Download pdf - Stefano Ricci, Privacy & Cloud Computing

Privacy & Cloud Compu1ng

La protezione dei da1 personali nell’era del Cloud Compu1ng


Cosa si intende per Cloud Compu0ng?


Quali sono le ques0oni in tema di Privacy che bisogna affrontare quando ci si confronta con servizi di Cloud Compu0ng?

q  Titolarità del tra<amento: cosa cambia nella nuvola?

q  Trasferimento dei da1 personali all’estero: cosa

prevede il codice? q  Sicurezza dei da1: sono ancora sufficien0 le

tradizionali misure di sicurezza?



I soggeA previs1 dal codice della privacy.

•  Titolare del traAamento

•  Responsabile del traAamento

•  Incaricato del traAamento

•  Interessato

Titolarità del tra<amento

I soggeA coinvol1 in un servizio di cloud compu1ng:

•  Fornitore del servizio (Cloud Service Provider -‐ CSP)

•  Cliente del CSP (Utente) – che può essere Titolare di altri traAamen0 o Interessato

Cosa si intende con tra<amento?

•  Qualunque operazione o complesso di operazioni, effeAua0 anche senza l'ausilio di strumen0 eleAronici, concernen0 la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'u0lizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di da0, anche se non registra0 in una banca di da0.


Le ipotesi che si possono presentare in un servizio di Cloud Compu1ng sono tre:

1.  L’Utente è un privato che effeAua il traAamento per finalità personali (art. 5 comma 3). In questo caso il CSP è 0tolare del traAamento dei suoi da0 e l’Utente sarà l’Interessato.

2.  Autonomia nella 0tolarità del traAamento, CSP e utente sono entrambi 0tolari. Ciò accade quando c’è una effeYva, e non solo formale, libertà decisionale nel definire i caraAeri essenziali del traAamento da parte di entrambi e il flusso di informazioni verrà necessariamente qualificato in termini di trasmissione di da0 fra autonomi 0tolari del traAamento.

3.  Un 0tolare e un responsabile, rispeYvamente, il cliente ed il fornitore. Lo scambio di da1 potrà essere più semplicemente ricondo<o ad un flusso di informazioni interno alle modalità di tra<amento.


Trasferimento dei da1 personali all’estero: cosa prevede il Codice Privacy?

Trasferimento dei da1 all’estero, tre ipotesi:

•  Trasferimento di da0 verso paesi dell’UE (art. 42);

•  Trasferimento consen00 verso Paesi terzi (art. 43);

•  Altri trasferimen0 consen00 (art. 44): l’accordo Safe Harbor e le Binding Corporate Rules.


Sicurezza dei da1: sono ancora sufficien0 le tradizionali misure di sicurezza?

Misure di sicurezza per

Conservazione dei da0

Trasferimento dei da0


Le misure minime di sicurezza previste dal Codice

a)  Auten0cazione informa0ca b)  Adozione di procedure di ges0one delle credenziali di

auten0cazione c)  U0lizzazione di un sistema di autorizzazione d)  Aggiornamento periodico dell’individuazione

dell’ambito del traAamento consen0to ai singoli incarica0 e addeY alla ges0one o alla manutenzione degli strumen0 eleAronici

e)  Protezione degli strumen0 eleAronici e dei da0 rispeAo a traAamen0 illeci0 di da0, ad accessi non consen00 e a determina0 programmi informa0ci

f)  Adozione di procedure per la custodia di copie di sicurezza, il ripris0no della disponibilità dei da0 e dei sistemi


Le misure minime di sicurezza previste dal codice sono sufficien0 per tutelare i da0 personali nei servizi di Cloud Compu0ng? Violazione di da0 personali (Art. 32-‐bis) Il cd. “Data breach”.

Le misure di sicurezza idonee nei servizi di Cloud Compu1ng


Inves1gazioni digitali e risorse informa1che

Il controllo dei lavoratori


Qual è la norma1va di riferimento? •  D.Lgs. 30-‐6-‐2003 n. 196, art. 114 (Controllo a

distanza) che rimandano allo Statuto dei lavoratori; •  L. 20-‐5-‐1970 n. 300 (Statuto dei Lavoratori), arA. 4

(impian0 audiovisivi) e 8 (divieto di indagini sulle opinioni);

•  Prov. Garante Privacy 1 marzo 2007 “Linee guida in materia di traAamento di da0 personali di lavoratori per finalità di ges0one del rapporto di lavoro in ambito pubblico”;

•  Prov. Garante Privacy 27 novembre 2008 “Misure e accorgimen0 prescriY ai 0tolari dei traAamen0 effeAua0 con strumen0 eleAronici rela0vamente alle aAribuzioni delle funzioni di amministratore di sistema”.


