles).

35. Spero
di…

37. GRAZIE!
Avv.
Prof.
Aggr.
Pierluigi
Perri
c/o
Università
degli
Studi
di
Milano
Facoltà
di
Giurisprudenza
Via
Festa
del
Perdono,
7
20122
Milano
pierluigi.perri@unimi.it