Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Continua l’analisi sulla proposta di un regolamento “per un quadro sul libero flusso di dati non-personali all’interno dell’Unione europea”.

L’obiettivo del regolamento è la liberalizzazione dei flussi di dati. Liberalizzazione che, è bene precisare, sconta due limiti intrinseci alla proposta: da un lato si riferisce ai soli dati non-personali che, per evidente ragioni di coerenza, vengono definiti come “i dati diversi da quelli definiti dall’art. 4 del regolamento UE 2016/679”; dall’altro lato attiene unicamente al movimento dei dati entro i confini dell’Unione europea, mentre lascia inalterati i regimi dettati per gli scambi extra-UE.

La Commissione individua due ostacoli principali alla piena affermazione della libertà di imprese e PA di scegliere il luogo in cui conservare e gestire i propri dati.

Il primo ostacolo è rappresentato dalle ingiustificate restrizioni alla localizzazione dei dati imposte dalle autorità pubbliche degli Stati membri. Le ragioni che negli anni hanno spinto i diversi Stati a imporre l’archiviazione a livello locale dei dati delle proprie imprese o PA risiede principalmente in ragioni legate alla maggiore sicurezza e al più facile controllo da parte delle autorità nazionali. Si pensi ad esempio alle misure di conservazione dei dati in materia finanziaria, di contabilità e bilancio delle imprese previste da Germania, Danimarca, Belgio e altri stati nord europei, che richiedono l’archiviazione entro i confini dello stato membro. O anche ai dati inerenti alle vincite e alle transazioni in materia di gioco d’azzardo che stati come Bulgaria, Polonia e Romania impongono di conservare in territorio nazionale. Inoltre, anche ove non siano espresse specifiche restrizioni territoriali nazionali, la prassi imprenditoriale e il sentimento comune hanno comunque portato a privilegiare una conservazione localizzata dei dati, rinunciando alle alternative proposte oltre-confine.

Il secondo ostacolo alla liberalizzazione, invece, deriva dalle limitazioni del mercato privato che, attraverso le c.d. pratiche di vendor-lock in, impediscono la portabilità dei dati tra sistemi informatici. Tale diffuso fenomeno commerciale nasce dalla volontà dei fornitori di creare un rapporto di dipendenza artificiosa tra il cliente e i beni e servizi da essi forniti. Il cliente viene posto nella condizione di non poter acquistare beni e servizi concorrenti, senza che il passaggio di fornitore comporti il sostenimento di significativi oneri economici e riorganizzativi. Questa sorta di “fidelizzazione forzata” viene attuata sia attraverso l’adozione da parte del fornitore di tecnologie o standard diversi rispetto a quelli utilizzati dai concorrenti; sia attraverso la previsione di condizioni contrattuali particolarmente penalizzanti in caso di passaggio.

Per mettere un freno alla diffusione di tali pratiche e disposizioni, la Commissione, con la proposta di regolamento, intende affrontare le problematiche attraverso quattro linee d’azione.

In primo luogo, viene introdotto il generale principio di libera circolazione dei dati tra gli Stati membri, che garantisce alle imprese di poter scegliere liberamente il luogo dove trattare o conservare i dati. Restrizioni normativamente previste dovranno essere attentamente scrutinate e saranno legittimate solo in forza di esigenze di sicurezza pubblica e nazionale.

In secondo luogo, nell’intento di rassicurare i legislatori nazionali, viene garantito che le autorità competenti avranno accesso ai dati archiviati o elaborati in un altro Stato membro alle medesime condizioni di accesso garantite sul territorio nazionale.

In terzo luogo, la proposta incoraggia l’elaborazione in autoregolamentazione di codici di condotta che agevolino le condizioni di portabilità e facilitino quindi il cambio, per esempio, di fornitore di servizi di cloud. Si cerca quindi anche per i dati non-personali di costituire una sorta di “diritto alla portabilità”, alla pari di quanto già espresso dal Regolamento privacy con riferimento ai dati personali. L’esigenza, cioè, di assicurare che la libertà di scelta del cliente non solo sia presente al momento iniziale del rapporto, ma sia anche mantenuta e resa tecnicamente possibile in corso di esecuzione.

