Cloud computing: contratti e garanzie per la privacy
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Cloud computing:
contratti e
garanzie per la
privacy
Le nuove disposizioni contrattuali europee garantiscono maggiore
protezione dei dati delle aziende che utilizzano servizi cloud. L’approccio
Microsoft consente alle organizzazioni di adottare servizi cloud senza
preoccupazioni o di scegliere una soluzione on-premise ugualmente
efficace.
DALLE APPLICAZIONI “ON PREMISE” collaborazione con Top Legal, una delle più
ALL’INFORMATICA “AS A SERVICE” importanti riviste italiana nel settore legale.
Numerose aziende hanno compiuto le prime
esperienze con i servizi cloud e sono oggi in LO SCENARIO CLOUD: TIPOLOGIE,
grado di valutarne concretamente i benefici.
VANTAGGI E OPPORTUNITÀ DI
Restano però vive alcune forme di diffidenza
EVOLUZIONE
in merito agli aspetti contrattuali conseguenti
L’introduzione alle tematiche cloud è curata
al passaggio dal tradizionale modello di
da Carlo Iantorno. Il Chief Security Advisor di
concessione in licenza del software ai nuovi
Microsoft ha riassunto i principi del cloud
applicativi in outsourcing “as a service”, oltre
computing nella condivisione di dati e risorse
che problematiche relative alla protezione dei
di calcolo, nella semplice scalabilità delle
dati sensibili. Questi aspetti sono oggi in via
risorse in funzione dell’effettiva domanda,
di risoluzione grazie all’intervento dei
nell’utilizzo autonomo in modalità self-service
legislatori e all’impegno dei fornitori di servizi
da parte delle diverse unità funzionali di
cloud.
un’organizzazione, e nella contabilizzazione
Il nuovo Microsoft Innovation Campus a dei servizi basata sull’effettivo utilizzo e
Milano ha recentemente ospitato un separata dagli altri costi relativi
convegno dedicato alle problematiche di all’infrastruttura informatica.
natura contrattuale e problematiche inerenti
la privacy nell’offerta dei servizi cloud
computing. L’evento è stato organizzato inApprocci contrattuali e nuove
definizioni in ambito privacy: un evento
per la cloud
Nel corso di questo convegno giuristi d'impresa,
General Counsel, avvocati e Chief Security Officer
hanno dibattuto le implicazioni contrattuali del
procurement di tecnologie Cloud da parte delle
medie e grandi organizzazioni.
Scopri online le informazioni e gli atti del convegno
Le tipologie dei servizi cloud si caratterizzano contrattuali, sulle normative per la protezione
come Infrastructure as a Service (IaaS) dove dei dati personali, sulle certificazioni e sulle
una macchina virtuale nel data center viene responsabilità dei cloud provider”, afferma
resa disponibile per le applicazioni, come Iantorno. “In questo scenario, Microsoft è
Platform as a Service (PaaS) dove applicazioni impegnata negli investimenti infrastrutturali,
personalizzate trovano accesso alle differenti nella promozione di una nuova cultura
risorse del data center, come Software as a informatica, negli incentivi all’adozione della
Service (Saas) dove le applicazioni sono cloud, nella protezione della proprietà dei
ospitate nella cloud. beni digitali e nel supporto alla
modernizzazione della pubblica
Iantorno ha poi evidenziato le differenze fra amministrazione”.
