Privacy e cloud computing: un connubio difficile ma non impossibile

Slides:

Advertisements

Presentazioni simili

Codici etici e programmi aziendali di etica

Advertisements

Renzo Marin – CRC Veneto Progetto CRC-CNIPA

Bologn Che cosè il Certificato Europeo in Psicologia Ottobre, 2010.

COSA SUCCEDE IN CLASSE ?. TUTTO INIZIA DA QUI: IL PARLAMENTO APPROVA LA LEGGE 133.

Fondo Integrativo Speciale per la Ricerca 13 settembre 2004

Politiche sociali Lavinia Bifulco.

ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,

DIRITTO ALLA RISERVATEZZA E TRATTAMENTO DATI PERSONALI

Per una Agenzia di Valutazione Civica Cittadinanzattiva - Direzione Nazionale Intervento di Angelo Tanese Roma 22 maggio 2010.

A.A Corso di Politica Sociale Maria Letizia Pruna Nona lezione Le politiche del lavoro.

1 Progettare e operare nella scuola dellautonomia Attività di formazione del personale del sistema scolastico Tratto da LA SCUOLA per lo Sviluppo Programma.

1 PROGRAMMARE SIGNIFICA COORDINARE LINTERVENTO DELLE AMMINISTRAZIONI PUBBLICHE AL FINE DI CONSEGUIRE GLI OBIETTIVI STABILITI NELLA FASE DI DEFINIZIONE.

Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.

I nuovi modelli di governance locale: I Sistemi turistici locali

L’offerta di microdati da parte dell’Istat

Banche e Aziende ICT: esploriamo nuovi orizzonti

Le strategie di collaborazione

PRINCIPI CONSOLIDATI DEL PROCESSO DI VALUTAZOIONE i) Qualità. I progetti selezionati per l'erogazione di un finanziamento devono dimostrarsi di elevato.

LA POLITICA SPAZIALE EUROPEA: POSIZIONE ITALIANA Ancona, 20 maggio 2005 Ing. Augusto Cramarossa ASI - Unità Strategie e Rapporti Nazionali e Internazionali.

1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.

18 luglio 2007 Razionalizzazione dei sistemi di back-office Il ruolo del CNIPA Ing. Rosanna Alterisio Responsabile Area Progetti applicazioni e servizi.

Ministro per lInnovazione e le Tecnologie I Piccoli Comuni e il digital divide I Centri Territoriali per i Piccoli Comuni Guido Pera Area sviluppo e-government.

Dr. Renato Simoncelli LOGISTICA INTERNAZIONALE. Le forme di una filiera logistica internazionale sistema di distribuzione internazionale; fornitori internazionali;

Seminario di presentazione di Seminario di presentazione di

Relazione finale del Gruppo di lavoro sulle società a partecipazione comunale Bergamo, 21 marzo 2006.

Iniziativa realizzata nellambito delle attività di promozione del CSV Irpinia Solidale Progetto: Consumatori Informati – cod. 310/ giugno 2009 ore.

©2003 Dalmine Energie | Page 1 | Milano, 14 gennaio 2004 Accordo di collaborazione tra GAS INTENSIVE e Dalmine Energie.

ATTO DI INDIRIZZO E COORDINAMENTO SULL'AFFIDAMENTO DEI SERVIZI PREVISTI DALLA LEGGE 8 novembre 2000, N. 328, articolo 5.

IL CLOUD COMPUTING: portabilità o privacy?

Progettare lauto-valutazione di un piano di sviluppo locale Milano 26 gennaio 2005.

La legge Stanca: principi ed attuazione Dott. Antonio De Vanna Responsabile dellUfficio accessibilità dei sistemi informatici Treviso 16 dicembre 2004.

Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.

Considerazioni finali 30° lezione 27 novembre 2009 Anno Accademico 2009/2010.

Corso di laurea in Scienze dellAmministrazione e dellOrganizzazione Sede di Ivrea Moduli professionali per lo sviluppo dei sistemi informativi nellamministrazione.

Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.

Global Service: un terreno di crescita per limpresa cooperativa (Roma 10 – 11 dicembre 2002) NICOLA CARONE Il ruolo del terzo responsabile.

Silvia Baldo Alessandro Ghigi 24 gennaio 2003 INFORMAZIONE ED ORIENTAMENTO SULLIMMIGRAZIONE LA CARTA DEI SERVIZI.

