[nexa] Il Garante nella nuvola

Alessandro Mantelero alessandro.mantelero at polito.it
Thu Jun 13 17:10:34 CEST 2013


Il Garante italiano interviene sul cloud, con 
pseudo-vademecum
http://goo.gl/4Zru8

Dei profili giuridici del cloud si parla almeno da tre 
anni, anche sulle riviste giuridiche italiane. Dopo tanta 
attesa ci si aspettava almeno delle indicazioni operative, 
specie per la PA (lo hanno fatto gli US, che non sono 
proprio maniacali in termini di tutela dei dati). Invece, 
bei colori e disegni, con una lista di indicazioni di buon 
senso, ma assai poco operativa.

Leggiamo...
"non sarà però sufficiente, per giustificare una eventuale 
violazione, affermare di non avere avuto possibilità di 
negoziare clausole  contrattuali o modalità di controllo 
più stringenti"... e intervenire con contrattazione 
uniforme sulla base di standard nazionali per la PA?

"Il trasferimento di dati verso gli Stati Uniti, ad 
esempio, può essere facilitato nel caso in cui il cloud 
provider aderisca a programmi di protezione dati come il 
cosiddetto Safe Harbor (letteralmente “porto sicuro”), un 
accordo bilaterale Ue-Usa che definisce regole sicure e 
condivise per il trasferimento dei dati personali 
effettuato verso aziende presenti sul territorio 
americano"... legalmente ineccepibile sul piano formale, 
ma definire il Safe Harbor un accordo che offre regole 
sicure è un atto di fede (non a caso altre autorità in EU 
non hanno la stessa fede!)

"Nessuno lascerebbe in deposito il proprio portafoglio con 
i documenti e lo stipendio alla prima persona incontrata 
al mercato"... se lo scrivesse un mio studente gli 
consiglierei un tono più congruo

"È vero che il cliente spesso non ha capacità di negoziare 
una riformulazione dei “term of use” proposti da chi offre 
i servizi: può però scegliere tra differenti provider"... 
ma se questi termini non rispettano le norme in materia di 
data protection (e questo accade) e dati pubblici vanno 
sulle nuvole, non ci dovrebbe essere qualche autorità che 
se ne occupa?

"È importante per l’utente sapere se i propri dati vengono 
trasferiti ed elaborati da server in Italia, in Europa o 
in un Paese  extraeuropeo. Tale informazione può essere 
determinante per stabilire la giurisdizione e la legge 
applicabile nel caso di controversie
tra l’utente e il fornitore del servizio"... la 
giurisdizione e la legge applicabile nei contratti cloud 
sono definiti con clausole ad hoc di diritto privato 
internazionale

"Un elemento da privilegiare è senz’altro la previsione di 
garanzie di qualità chiare, corredate da penali, che 
pongano a carico del fornitore le eventuali inadempienze o 
le conseguenze di determinati eventi"... vero, ma ditelo a 
quelli che con i cloud provider hanno provato a negoziare 
le clausole e sentite che risposte hanno avuto

Su un punto ha ragione: non bisognerebbe cadere dalle 
nuvole.

Letture suggerite: 
https://cio.gov/cyber-security-2/fedramp/

PS:per il tema dei Big Data aspettiamo il vademecum nel 
2020.


More information about the nexa mailing list