La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

P RIVACY E CLOUD COMPUTING : UN CONNUBIO DIFFICILE MA NON IMPOSSIBILE Avv. Manuela Siano 1^ Forum Medialaws 1^ Forum Medialaws 30 marzo 2012 Milano 30.

Presentazioni simili


Presentazione sul tema: "P RIVACY E CLOUD COMPUTING : UN CONNUBIO DIFFICILE MA NON IMPOSSIBILE Avv. Manuela Siano 1^ Forum Medialaws 1^ Forum Medialaws 30 marzo 2012 Milano 30."— Transcript della presentazione:

1 P RIVACY E CLOUD COMPUTING : UN CONNUBIO DIFFICILE MA NON IMPOSSIBILE Avv. Manuela Siano 1^ Forum Medialaws 1^ Forum Medialaws 30 marzo 2012 Milano 30 marzo 2012 Milano

2 CLOUD COMPUTING: Indicazione del Garante per lutilizzo consapevole dei servizi (giugno 2011) Potenziali criticità del cloud computing Indicazioni concrete per lutilizzo conapevole Cosa è il cloud computing Potenziali vantaggi del cloud computing

3 Cosa è il cloud computing È quellinsieme di tecnologie che favoriscono la fruizione e l'erogazione di applicazioni software, di capacita elaborativa e di stoccaggio (i cosiddetti server remoti virtualizzati) via web, favorendo il trasferimento dellelaborazione e dei dati dal computer dellutente (consumer o azienda) ai sistemi del fornitore dei servizi. La complessità del sistema e la posizione fisica dei dati sono nascosti dalla «nuvola informatica» e talvolta restano ignoti allutente. Da qui le difficoltà per un effettivo controllo degli utenti sul trattamento dei dati che li riguardano.

4 Cosa è il cloud computing Un necessario distinguo Private cloud: infrastruttura informatica per lo più dedicata Private cloud: infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dellhosting dei server) nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale. Pubblic cloud: linfrastruttura è di proprietà di un fornitore Pubblic cloud: linfrastruttura è di proprietà di un fornitore specializzato nellerogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni - e quindi condivide tra di essi - i propri sistemi attraverso lerogazione via web di applicazioni informatiche, di capacità elaborativa e di stoccaggio. Esternalizzare i dati nelle cloud pubbliche

5 promozione della sistematizzazione delle infrastrutture riorganizzazione dei flussi informativi e fruibilità dei dati razionalizzazione dei costi e quindi offerta di servizi più moderni, efficienti e funzionali in linea con le esigenze di crescita di un moderno Sistema Paese tramite con soluzioni acquisite a consumo presso terzi Potenziali vantaggi del cloud computing

6 esternalizzazione e delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati aspetti normativi in merito alla filiera delle responsabilità e all'importanza degli accordi di servizio Potenziali criticità del cloud computing

7 eventuali guasti subiti dal service/platform/infrastructure provider possono causare l'inaccessibilità o la perdita dei dati anche i guasti alla rete possono determinare l'indisponibilità dei dati l'utilizzo di tecnologie proprietarie da parte del fornitore di servizi potrebbe determinare problemi nel cambiare il fornitore stesso Potenziali criticità del cloud computing

8 conservazione dei dati in luoghi geografici differenti risorse noleggiate a utenza multipla e mutevole sicurezza informatica dei dati Potenziali criticità del cloud computing

9 ponderare prioritariamente rischi e benefici dei servizi offerti verificando anche laffidabilità del fornitore privilegiare i servizi che favoriscono la portabilità dei dati assicurarsi la disponibilità dei dati in caso di necessità Indicazioni per lutilizzo consapevole del cloud computing

10 Indicazioni per lutilizzo consapevole del cloud computing selezionare i dati da inserire nella cloud, verificando dove saranno allocati controllare le clausole contrattuali verificare le politiche di persistenza dei dati legate alla conservazione dei dati

11 Indicazioni per lutilizzo consapevole del cloud computing esigere e adottare opportune cautele per tutelare la confidenzialità dei dati formare adeguatamente il personale

12 UNO SGUARDO ALLEUROPA La riforma cloud-friendly della privacy Partenariato europeo sul cloud computing LENISA e la sicurezza dei sistemi di cloud computing Criticità dallEuropa e aspetti normativi di privacy nel cloud computing