Il Territorio protagonista dellofferta dei servizi sociali di Annalisa Turchini.

Dati delle Pubbliche Amministrazioni e Servizi in Rete Prefettura di Reggio Calabria novembre 2010.

Democrazia e Innovazioni nella Valutazione e nelle Amministrazioni Ciclo di seminari I CLASSICI DELLA VALUTAZIONE 24 maggio giugno 2012.

La Protezione delle Infrastrutture Critiche in Europa: Conclusioni del Progetto Europeo Dependability Development Support Initiative (DDSI) di Lorenzo.

I BISOGNI EDUCATIVI SPECIALI: Gruppo di Sperimentazione

22 MARZO ORE 15,00 Sei in regola con gli obblighi in materia di sicurezza e privacy? Consigli pratici per adeguarsi… Piermaria Saglietto.

Collegio Ghislieri Convegno PRESI NELLA RETE Pavia, 23 novembre 2012 Normativa internazionale in tema di cybercrime avv. Stefano Aterno © Avv. Stefano.

1 ACCORDO REGIONALE MG 2006 NCP MODELLO ORGANIZZATIVO promosso in Emilia – Romagna a cura di Ester Spinozzi Rimini 21 ottobre 2006 DIREZIONE GENERALE SANITA.

Lezioni dEuropaLezioni dEuropa LUnione Europea. Origini e sviluppi 27 ottobre 2012 Le competenze dellUnione Europea Dott. Marco Baldassari Professore a.

Innovazione e federalismo Verso una visione condivisa dell’e- government nell’Italia federale Sessione : “Strumenti per l’attuazione del cambiamento”

A Dicembre 2013, il Consiglio dell’Unione Europea, ha adottato le nuove normative e le leggi che regolano il ciclo successivo di investimenti effettuati.

Andrew Pindar Gruppo di ricerca sull'efficienza negli usi finali dell'energia (eERG) Politecnico di Milano DM 24/04/2001 per la promozione dell'efficienza.

“Cloud computing per le imprese”. Cloud per le imprese 2 Il cloud computing a vantaggio delle piccole e medie imprese – 09 dicembre 2013 INDICE  Premessa.

Anticorruzione.

Sistemi di Gestione per la Qualità

Patient file Anagrafe persone fisicheAnagrafe sanitaria Anagrafe dei professionisti sanitari La utilizzazione di dati clinici (patient file) Modelli di.

Forum PA – Roma 12 maggio PEC – Un nuovo servizio per tutti - C. Petrucci Posta Elettronica Certificata Un nuovo servizio per tutti ing. Claudio.

RISOLUZIONE DEL PARLAMENTO EUROPEO SUL DIRITTO CONTRATTUALE EUROPEO E LA REVISIONE DELL’ACQUIS: PROSPETTIVE PER IL FUTURO (approvata il 23 marzo 2006)

Legge 30 luglio 2010, n. 122 Conversione in legge, con modificazioni, del decreto-legge 31 maggio 2010, n. 78, recante misure urgenti in materia di stabilizzazione.

Internetworking V anno. Le soluzioni cloud per la progettazione di infrastrutture di rete.

LE NUOVE PROCEDURE DI AFFIDAMENTO DEI CONTRATTI

LA RIFORMA DEL MERCATO DEL LAVORO Camera del Lavoro di Alessandria 1 LA RIFORMA DEL MERCATO DEL LAVORO I CONTROLLI A DISTANZA Ottobre 2015.

Dipartimento di Ingegneria Informatica, Automatica e Gestionale Il costo standard nei servizi di trasporto pubblico locale su autobus Il settore del trasporto.

Le policy aziendali relative al trattamento di dati sensibili ed informazioni riservate novembre2015.

1 IL SISTEMA DELLE AUTONOMIE LOCALI LA SFIDA DELLA SEMPLIFICAZIONE La formazione della dirigenza locale per la semplificazione SSPAL Scuola Superiore Pubblica.

PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.

Spunti in tema di evoluzione del diritto dell’obbligazione.

CORSO DI DIRITTO INTERNAZIONALE PRIVATO E PROCESSUALE a.a (8) La legge applicabile alle obbligazioni extracontrattuali.

