La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Privacy e cloud computing: un connubio difficile ma non impossibile

PubblicatoLalia Simona Modificato 10 anni fa

Presentazioni simili

Presentazione sul tema: "Privacy e cloud computing: un connubio difficile ma non impossibile"— Transcript della presentazione:

1 Privacy e cloud computing: un connubio difficile ma non impossibile
Avv. Manuela Siano 1^ Forum Medialaws 30 marzo 2012 Milano

2 Indicazione del Garante per l’utilizzo consapevole
CLOUD COMPUTING: Indicazione del Garante per l’utilizzo consapevole dei servizi (giugno 2011) Potenziali vantaggi del cloud computing Cosa è il cloud computing Indicazioni concrete per l’utilizzo conapevole Potenziali criticità del cloud computing

3 Cosa è il cloud computing
È quell’insieme di tecnologie che favoriscono la fruizione e l'erogazione di applicazioni software, di capacita elaborativa e di stoccaggio (i cosiddetti server remoti virtualizzati) via web, favorendo il trasferimento dell’elaborazione e dei dati dal computer dell’utente (consumer o azienda) ai sistemi del fornitore dei servizi. La complessità del sistema e la posizione fisica dei dati sono nascosti dalla «nuvola informatica» e talvolta restano ignoti all’utente. Da qui le difficoltà per un effettivo controllo degli utenti sul trattamento dei dati che li riguardano.

4 Cosa è il cloud computing
Un necessario distinguo Private cloud: infrastruttura informatica per lo più dedicata alle esigenze di una singola organizzazione, ubicata nei suoi locali o affidata in gestione ad un terzo (nella tradizionale forma dell’hosting dei server) nei confronti del quale il titolare dei dati può spesso esercitare un controllo puntuale. Pubblic cloud: l’infrastruttura è di proprietà di un fornitore specializzato nell’erogazione di servizi che mette a disposizione di utenti, aziende o amministrazioni - e quindi condivide tra di essi - i propri sistemi attraverso l’erogazione via web di applicazioni informatiche, di capacità elaborativa e di stoccaggio. Esternalizzare i dati nelle cloud pubbliche

5 Potenziali vantaggi del cloud computing
promozione della sistematizzazione delle infrastrutture riorganizzazione dei flussi informativi e fruibilità dei dati razionalizzazione dei costi e quindi offerta di servizi più moderni, efficienti e funzionali in linea con le esigenze di crescita di un moderno Sistema Paese tramite con soluzioni acquisite a consumo presso terzi

6 Potenziali criticità del cloud computing
esternalizzazione e delocalizzazione dei sistemi e dei servizi: perdita del controllo diretto ed esclusivo dei dati aspetti normativi in merito alla filiera delle responsabilità e all'importanza degli accordi di servizio

7 Potenziali criticità del cloud computing
eventuali guasti subiti dal service/platform/infrastructure provider possono causare l'inaccessibilità o la perdita dei dati anche i guasti alla rete possono determinare l'indisponibilità dei dati l'utilizzo di tecnologie proprietarie da parte del fornitore di servizi potrebbe determinare problemi nel cambiare il fornitore stesso

8 Potenziali criticità del cloud computing
conservazione dei dati in luoghi geografici differenti risorse noleggiate a utenza multipla e mutevole sicurezza informatica dei dati

9 Indicazioni per l’utilizzo consapevole
del cloud computing ponderare prioritariamente rischi e benefici dei servizi offerti verificando anche l’affidabilità del fornitore privilegiare i servizi che favoriscono la portabilità dei dati assicurarsi la disponibilità dei dati in caso di necessità

10 Indicazioni per l’utilizzo consapevole
del cloud computing selezionare i dati da inserire nella cloud, verificando dove saranno allocati controllare le clausole contrattuali verificare le politiche di persistenza dei dati legate alla conservazione dei dati

11 Indicazioni per l’utilizzo consapevole
del cloud computing esigere e adottare opportune cautele per tutelare la confidenzialità dei dati formare adeguatamente il personale

12 UNO SGUARDO ALL’EUROPA
Criticità dall’Europa e aspetti normativi di privacy nel cloud computing L’ENISA e la sicurezza dei sistemi di cloud computing Partenariato europeo sul cloud computing La riforma cloud-friendly della privacy