Due interessi si contrappongono: •  Quello del datore di lavoro al controllo dei dipenden0 e all'uso

che viene faAo delle aArezzature di lavoro affidate per esclusivi fini aziendali (magari, con l'esplicitazione di un divieto datoriale di installazione di file personali sull'hard-‐disk aziendale o di connessioni telema0che non autorizzate);

•  Quello del lavoratore alla protezione di una sua sfera di riservatezza anche sul luogo di lavoro (specie ove non aYnente all'espletamento della prestazione), e dunque alla tutela della riservatezza dei da0 personali inseri0 nel computer d'ufficio (e proteY da propria password nella piena disponibilità del dipendente).


CONCETTO DI CONTROLLO

•  Il controllo può essere spaziale (a distanza) ma anche temporale (nel tempo)

•  Può essere effeAuato con strumen1 e modalità tradizionali o con/su strumen1 informa1ci.


SI INDIVIDUANO TRE TIPI DI CONTROLLI

a.   IllegiAmi o intenzionali – Quei controlli pos0 in

essere per finalità di controllo a distanza dei lavoratori (art 4 stat. Lavoratori) e quelli sulle opinioni poli0che e religiose o sindacali del lavoratore (art. 8 stat. Lavoratori).

b.   LegiAmi o preterintenzionali – Controlli per esigenze produYve o organizza0ve o di sicurezza sul lavoro, previo accordo con le rappresentanze sindacali (art. 4 stat. Lavoratori).

c.   Difensivi -‐ Controlli a tutela del patrimonio aziendale, pos0 in essere per prevenire o reprimere l’u0lizzo scorreAo dei beni aziendali da parte del lavoratore (Cass. Pen., 3 aprile 2002, n. 4746).


L’intervento del Garante: Provvedimento del Garante Privacy 1 marzo 2007 -‐ Le linee guida del Garante per posta ele<ronica e internet

Il Garante ha stabilito che: •  I datori di lavoro devono adoAare e pubblicare un disciplinare interno •  I datori di lavoro priva0 e pubblici devono indicare chiaramente le

modalità di uso degli strumen0 eleAronici messi a disposizione e se e in che misura e con quali modalità vengono effeAua0 controlli;

•  A seconda dei casi andrebbe ad esempio specificato: se determina0 comportamen0 non sono tollera0 rispeAo alla "navigazione" in Internet (ad es., il download di solware o i file musicali), oppure alla tenuta di file nella rete interna; in quale misura è consen0to u0lizzare anche per ragioni personali servizi di posta eleAronica o di rete, ecc…

•  se, e in quale misura, il datore di lavoro si riserva di effeAuare controlli in conformità alla legge, anche saltuari o occasionali, indicando le ragioni legiYme –specifiche e non generiche– e le rela0ve modalità in funzione di ciò devono-‐ adoAare e pubblicare un disciplinare interno

•  In ogni caso tuY i traAamen0 devono rispeAare i principi di: a) necessità, b) corre<ezza, c) per1nenza e non eccedenza


L’intervento del Garante: Provvedimento del Garante Privacy 1 marzo 2007 -‐ Le linee guida del Garante per posta ele<ronica e internet

In par0colare il Garante ha specificato che: •  deve essere per quanto possibile preferito un controllo

preliminare su da0 aggrega0 (anonimi), riferi0 all'intera struAura lavora0va o a sue aree;

•  il controllo anonimo può concludersi con un avviso generalizzato; in assenza di successive anomalie non è di regola gius0ficato effeAuare controlli su base individuale; va esclusa l'ammissibilità di controlli prolunga0, costan0 o indiscrimina0;

•  non può ritenersi consen0to il traAamento effeAuato mediante sistemi hardware e so8ware preordina0 al controllo a distanza, grazie ai quali sia possibile ricostruire a volte anche minuziosamente l'aYvità di lavoratori.

Info [at] htlaw.it -‐ Grazie