13 ENISA (European Network and Information Security Agency) LENISA ha pubblicato uno studio sui criteri utili a garantire sicurezza e resilienza (ossia resistenza a sollecitazioni esterne, anche improvvise) dei sistemi di cloud computing utilizzati (eventualmente) da soggetti pubblici. Nella scelta dellarchitettura più indicata e delle garanzie idonee a mantenere il controllo delle informazioni individua alcuni criteri-guida. È un processo di analisi del rischio che si basa sullanalisi di una molteplicità di fattori, normativi e non. Il modello di community cloud appare attualmente quello più indicato a tutelare i dati dei cittadini mantenendo alla pubblica amministrazione un grado accettabile di controllo; sono presi in esame, al riguardo, i vincoli attualmente derivanti dalle normative di protezione dati ai fini del trasferimento di dati personali verso Paesi terzi. and-resilience-in-governmental-clouds/at_download/fullReport

14 Criticità dallEuropa e aspetti normativi di privacy nel cloud PROBLEMI GENERALI CONDIVSI DALLE DPA UE Titolarità del trattamento: - Chi è il titolare? Che ruolo ha il provider? Sicurezza dei dati: - Chi deve garantire la sicurezza dei dati? Trasferimento dei dati - Dove sono i dati? Disponibilità dei dati per fini di giustizia e polizia - Possibilità che i dati siano disponibili in base alle norme locali Attribuzione del rischio e limitazione della responsabilità -Chi è il responsabile della perdita dei dati? -Chi della mancata disponibilità del servizio?

15 Criticità dallEuropa e aspetti normativi di privacy nel cloud NELLO SPECIFICO 1.Il contratto di cloud deve definire: - Ruoli, responsabilità, normativa applicabile, penali, etc; - Dove sono i dati trattati e le specifiche misure adottate per rispettare la normativa applicabile; - Come il fornitore del servizio garantisce che i propri sistemi proteggano i dati nella loro consapevolezza e consistenza; - Quali attività il fornitore del servizio affida, eventualmente, a sub fornitori e il livello di protezione sia almeno equivalente a quello richiesto dal cliente; - Possibilità di verificare il rispetto delle norme da parte di terzi.

16 Criticità dallEuropa e aspetti normativi di privacy nel cloud Le condizioni contrattuali: in UK un gruppo di ricercatori di varie università inglesi ha pubblicato un articolo che esamina le condizioni contrattuali offerte dai principali fornitori di servizi di cloud computing. Emergono alcuni elementi preoccupanti: -presenza di ampie clausole di esclusione della responsabilità -ambiguità sulla localizzazione dei servizi -diversità degli approcci relativi alla conservazione ulteriore dei dati ed alle misure di sicurezza (legata anche alla diversa tipologia dei servizi offerti). Differenze vengono segnalate anche fra i soggetti con sede in UE e quelli extra-UE (i primi appaiono maggiormente garantisti anche in termini di protezione dati).

17 Criticità dallEuropa e aspetti normativi di privacy nel cloud 2. problemi ad individuare la filiera delle responsabilità 3. certezza del diritto (dove la nuvola tocca terra: da qualche parte deve pur avvenire). La Direttiva ancora in vigore detta tre criteri territoriali: stabilimento del titolare, luogo degli strumenti utilizzati, stabilimento del responsabile. Se vi è coesistenza di più leggi, il titolare deve conformarsi alla legge in ogni sede (v. WP29 e criterio del degree of involvement, criterio funzionale, si applica legge dello stabilimento in cui è effettivamente riconducibile il trattamento); Se vi è coesistenza di più leggi, il titolare deve conformarsi alla legge in ogni sede (v. WP29 e criterio del degree of involvement, criterio funzionale, si applica legge dello stabilimento in cui è effettivamente riconducibile il trattamento); Trasferimento di dati extra UE, lecito verso paesi che hanno livello adeguato. Altrimenti possibile se: consenso; clausole standard; schemi contrattuali tipo; binding corporate rules; safe harbor. Trasferimento di dati extra UE, lecito verso paesi che hanno livello adeguato. Altrimenti possibile se: consenso; clausole standard; schemi contrattuali tipo; binding corporate rules; safe harbor.

18 Criticità dallEuropa e aspetti normativi di privacy nel cloud 4. trasparenza per gli utenti, completezza informativa e consenso; 5. data minimization, solo i dati effettivamente necessari devono essere trattati attraverso tecnologie di cloud; 6. diritto dellinteressato a uscire dal trattamento; 7. diritto alloblio (non assoluto, ma relativo), si tratta di garantire più che la cancellazione del dato la sua disponibilità in forma anonima. (Intervento della Kroes e comunicazione della Commissione sulla futura direttiva 95/46); 8. portabilità dei dati personali, ad es. nella migrazione da un cloud allaltro; 9. inversione dellonere della prova in materi di data retention, sempre in carico al titolare dimostrare la conservazione ulteriore; 10. riformulazione delle deroghe per esigenze pubblicistiche, le limitazioni alle garanzie dellinteressato per esigenze pubblicistiche vanno vanno definite con la massima precisione.