13 ENISA (European Network and Information Security Agency)
L’ENISA ha pubblicato uno studio sui criteri utili a garantire sicurezza e “resilienza” (ossia resistenza a sollecitazioni esterne, anche improvvise) dei sistemi di cloud computing utilizzati (eventualmente) da soggetti pubblici. Nella scelta dell’architettura più indicata e delle garanzie idonee a mantenere il controllo delle informazioni individua alcuni criteri-guida. È un processo di analisi del rischio che si basa sull’analisi di una molteplicità di fattori, normativi e non. Il modello di “community cloud” appare attualmente quello più indicato a tutelare i dati dei cittadini mantenendo alla pubblica amministrazione un grado accettabile di controllo; sono presi in esame, al riguardo, i vincoli attualmente derivanti dalle normative di protezione dati ai fini del trasferimento di dati personali verso Paesi terzi.

14 Criticità dall’Europa e aspetti normativi di privacy nel cloud
PROBLEMI GENERALI CONDIVSI DALLE DPA UE Titolarità del trattamento: - Chi è il titolare? Che ruolo ha il provider? Sicurezza dei dati: - Chi deve garantire la sicurezza dei dati? Trasferimento dei dati - Dove sono i dati? Disponibilità dei dati per fini di giustizia e polizia - Possibilità che i dati siano disponibili in base alle norme locali Attribuzione del rischio e limitazione della responsabilità -Chi è il responsabile della perdita dei dati? -Chi della mancata disponibilità del servizio?

15 Criticità dall’Europa e aspetti normativi di privacy nel cloud
NELLO SPECIFICO Il contratto di cloud deve definire: - Ruoli, responsabilità, normativa applicabile, penali, etc; - Dove sono i dati trattati e le specifiche misure adottate per rispettare la normativa applicabile; - Come il fornitore del servizio garantisce che i propri sistemi proteggano i dati nella loro consapevolezza e consistenza; - Quali attività il fornitore del servizio affida, eventualmente, a sub fornitori e il livello di protezione sia almeno equivalente a quello richiesto dal cliente; - Possibilità di verificare il rispetto delle norme da parte di terzi.

16 Criticità dall’Europa e aspetti normativi di privacy nel cloud
Le condizioni contrattuali: in UK un gruppo di ricercatori di varie università inglesi ha pubblicato un articolo che esamina le condizioni contrattuali offerte dai principali fornitori di servizi di “cloud computing”. Emergono alcuni elementi preoccupanti: presenza di ampie clausole di esclusione della responsabilità ambiguità sulla localizzazione dei servizi diversità degli approcci relativi alla conservazione ulteriore dei dati ed alle misure di sicurezza (legata anche alla diversa tipologia dei servizi offerti). Differenze vengono segnalate anche fra i soggetti con sede in UE e quelli extra-UE (i primi appaiono maggiormente garantisti anche in termini di protezione dati).

17 Criticità dall’Europa e aspetti normativi di privacy nel cloud
2. problemi ad individuare la filiera delle responsabilità 3. certezza del diritto (dove la “nuvola” tocca terra: da qualche parte deve pur avvenire). La Direttiva ancora in vigore detta tre criteri territoriali: stabilimento del titolare, luogo degli strumenti utilizzati, stabilimento del responsabile. Se vi è coesistenza di più leggi, il titolare deve conformarsi alla legge in ogni sede (v. WP29 e criterio del degree of involvement, criterio funzionale, si applica legge dello stabilimento in cui è effettivamente riconducibile il trattamento); Trasferimento di dati extra UE, lecito verso paesi che hanno livello adeguato. Altrimenti possibile se: consenso; clausole standard; schemi contrattuali tipo; binding corporate rules; safe harbor.

18 Criticità dall’Europa e aspetti normativi di privacy nel cloud
4. trasparenza per gli utenti, completezza informativa e consenso; 5. data minimization, solo i dati effettivamente necessari devono essere trattati attraverso tecnologie di cloud; 6. diritto dell’interessato a uscire dal trattamento; 7. diritto all’oblio (non assoluto, ma relativo), si tratta di garantire più che la cancellazione del dato la sua disponibilità in forma anonima. (Intervento della Kroes e comunicazione della Commissione sulla futura direttiva 95/46); 8. portabilità dei dati personali, ad es. nella migrazione da un cloud all’altro; 9. inversione dell’onere della prova in materi di data retention, sempre in carico al titolare dimostrare la conservazione ulteriore; 10. riformulazione delle deroghe per esigenze pubblicistiche, le limitazioni alle garanzie dell’interessato per esigenze pubblicistiche vanno vanno definite con la massima precisione.