I sistemi di Programmazione e Controllo nelle Amministrazioni pubbliche (P & C) a cura della Dott.ssa Paola Contestabile.

La riforma dei servizi pubblici locali e l’impatto sulle aziende L’art. 35 della Legge Finanziaria 2002 Andrea Sbandati - Direttore Cispel Toscana.

ROMA 24 GIUGNO 2016 OFFICINA MODERNIZZAZIONE Titolo presentazione OFFICINA MODERNIZZAZIONE L’esperienza del Piano Triennale nazionale di digitalizzazione.

Lezione Obiettivo della lezione Analizzare lo strumento “codice etico” approfondendone limiti e criticità. Struttura della lezione - definizione di codice.

Transcript della presentazione:

Privacy e cloud computing: un connubio difficile ma non impossibile Avv. Manuela Siano 1^ Forum Medialaws 30 marzo 2012 Milano

Indicazione del Garante per l’utilizzo consapevole CLOUD COMPUTING: Indicazione del Garante per l’utilizzo consapevole dei servizi (giugno 2011) Potenziali vantaggi del cloud computing Cosa è il cloud computing Indicazioni concrete per l’utilizzo conapevole Potenziali criticità del cloud computing

Cosa è il cloud computing È quell’insieme di tecnologie che favoriscono la fruizione e l'erogazione di applicazioni software, di capacita elaborativa e di stoccaggio (i cosiddetti server remoti virtualizzati) via web, favorendo il trasferimento dell’elaborazione e dei dati dal computer dell’utente (consumer o azienda) ai sistemi del fornitore dei servizi. La complessità del sistema e la posizione fisica dei dati sono nascosti dalla «nuvola informatica» e talvolta restano ignoti all’utente. Da qui le difficoltà per un effettivo controllo degli utenti sul trattamento dei dati che li riguardano.

Cosa è il cloud computing Un necessario distinguo Private cloud: infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei server) nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale. Pubblic cloud: l’infrastruttura è di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni - e quindi condivide tra di essi - i propri sistemi attraverso l’erogazione via web di applicazioni informatiche, di capacità elaborativa e di stoccaggio. Esternalizzare i dati nelle cloud pubbliche

Potenziali vantaggi del cloud computing promozione della sistematizzazione delle infrastrutture riorganizzazione dei flussi informativi e fruibilità dei dati razionalizzazione dei costi e quindi offerta di servizi più moderni, efficienti e funzionali in linea con le esigenze di crescita di un moderno Sistema Paese tramite con soluzioni acquisite a consumo presso terzi

Potenziali criticità del cloud computing esternalizzazione e delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati aspetti normativi in merito alla filiera delle responsabilità e all'importanza degli accordi di servizio

Potenziali criticità del cloud computing eventuali guasti subiti dal service/platform/infrastructure provider possono causare l'inaccessibilità o la perdita dei dati anche i guasti alla rete possono determinare l'indisponibilità dei dati l'utilizzo di tecnologie proprietarie da parte del fornitore di servizi potrebbe determinare problemi nel cambiare il fornitore stesso

Potenziali criticità del cloud computing conservazione dei dati in luoghi geografici differenti risorse noleggiate a utenza multipla e mutevole sicurezza informatica dei dati

Indicazioni per l’utilizzo consapevole del cloud computing ponderare prioritariamente rischi e benefici dei servizi offerti verificando anche l’affidabilità del fornitore privilegiare i servizi che favoriscono la portabilità dei dati assicurarsi la disponibilità dei dati in caso di necessità

Indicazioni per l’utilizzo consapevole del cloud computing selezionare i dati da inserire nella cloud, verificando dove saranno allocati controllare le clausole contrattuali verificare le politiche di persistenza dei dati legate alla conservazione dei dati

Indicazioni per l’utilizzo consapevole del cloud computing esigere e adottare opportune cautele per tutelare la confidenzialità dei dati formare adeguatamente il personale

UNO SGUARDO ALL’EUROPA Criticità dall’Europa e aspetti normativi di privacy nel cloud computing L’ENISA e la sicurezza dei sistemi di cloud computing Partenariato europeo sul cloud computing La riforma cloud-friendly della privacy