Infine, viene istituito per ciascuno Stato membro un punto di contatto unico, al fine di garantire l’effettiva applicazione delle nuove norme sul libero flusso dei dati non personali.

In conclusione, la proposta di regolamento appare indubbiamente indirizzata in primis a imprese e pubbliche amministrazioni, con un impatto decisamente inferiore per i singoli cittadini. Tuttavia, se letta alla luce e in coordinamento con il quadro normativo europeo in materia di dati, la proposta acquista una rilevanza di carattere più generale. Infatti, proprio grazie alla nuova formulazione, si verrebbe a conseguire un generale consolidamento di alcuni dei principi già sanciti dal Regolamento privacy, come quello di libera circolazione e di portabilità dei dati, attraverso un ampliamento del loro raggio d’azione.

Presentiamo qui l’intervista a Giusella Finocchiaro pubblicata sulla Newsletter di LepidaSpa di giugno 2016.

Il Cloud Computing nell’ambito della PA continua a crescere. Si stanno predisponendo tutti gli strumenti per poter razionalizzare i comparti IT della PA e offrire servizi altamente performanti, ma in Europa il Cloud Computing sta vivendo una serie di criticità legate alla gestione e utilizzo di dati sensibili e alla mancanza di chiarezza riguardo la gestione dei dati.

Data la spinosa questione, abbiamo chiesto un parere a Giusella Finocchiaro Ordinario di Diritto privato e di Diritto di Internet presso l’Università di Bologna, Avvocato in Bologna. “Il cloud, tecnologia ormai largamente diffusa in diversi settori, è destinato a diventare la nuova struttura portante di Internet, ma accanto ai particolari benefici in termini di disponibilità ed elasticità di risorse sorgono alcune rilevanti problematiche connesse alla sicurezza dei dati che vengono così gestiti. In particolare, l’internazionalità che spesso caratterizza i servizi di cloud comporta la necessità di approntare misure adeguate ai dati personali oggetto di trasferimento verso Paesi terzi. Il rilievo costituzionale assunto dal diritto alla protezione dei dati personali in Europa impone infatti l’individuazione di prassi e garanzie che siano capaci di rispettare la scala di valori europea. Tra queste gli strumenti di tipo contrattuale, come le BCR e le clausole contrattuali standard, rappresentano gli espedienti più consoni in relazione alle peculiarità dei servizi cloud. Tuttavia, il legislatore europeo ha ampliato il novero delle misure che possono essere adottate dai Paesi terzi destinatari del flusso di dati europeo. Con il Regolamento (UE) 2016/679 codici di condotta e meccanismi di certificazione possono ora essere impiegati anche nel quadro dei trasferimenti di dati a garanzia dei diritti degli interessati. Gli stessi provider di servizi cloud appartenenti a Paesi terzi potranno dunque garantire un elevato livello di protezione dei dati personali attraverso queste garanzie di nuova introduzione.

L’articolo continua sulla newsletter di Lepida, disponibile QUI.

posted by admin on novembre 14, 2013

Eventi

(No comments)

CBI 2013Il Consorzio CBI in collaborazione con ABI (Associazione Bancari Italiani) presentano due giornate di convegno dedicate alle innovazioni sul mercato transazionale: CBILL, fattura elettronica e big data, il 21 e 22 novembre 2013 a Roma, presso Palazzo Artieri.

Durante il convegno rappresentanti delle istituzioni, delle imprese e dell’industria bancaria nazionale ed internazionale tratteggeranno un quadro delle dinamiche innovative in atto nel mercato finanziario, con particolare attenzione a quello dei pagamenti e della dematerializzazione dei processi.

La sessione pomeridiana della seconda giornata di convegno sarà dedicata, in particolare, ai Big Data, le grandi aggregazioni di dati, strutturati o destrutturati, che per le loro dimensioni non sono gestibili utilizzando i comuni sistemi software, ma richiedono strumenti ad hoc differenti da quelli tradizionali per segmentare e selezionare le informazioni rilevanti in tutte le fasi del processo.