una cloud pubblica offerta da un fornitore e
utilizzata tramite sottoscrizione a singoli INQUADRAMENTI GIURIDICI E
servizi; una cloud privata, dove DIFFERENZE DI APPROCCIO
l’organizzazione sfrutta un unico dominio non CONTRATTUALE
condiviso con altri clienti; e infine una cloud La discussione entra nel vivo con l’intervento
ibrida dove i servizi “commodity” risiedono su di Alessandro Mantelero, Ricercatore di
cloud pubblica e le applicazioni più critiche Diritto Commerciale nel Dipartimento di
vengono eseguite su cloud privata per Ingegneria Gestionale e della Produzione
garantire la massima protezione dei dati. Al presso il Politecnico di Torino. Secondo
centro dell’attenzione si trovano i benefici del Mantelero, il passaggio dai termini giuridici
cloud computing rispetto ai modelli IT che regolamentano i tradizionali asset
tradizionali: spese operative inferiori, proprietari di un’organizzazione al concetto
flessibilità e scalabilità, sicurezza e continuità “as a service” risulta determinante per
operativa, maggiore capacità di innovazione l’evoluzione dei contratti che regolano la
ed eliminazione delle barriere per l’accesso a materia. “Oggi è importante l’accessibilità alle
servizi applicativi avanzati che offre alle risorse e non la loro detenzione fisica. La
piccole imprese opportunità analoghe alle naturale conseguenza di questo nuovo
grandi organizzazioni. La conclusione va a modello è la riduzione del controllo diretto
sfociare sulle questioni normative e sul ruolo da parte di un’azienda che sceglie
di aziende come Microsoft: “Oggi è l’outsourcing di alcune funzioni”, sottolinea
necessario affrontare nuove sfide sui livelli di Mantelero. Per questa ragione “Il contratto
servizio e sulle relative disposizioni
2I servizi cloud computing hanno introdotto
un nuovo modello di outsourcing e dopo
un’iniziale fase di incertezza la legislazione
internazionale permette oggi ai migliori
fornitori di definire contratti adeguati a
garantire livelli di servizio pienamente
aderenti alle esigenze di sicurezza e
protezione dei dati.
che regola il servizio cloud assume notevole standardizzati e semplificati facendo
importanza e richiede stretta collaborazione riferimento con preferenza alla legge ed alla
fra le parti per regolamentare al meglio un giurisdizione nazionale del fornitore, che
rapporto continuativo. spesso costituisce la parte con maggior forza
La qualità del contratto proposto è inoltre un contrattuale.
importante indice della serietà dei fornitori di
servizi cloud”.
Alessandro Mantelero sottolinea poi come i
servizi di cloud computing si differenzino dal L’ORIENTAMENTO EUROPEO E
tradizionale outsourcing in specie per la L’APPLICABILITÀ DELLA LEGGE
centralità assunta dagli strumenti produttivi e STRANIERA IN TEMA DI PRIVACY
la concomitante scarsa rilevanza della
Il delicato tema del trattamento dei dati
componente umana, nonché per l’erogazione sensibili sulla cloud è affrontato da Luca
“uno a molti” , da cui consegue la riduzione Bolognini, Presidente dell’Istituto Italiano per
delle possibilità di negoziazione delle clausole la Privacy. La figura giuridica del responsabile
e la necessaria introduzione di livelli di sul trattamento dei dati può assumere
servizio predefiniti, in grado di soddisfare la contorni incerti qualora si passi da una cloud
maggioranza dei fruitori. I servizi cloud sono privata a una pubblica o ibrida, dove le
spesso regolati da modelli di contratto di tipo informazioni risiedono su risorse condivise,
misto che uniscono elementi riconducibili geograficamente distribuite e potenzialmente
all’appalto ed al contratto di licenza. La accessibili da soggetti terzi. Bolognini ritiene
complessità insita nel servizio porta poi
corretta e naturale la scarsa negoziabilità dei
spesso all’integrazione del contratto con
contratti sui servizi cloud, ma evidenzia la
allegati tecnici volti a definire le garanzie sui
necessità di definire con maggior precisione
livelli di servizio, che però talvolta possono
le responsabilità in merito alla protezione
risultare di difficile lettura. Mantelero rileva delle informazioni affidate a un fornitore
poi come la maggioranza dei contratti per esterno all’organizzazione cliente. L’ovvia
servizi cloud prestino scarsa attenzione ai difficoltà nel compiere verifiche periodiche sui
rapporti esistenti nella filiera coinvolta dal data center in merito al trattamento dei dati e
servizio, sia essa su lato fornitore o utente alle politiche di sicurezza porta a prendere
finale della cloud. Al contrario
atto che il provider di servizi mantiene
dell’outsourcing tradizionale, nei servizi cloud autonomia decisionale sulle policy di security.