ENISA (European Network and Information Security Agency) L’ENISA ha pubblicato uno studio sui criteri utili a garantire sicurezza e “resilienza” (ossia resistenza a sollecitazioni esterne, anche improvvise) dei sistemi di cloud computing utilizzati (eventualmente) da soggetti pubblici. Nella scelta dell’architettura più indicata e delle garanzie idonee a mantenere il controllo delle informazioni individua alcuni criteri-guida. È un processo di analisi del rischio che si basa sull’analisi di una molteplicità di fattori, normativi e non. Il modello di “community cloud” appare attualmente quello più indicato a tutelare i dati dei cittadini mantenendo alla pubblica amministrazione un grado accettabile di controllo; sono presi in esame, al riguardo, i vincoli attualmente derivanti dalle normative di protezione dati ai fini del trasferimento di dati personali verso Paesi terzi. http://www.enisa.europa.eu/act/rm/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds/at_download/fullReport

Criticità dall’Europa e aspetti normativi di privacy nel cloud PROBLEMI GENERALI CONDIVSI DALLE DPA UE Titolarità del trattamento: - Chi è il titolare? Che ruolo ha il provider? Sicurezza dei dati: - Chi deve garantire la sicurezza dei dati? Trasferimento dei dati - Dove sono i dati? Disponibilità dei dati per fini di giustizia e polizia - Possibilità che i dati siano disponibili in base alle norme locali Attribuzione del rischio e limitazione della responsabilità -Chi è il responsabile della perdita dei dati? -Chi della mancata disponibilità del servizio?

Criticità dall’Europa e aspetti normativi di privacy nel cloud NELLO SPECIFICO Il contratto di cloud deve definire: - Ruoli, responsabilità, normativa applicabile, penali, etc; - Dove sono i dati trattati e le specifiche misure adottate per rispettare la normativa applicabile; - Come il fornitore del servizio garantisce che i propri sistemi proteggano i dati nella loro consapevolezza e consistenza; - Quali attività il fornitore del servizio affida, eventualmente, a sub fornitori e il livello di protezione sia almeno equivalente a quello richiesto dal cliente; - Possibilità di verificare il rispetto delle norme da parte di terzi.

Criticità dall’Europa e aspetti normativi di privacy nel cloud Le condizioni contrattuali: in UK un gruppo di ricercatori di varie università inglesi ha pubblicato un articolo che esamina le condizioni contrattuali offerte dai principali fornitori di servizi di “cloud computing”. Emergono alcuni elementi preoccupanti: presenza di ampie clausole di esclusione della responsabilità ambiguità sulla localizzazione dei servizi diversità degli approcci relativi alla conservazione ulteriore dei dati ed alle misure di sicurezza (legata anche alla diversa tipologia dei servizi offerti). Differenze vengono segnalate anche fra i soggetti con sede in UE e quelli extra-UE (i primi appaiono maggiormente garantisti anche in termini di protezione dati).

Criticità dall’Europa e aspetti normativi di privacy nel cloud 2. problemi ad individuare la filiera delle responsabilità 3. certezza del diritto (dove la “nuvola” tocca terra: da qualche parte deve pur avvenire). La Direttiva ancora in vigore detta tre criteri territoriali: stabilimento del titolare, luogo degli strumenti utilizzati, stabilimento del responsabile. Se vi è coesistenza di più leggi, il titolare deve conformarsi alla legge in ogni sede (v. WP29 e criterio del degree of involvement, criterio funzionale, si applica legge dello stabilimento in cui è effettivamente riconducibile il trattamento); Trasferimento di dati extra UE, lecito verso paesi che hanno livello adeguato. Altrimenti possibile se: consenso; clausole standard; schemi contrattuali tipo; binding corporate rules; safe harbor.

Criticità dall’Europa e aspetti normativi di privacy nel cloud 4. trasparenza per gli utenti, completezza informativa e consenso; 5. data minimization, solo i dati effettivamente necessari devono essere trattati attraverso tecnologie di cloud; 6. diritto dell’interessato a uscire dal trattamento; 7. diritto all’oblio (non assoluto, ma relativo), si tratta di garantire più che la cancellazione del dato la sua disponibilità in forma anonima. (Intervento della Kroes e comunicazione della Commissione sulla futura direttiva 95/46); 8. portabilità dei dati personali, ad es. nella migrazione da un cloud all’altro; 9. inversione dell’onere della prova in materi di data retention, sempre in carico al titolare dimostrare la conservazione ulteriore; 10. riformulazione delle deroghe per esigenze pubblicistiche, le limitazioni alle garanzie dell’interessato per esigenze pubblicistiche vanno vanno definite con la massima precisione.