19 Criticità dall’Europa e aspetti normativi di privacy nel cloud
Interessante analisi relativa all’applicabilità delle norme tedesche ed europee in materia di protezione dati per quanto concerne il cloud computing (pubblicata dall’Autorità di PD del Land Schleswig-Holstein). Tale analisi si concentra su: a) titolarità del trattamento, indicando nell’utilizzatore di servizi di cloud computing il titolare del trattamento e, quindi, il soggetto tenuto a verificare l’idoneità dei responsabili ai quali viene affidato il trattamento stesso (ossia le aziende/società che offrono servizi di cloud computing); b) necessità di ricorrere a garanzie contrattuali appare fondamentale, per garantire la trasparenza del trattamento, eventualmente includendo anche le clausole standard approvate dalla Commissione europea per i trasferimenti di dati verso Paesi terzi. Il criterio deve essere quello della “security by transparency” anziché la “security by obscurity” che sembra prevalere. Si suggerisce anche l’intervento di soggetti terzi che certifichino in modo indipendente l’affidabilità dei soggetti che offrono servizi di cloud computing, al fine di facilitare la valutazione ad opera del titolare (iniziative in tal senso sono già presenti in Germania).

20 Criticità dall’Europa e aspetti normativi di privacy nel cloud
Anche l'Autorità svedese per la protezione dei dati dice che chi utilizza servizi cloud rimane il titolare del trattamento, e quindi responsabile dei dati. Nella sua dichiarazione (30 settembre u.s.), afferma che le organizzazioni devono inserire accordi sul trattamento dei dati e condurre una analisi di rischio e vulnerabilità. L‘Autorità ha ispezionato tre organizzazioni per il rispetto della protezione dei dati in modalità cloud, individuando una serie di problemi da risolvere. 1. le organizzazioni che utilizzano i servizi cloud sembrano avere troppa fiducia nel provider cloud; 2. vi è, tuttavia, l'incertezza su ciò che accade ai dati personali quando il contratto finisce; 3. i clienti non sanno dove i server sono e dove sono memorizzati i dati; 4. è importante essere in grado di fornire sufficienti garanzie che i fornitori di cloud adottare le misure di sicurezza necessarie per proteggere i dati personali; 5. formulazioni poco chiare nei contratti che consentono al provider cloud di modificare unilateralmente i termini è un esempio di scarsa compliance.

21 Riforma cloud-friendly della privacy
Il 25 gennaio 2012, dopo oltre due anni di “cantiere aperto” e di confronto con i diversi stakeholders, la Commissione europea ha presentato ufficialmente le proposte di revisione delle norme sulla protezione dei dati personali: Proposta di Regolamento (sostitutivo della Direttiva 95/46/CE); Proposta di Direttiva (sostitutiva della Decisione 2008/977/GAI, ossia la Decisione quadro sulla protezione dati nell’ex III pilastro Impostazione di fondo della nuova disciplina: nel mondo globalizzato, interconnesso e del cloud computing, la protezione dei dati si spingerà oltre i confini europei (art. 3, 2 della proposta di Regolamento). Altre norme relative al cloud nella proposta di Regolamento

22 Partnership europea sul cloud
L’Europa sta lavorando da mesi per definire una Strategia comune sul cloud, che consentirà di raggiungere diversi obiettivi e permetterà all’Europa di non essere solo cloud-friendly, ma soprattutto cloud-active. Uno dei primi provvedimenti, annunciati il 26 gennaio 2012 al World Economic Forum di Davos dalla Commissaria Kroes,22 è la creazione di una Partnership europea sul cloud tra istituzioni pubblica e industria volta a individuare le esigenze comuni per la fornitura di servizi cloud. L'iniziale lavoro della Partnership creerà una solida base comune per gli appalti cloud da parte delle autorità pubbliche. In principio gli appalti potrebbero ancora essere condotti separatamente, successivamente si potrebbe passare a un approccio comune, pubblico-privato, a livello locale, regionale o europeo, che permetterebbe una maggiore condivisione delle risorse e infine anche acquisti congiunti.

Scaricare ppt "Privacy e cloud computing: un connubio difficile ma non impossibile"

Presentazioni simili

Codici etici e programmi aziendali di etica

Codici etici e programmi aziendali di etica
Renzo Marin – CRC Veneto Progetto CRC-CNIPA

Renzo Marin – CRC Veneto Progetto CRC-CNIPA
Bologn Che cosè il Certificato Europeo in Psicologia Ottobre, 2010.