i contratti vengono generalmente
3Le clausole contrattuali standard (o Model Clauses)
indicate dalla Commissione Europea e la possibilità
di effettuare una triangolazione contrattuale fra
soggetti europei ed extraeuropei garantiscono alle
aziende la corretta definizione delle responsabilità
inerenti il trattamento dei dati, trasmessi e
archiviati, anche su data center esterni all'Unione
Europea.
“Sul tema della legittimità nel trattamento dei nostro caso sarebbero il Cliente e il Fornitore
dati su piattaforme cloud, il Garante della cloud), e inoltre si introduce il concetto di
Privacy italiano ha pubblicato indicazioni che certificazione privacy: i controlli sulla qualità e
sottolineano l’importanza della scelta del sul rispetto delle misure di data protection
soggetto fornitore”, dichiara Luca Bolognini. potrebbero essere così operati, nella struttura
“Il Garante esorta le organizzazioni a valutare del cloud provider, da un soggetto terzo,
attentamente il livello di affidabilità e solidità competente, indipendente, in grado di
dei cloud provider, non solo in ambito certificarli.
tecnologico ma anche e soprattutto sul piano
economico e organizzativo”. Altra importante problematica discussa da
Luca Bolognini riguarda la circolazione al di
Sorgono poi alcuni problemi di fuori dell’Unione Europea dei dati, con
interpretazione delle normative europee in eventuale coinvolgimento di una filiera di
merito all’inquadramento del cloud provider fornitori o più sedi internazionali di un unico
all’interno delle categorie di data controller cloud provider. All’interno dell’Unione
(titolare), data processor (responsabile) o Europea si adotta di norma la legislazione in
“service controller” alla stregua degli materia di misure di sicurezza del paese
operatori telefonici, mentre risulta difficile per erogante il servizio cloud. La soluzione
un’organizzazione esercitare i poteri/doveri di probabilmente migliore alle istanze di privacy
titolare del trattamento, in particolare quelli e tutela dei dati viene oggi dall’adozione
di decisione sulla politica di sicurezza dei dati delle "clausole modello" (“Model Clauses”)
quando questi vengono affidati a un fornitore che regolano il trasferimento dei dati verso
di servizi cloud, che assumerebbe sistemi informatici fuori dalla UE . I contratti
teoricamente il ruolo di responsabile esterno per servizi cloud che includono le clausole
del trattamento dati. Per fronteggiare questi modello garantiscono quindi l’adozione di
due problemi, d’inquadramento e di procedure per la protezione dei dati personali
controllo, Bolognini auspica l'approvazione all’interno di data center collocati in Paesi
definitiva del nuovo Regolamento privacy terzi. La Commissione Europea nella bozza di
europeo: nell'attuale bozza presentata dalla regolamento ha anche sancito l’obbligo da
Commissione, è prevista la possibilità per due parte del provider di informare
autonomi titolari di spartirsi contrattualmente tempestivamente le authority e gli interessati
le responsabilità di un medesimo trattamento a cui si riferiscono i dati nel caso si siano
di dati (si parlerà di “joint controllers”, che nel verificati “data breach” ossia violazioni
4I servizi cloud Microsoft e le clausole modello
I servizi cloud Microsoft e le clausole
Office 365 è la prima e unica piattaforma a offrire
modello
primari standard di privacy e sicurezza delle
Office 365 è la per
informazioni primai clienti
piattaforma
che aoperano
offrire primari standard di
nell'Unione
privacy
europea e sicurezza delle informazioni
e negli Stati per i clienti
Uniti. Nell'ambito delche operano
proprio
nell'Unione europea e negli
impegno contrattuale Stati
con Uniti. Nell'ambito
i clienti, Microsoftdel proprio
impegno contrattuale
sottoscriverà con i previsti
i requisiti clienti, Microsoft sottoscriverà
per le Clausole i
modello
requisiti previsti per le Clausole modello
UE, che consentono ai clienti di certificare la UE, che consentono ai
clienti di certificare
conformità la conformità
alla severa alla severa
Direttiva Direttiva sulla
sulla protezione dei
protezione dei dati della Commissione europea e alla legge
dati della Commissione europea e alla legge "Health
"Health Insurance Portability and Accountability Act" (HIPAA) in
Insurance Portability and Accountability Act" (HIPAA) in
vigore negli Stati Uniti.