Criticità dall’Europa e aspetti normativi di privacy nel cloud Interessante analisi relativa all’applicabilità delle norme tedesche ed europee in materia di protezione dati per quanto concerne il cloud computing (pubblicata dall’Autorità di PD del Land Schleswig-Holstein). Tale analisi si concentra su: a) titolarità del trattamento, indicando nell’utilizzatore di servizi di cloud computing il titolare del trattamento e, quindi, il soggetto tenuto a verificare l’idoneità dei responsabili ai quali viene affidato il trattamento stesso (ossia le aziende/società che offrono servizi di cloud computing); b) necessità di ricorrere a garanzie contrattuali appare fondamentale, per garantire la trasparenza del trattamento, eventualmente includendo anche le clausole standard approvate dalla Commissione europea per i trasferimenti di dati verso Paesi terzi. Il criterio deve essere quello della “security by transparency” anziché la “security by obscurity” che sembra prevalere. Si suggerisce anche l’intervento di soggetti terzi che certifichino in modo indipendente l’affidabilità dei soggetti che offrono servizi di cloud computing, al fine di facilitare la valutazione ad opera del titolare (iniziative in tal senso sono già presenti in Germania).

Criticità dall’Europa e aspetti normativi di privacy nel cloud Anche l'Autorità svedese per la protezione dei dati dice che chi utilizza servizi cloud rimane il titolare del trattamento, e quindi responsabile dei dati. Nella sua dichiarazione (30 settembre u.s.), afferma che le organizzazioni devono inserire accordi sul trattamento dei dati e condurre una analisi di rischio e vulnerabilità. L‘Autorità ha ispezionato tre organizzazioni per il rispetto della protezione dei dati in modalità cloud, individuando una serie di problemi da risolvere. 1. le organizzazioni che utilizzano i servizi cloud sembrano avere troppa fiducia nel provider cloud; 2. vi è, tuttavia, l'incertezza su ciò che accade ai dati personali quando il contratto finisce; 3. i clienti non sanno dove i server sono e dove sono memorizzati i dati; 4. è importante essere in grado di fornire sufficienti garanzie che i fornitori di cloud adottare le misure di sicurezza necessarie per proteggere i dati personali; 5. formulazioni poco chiare nei contratti che consentono al provider cloud di modificare unilateralmente i termini è un esempio di scarsa compliance.

Riforma cloud-friendly della privacy Il 25 gennaio 2012, dopo oltre due anni di “cantiere aperto” e di confronto con i diversi stakeholders, la Commissione europea ha presentato ufficialmente le proposte di revisione delle norme sulla protezione dei dati personali: Proposta di Regolamento (sostitutivo della Direttiva 95/46/CE); Proposta di Direttiva (sostitutiva della Decisione 2008/977/GAI, ossia la Decisione quadro sulla protezione dati nell’ex III pilastro Impostazione di fondo della nuova disciplina: nel mondo globalizzato, interconnesso e del cloud computing, la protezione dei dati si spingerà oltre i confini europei (art. 3, 2 della proposta di Regolamento). Altre norme relative al cloud nella proposta di Regolamento

Partnership europea sul cloud L’Europa sta lavorando da mesi per definire una Strategia comune sul cloud, che consentirà di raggiungere diversi obiettivi e permetterà all’Europa di non essere solo cloud-friendly, ma soprattutto cloud-active. Uno dei primi provvedimenti, annunciati il 26 gennaio 2012 al World Economic Forum di Davos dalla Commissaria Kroes,22 è la creazione di una Partnership europea sul cloud tra istituzioni pubblica e industria volta a individuare le esigenze comuni per la fornitura di servizi cloud. L'iniziale lavoro della Partnership creerà una solida base comune per gli appalti cloud da parte delle autorità pubbliche. In principio gli appalti potrebbero ancora essere condotti separatamente, successivamente si potrebbe passare a un approccio comune, pubblico-privato, a livello locale, regionale o europeo, che permetterebbe una maggiore condivisione delle risorse e infine anche acquisti congiunti.