19 Criticità dallEuropa e aspetti normativi di privacy nel cloud Interessante analisi relativa allapplicabilità delle norme tedesche ed europee in materia di protezione dati per quanto concerne il cloud computing (pubblicata dallAutorità di PD del Land Schleswig- Holstein). Tale analisi si concentra su: a) titolarità del trattamento, indicando nellutilizzatore di servizi di cloud computing il titolare del trattamento e, quindi, il soggetto tenuto a verificare lidoneità dei responsabili ai quali viene affidato il trattamento stesso (ossia le aziende/società che offrono servizi di cloud computing); b) necessità di ricorrere a garanzie contrattuali appare fondamentale, per garantire la trasparenza del trattamento, eventualmente includendo anche le clausole standard approvate dalla Commissione europea per i trasferimenti di dati verso Paesi terzi. Il criterio deve essere quello della security by transparency anziché la security by obscurity che sembra prevalere. Si suggerisce anche lintervento di soggetti terzi che certifichino in modo indipendente laffidabilità dei soggetti che offrono servizi di cloud computing, al fine di facilitare la valutazione ad opera del titolare (iniziative in tal senso sono già presenti in Germania).

20 Criticità dallEuropa e aspetti normativi di privacy nel cloud Anche per la protezione dei dati dice che chi utilizza servizi cloud rimane il titolare del trattamento, e quindi responsabile dei dati. Nella sua dichiarazione (30 settembre u.s.), afferma che le organizzazioni devono inserire accordi sul trattamento dei dati e condurre una analisi di rischio e vulnerabilità. LAutorità ha ispezionato tre organizzazioni per il rispetto della protezione dei dati in modalità cloud, individuando una serie di problemi da risolvere. Anche l'Autorità svedese per la protezione dei dati dice che chi utilizza servizi cloud rimane il titolare del trattamento, e quindi responsabile dei dati. Nella sua dichiarazione (30 settembre u.s.), afferma che le organizzazioni devono inserire accordi sul trattamento dei dati e condurre una analisi di rischio e vulnerabilità. LAutorità ha ispezionato tre organizzazioni per il rispetto della protezione dei dati in modalità cloud, individuando una serie di problemi da risolvere. 1. le organizzazioni che utilizzano i servizi cloud sembrano avere troppa fiducia nel provider cloud; 2. vi è, tuttavia, l'incertezza su ciò che accade ai dati personali quando il contratto finisce; 3. i clienti non sanno dove i server sono e dove sono memorizzati i dati; 4. è importante essere in grado di fornire sufficienti garanzie che i fornitori di cloud adottare le misure di sicurezza necessarie per proteggere i dati personali; 5. formulazioni poco chiare nei contratti che consentono al provider cloud di modificare unilateralmente i termini è un esempio di scarsa compliance.

21 Riforma cloud-friendly della privacy Il 25 gennaio 2012, dopo oltre due anni di cantiere aperto e di confronto con i diversi stakeholders, la Commissione europea ha presentato ufficialmente le proposte di revisione delle norme sulla protezione dei dati personali: - -Proposta di Regolamento (sostitutivo della Direttiva 95/46/CE); - -Proposta di Direttiva (sostitutiva della Decisione 2008/977/GAI, ossia la Decisione quadro sulla protezione dati nellex III pilastro Impostazione di fondo della nuova disciplina: nel mondo globalizzato, interconnesso e del cloud computing, la protezione dei dati si spingerà oltre i confini europei (art. 3, 2 della proposta di Regolamento). Altre norme relative al cloud nella proposta di Regolamento

22 Partnership europea sul cloud LEuropa sta lavorando da mesi per definire una Strategia comune sul cloud, che consentirà di raggiungere diversi obiettivi e permetterà allEuropa di non essere solo cloud-friendly, ma soprattutto cloud-active. Uno dei primi provvedimenti, annunciati il 26 gennaio 2012 al World Economic Forum di Davos dalla Commissaria Kroes,22 è la creazione di una Partnership europea sul cloud tra istituzioni pubblica e industria volta a individuare le esigenze comuni per la fornitura di servizi cloud. L'iniziale lavoro della Partnership creerà una solida base comune per gli appalti cloud da parte delle autorità pubbliche. In principio gli appalti potrebbero ancora essere condotti separatamente, successivamente si potrebbe passare a un approccio comune, pubblico-privato, a livello locale, regionale o europeo, che permetterebbe una maggiore condivisione delle risorse e infine anche acquisti congiunti.


Scaricare ppt "P RIVACY E CLOUD COMPUTING : UN CONNUBIO DIFFICILE MA NON IMPOSSIBILE Avv. Manuela Siano 1^ Forum Medialaws 1^ Forum Medialaws 30 marzo 2012 Milano 30."

Presentazioni simili


Annunci Google