vigore negli Stati Uniti.
indebite dei dati (cosa che già avviene per i delle risorse e massimo tempo di disponibilità
fornitori di servizi di comunicazione). delle applicazioni.
Bolognini conclude riconoscendo come
Microsoft abbia adottato le clausole modello “Microsoft ritiene che il cloud computing
all’interno dei propri contratti per servizi costituisca una modalità di utilizzo del
cloud e indicando nella triangolazione di prodotto software innovativa ed efficace per i
contratti la soluzione alle istanze di privacy clienti”, afferma de Sanctis. “Ferma restando
nel caso il servizio coinvolga soggetti europei quindi la centralità del software applicativo
ed extraeuropei: la filiale europea del risulta naturale che le caratteristiche
fornitore assume così il ruolo di responsabile contrattuali relative alla licenza d’uso
del trattamento dei dati, mentre il cliente rimangano prevalenti all’interno dei nostri
sottoscrive anche le clausole modello con il contratti per i servizi cloud. In questo quadro
soggetto extraeuropeo, obbligandolo alla normativo, Microsoft è orgogliosa di offrire le
conformità con la normativa europea. migliori garanzie oggi possibili nell’ambito
della privacy”.
L’ESPERIENZA DI MICROSOFT NEI Il data center Microsoft di Dublino offre i
CONTRATTI PER SERVIZI CLOUD servizi cloud alle aziende europee con il
Marco de Sanctis, Direttore Legal & supporto del secondo centro dati di
Corporate Affairs, Southern Europe sintetizza Amsterdam. La legge applicabile dei contratti
l’approccio di Microsoft alle problematiche è quella irlandese e le modalità di
contrattuali e alle garanzie sui livelli di sottoscrizione e utilizzo dei servizi cloud sono
servizio. I servizi cloud garantiscono oggi i disegnate per consentire un’immediata
massimi vantaggi per i clienti, offrendo risorse fruizione del servizio da parte delle aziende
di elaborazione dati in aggiunta al che scelgono la cloud Microsoft. I contratti
tradizionale utilizzo di software sono differenziati in funzione delle
regolamentato dalla disciplina delle licenze dimensioni delle organizzazioni che
d’uso. Le aziende clienti gestiscono in usufruiscono dei servizi cloud: per rispondere
autonomia le modalità di utilizzo del servizio alle esigenze di massima riduzione dei costi
applicativo e i relativi risultati. Risulta quindi espresse dalle piccole e medie imprese, i
evidente che il Service Level Agreement livelli di servizio e le funzionalità offerte sono
sancisca il servizio cloud impegnando il standardizzate con logiche di offerta “uno a
fornitore a garantire funzionalità, fruibilità molti”, mentre le grandi aziende possono
beneficiare di una certa flessibilità nelle
5Trust Center Office 365
Trust Center Office 365 fornisce informazioni
approfondite sulle procedure di sicurezza e
sulla privacy per Office 365 ed è stato
recentemente riprogettato in modo da
risultare ancora più accessibile e
comprensibile.