Bologn Che cosè il Certificato Europeo in Psicologia Ottobre, 2010.
COSA SUCCEDE IN CLASSE ?. TUTTO INIZIA DA QUI: IL PARLAMENTO APPROVA LA LEGGE 133.

COSA SUCCEDE IN CLASSE ?. TUTTO INIZIA DA QUI: IL PARLAMENTO APPROVA LA LEGGE 133.
Fondo Integrativo Speciale per la Ricerca 13 settembre 2004

Fondo Integrativo Speciale per la Ricerca 13 settembre 2004
Politiche sociali Lavinia Bifulco.

Politiche sociali Lavinia Bifulco.
ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,

ValutaPASSI Gruppo Tecnico PASSI Nazionale Centro Nazionale di Epidemiologia, Sorveglianza e Promozione della Salute (ISS) Incontro Coordinamento Nazionale,
DIRITTO ALLA RISERVATEZZA E TRATTAMENTO DATI PERSONALI

DIRITTO ALLA RISERVATEZZA E TRATTAMENTO DATI PERSONALI
Per una Agenzia di Valutazione Civica www.valutazionecivica.it Cittadinanzattiva - Direzione Nazionale Intervento di Angelo Tanese Roma 22 maggio 2010.

Per una Agenzia di Valutazione Civica Cittadinanzattiva - Direzione Nazionale Intervento di Angelo Tanese Roma 22 maggio 2010.
A.A. 2006-2007 Corso di Politica Sociale Maria Letizia Pruna Nona lezione Le politiche del lavoro.

A.A Corso di Politica Sociale Maria Letizia Pruna Nona lezione Le politiche del lavoro.
1 Progettare e operare nella scuola dellautonomia Attività di formazione del personale del sistema scolastico Tratto da LA SCUOLA per lo Sviluppo Programma.

1 Progettare e operare nella scuola dellautonomia Attività di formazione del personale del sistema scolastico Tratto da LA SCUOLA per lo Sviluppo Programma.
1 PROGRAMMARE SIGNIFICA COORDINARE LINTERVENTO DELLE AMMINISTRAZIONI PUBBLICHE AL FINE DI CONSEGUIRE GLI OBIETTIVI STABILITI NELLA FASE DI DEFINIZIONE.

1 PROGRAMMARE SIGNIFICA COORDINARE LINTERVENTO DELLE AMMINISTRAZIONI PUBBLICHE AL FINE DI CONSEGUIRE GLI OBIETTIVI STABILITI NELLA FASE DI DEFINIZIONE.
Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.

Claudia Gistri Area Ambiente e Sicurezza CERTIQUALITY S.R.L. IL SISTEMA DI EMISSION TRADING PER I GAS AD EFFETTO SERRA Milano, 8 Marzo 2005 La verifica.
I nuovi modelli di governance locale: I Sistemi turistici locali

I nuovi modelli di governance locale: I Sistemi turistici locali
L’offerta di microdati da parte dell’Istat

L’offerta di microdati da parte dell’Istat
Banche e Aziende ICT: esploriamo nuovi orizzonti

Banche e Aziende ICT: esploriamo nuovi orizzonti
Le strategie di collaborazione

Le strategie di collaborazione
PRINCIPI CONSOLIDATI DEL PROCESSO DI VALUTAZOIONE i) Qualità. I progetti selezionati per l'erogazione di un finanziamento devono dimostrarsi di elevato.

PRINCIPI CONSOLIDATI DEL PROCESSO DI VALUTAZOIONE i) Qualità. I progetti selezionati per l'erogazione di un finanziamento devono dimostrarsi di elevato.
LA POLITICA SPAZIALE EUROPEA: POSIZIONE ITALIANA Ancona, 20 maggio 2005 Ing. Augusto Cramarossa ASI - Unità Strategie e Rapporti Nazionali e Internazionali.

LA POLITICA SPAZIALE EUROPEA: POSIZIONE ITALIANA Ancona, 20 maggio 2005 Ing. Augusto Cramarossa ASI - Unità Strategie e Rapporti Nazionali e Internazionali.
1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.

1 La protezione dei dati D.lgs. 196/2003 Il Codice in materia di Protezione dei dati personali.

Presentazioni simili

Annunci Google