http://trust.office365.com
modalità di erogazione dei servizi, oltre al come da un punto di vista tecnologico i
coinvolgimento della sede centrale Microsoft servizi applicativi cloud debbano
per includere le model clauses europee e la considerarsi più sicuri e affidabili rispetto alla
triangolazione contrattuale fra cliente e sedi maggioranza delle infrastrutture on-premise
Microsoft europee e statunitensi. aziendali. “Nella nostra esperienza presso i
clienti abbiamo rilevato come le aziende
In sintesi, ricorda de Sanctis, tutti i data center incontrino spesso molte difficoltà a
Microsoft che offrono servizi cloud implementare correttamente tutte le policy di
garantiscono la massima protezione dei dati sicurezza”, premette Mauceli. “Garantire livelli
imposta dalle clausole modello europee, a cui di servizio e protezione di dati e applicativi
si aggiungono la conformità agli standard del comporta numerose azioni sui differenti livelli
sistema sanitario degli Stati Uniti (Health dell’infrastruttura e grandi server farm come
Insurance Portability and Accountability Act, quelle utilizzate da Microsoft per i servizi
HIPAA) e i requisiti richiesti dalla normativa cloud sono in grado di implementare le policy
ISO/IEC 27001. I data center mettono inoltre a con maggiore completezza ed efficacia
disposizione delle aziende tutte le rispetto al singolo data center aziendale”.
informazioni utili per valutarne solidità e Mauceli sottolinea come Microsoft abbia
livello di sicurezza, includendo nella cominciato a offrire servizi online dal 1996
documentazione anche l’intera filiera di consolidando continuamente le policy di
soggetti terzi che concorrono al servizio sicurezza dei dati. Le logiche Microsoft per il
cloud di Microsoft. security management cominciano con il
controllo fisico degli edifici dedicati ai data
CLOUD, SICUREZZA E GARANZIE PER center proseguendo con la protezione
perimetrale della rete, con il rigido controllo
LE AZIENDE
degli accessi alle risorse, con la protezione a
La sicurezza fisica e logica, le problematiche
livello applicativo e con una continua
relative alla privacy e la mancanza di un pieno
formazione del personale. La sicurezza è
controllo sull’infrastruttura da parte dei
inoltre parte del processo di sviluppo
responsabili IT sono elementi di
software, formalizzata da Microsoft con le
preoccupazione dimostrata da alcune aziende
regole del proprio Security Development
in merito al cloud computing. Carlo Mauceli,
Lifecycle. La continuità di servizio per le
Direttore Divisione Prevendita Enterprise di
applicazioni cloud è garantita da Microsoft al
Microsoft ha evidenziato nel suo intervento
99,9% e deriva da un framework dedicato al
6Per informazioni sui servizi Cloud
di Microsoft
www.microsoft.com/italy/cloud
Service Continuity Management basato sulle In particolare, le garanzie che Microsoft offre
migliori best practice del settore. Da qui alle aziende sono legate alla
derivano anche le modellizzazioni delle ingegnerizzazione dei criteri di privacy
minacce all’integrità dei dati che vengono all’interno dei prodotti per tutta la durata del
offerte ai clienti Microsoft per analizzare la loro ciclo di vita; all’implementazione delle
sicurezza dei servizi applicativi. tecnologie di privacy mediante progetti
In conclusione, oggi Microsoft ha un predefiniti; all’esecuzione delle best practice
approccio più completo di qualsiasi altra sui temi di privacy globale.
azienda relativamente alle leggi europee su
sicurezza e protezione dei dati.
“Sviluppare strumenti di produttività cloud in grado di soddisfare le esigenze
delle aziende europee significa molto di più che creare semplicemente
applicazioni su un browser
Jean-Philippe Courtois
Presidente di Microsoft International
© 2012 Microsoft Corporation. All rights reserved. 7
This material is for information purposes only.
Microsoft makes no warranties, expressed or implied, in this summary.Puoi anche leggere