Tali informazioni consentono a chi le analizza di ottenere un elevato valore aggiunto grazie a cui è possibile realizzare analisi più complete, in grado di cogliere il sentiment dei mercati e quindi il trend complessivo del mercato di riferimento.

Sebbene lo stoccaggio e l’analisi di questi dati comporti vantaggi enormi in termini di processi decisionali, il problema di fondo resta la complessità che si cela dietro queste operazioni.

La sessione affronterà questi temi fornendo punti di vista di esperti del settore, con particolare attenzione alle soluzioni gestionali dei Big Data attualmente in via di studio e alle applicazioni di queste ultime in un’ottica di business.

In questo contesto Giusella Finocchiaro presenterà un intervento dal titolo “L’outsourcing e il cloud computing nelle recenti disposizioni di vigilanza prudenziale per le banche di Banca d’Italia”.

Per maggiori informazioni sul convegno si rimanda alla pagina del sito CBI, mentre la brochure con il programma è disponibile cliccando QUI, .

posted by admin on ottobre 18, 2013

Eventi

(No comments)

almaAlma Graduate School di Bologna organizza per  venerdì 8 novembre 2013 un workshop gratuito e aperto a tutti volto a a comprendere le opportunità e i rischi legati all’uso del cloud computing.

La diffusione dei dispositivi mobili di calcolo e l’aumento della banda rendono possibili e spesso convenienti nuovi modelli di calcolo come il cloud computing. Ciò induce anche nuovi modelli di business, l’adozione dei quali comporta sia dei benefici in termini di riduzione dei costi fissi che di tempo nel portare sul mercato nuove soluzioni.

Il workshop intende soffermarsi sui vantaggi e su alcuni dei principali problemi che la scelta di una soluzione cloud computing comporta, soffermandosi in particolare sugli aspetti tecnici che contraddistinguono i diversi tipi di soluzioni cloud, sugli elementi fondamentali che devono comparire in un contratto di fornitura di un servizio di questo tipo e sulla necessità di garantire la tutela giuridica dei dati, tenuto conto che la loro esportazione all’estero impatta in normative differenti da paese e paese.

Nel corso del workshop, Giusella Finocchiaro interverrà illustrando il tema degli aspetti giuridici legati all’utilizzo di questa tecnologia.

Il workshop si terrà l’8 novembre alle ore 17.30 presso la sede di Alma Graduate School – Villa Guastavillani, Via degli Scalini 18 – Bologna.

Per ulteriori informazioni e per le iscrizioni si rimanda al sito di Alma Graduate School. Il programma è disponibile QUI.

posted by admin on febbraio 19, 2013

Eventi

(No comments)

Nuova sessione di lavoro per gli esperti internazionali sull’Accountability, questa volta i riflettori sono puntati sul flusso di dati in particolari contesti informatici come cloud computing e mobile.

Il 21 Febbraio 2012 si terrà a Varsavia l’incontro degli esperti afferenti all’Accountability Project Phase V, quinta fase del progetto Accountability-Based Privacy Governance sviluppato da The Centre for Information Policy Leadership.

Il progetto, avviatosi nel 2009, coinvolge un gruppo di lavoro di 60 esperti internazionali, tra i quali Giusella Finocchiaro, che collaborano per individuare e stabilire quali debbano essere gli elementi essenziali richiesti alle aziende per dimostrare l’affidabilità del proprio processo di trattamento delle informazioni.

L’idea di accountability al centro del progetto potrebbe essere tradotta con responsabilità e, insieme, prova della responsabilità. Il concetto è stato originariamente elaborato per favorire il flusso internazionale di dati personali, ma può avere una più ampia applicazione e può rappresentare un più generale paradigma nel trattamento dei dati personali.

Nel 2012, l’accountability si è affermata come un elemento riconosciuto in materia di privacy e protezione dei dati, al punto da diventare un aspetto rilevante della nuova proposta di regolamento in materia di protezione dei dati della Commissione Europea.

L’accountability è oggi considerata approccio pratico alla privacy e al trattamento dei dati personali. In quest’ottica, l’Accountability Project punta allo sviluppo di strumenti che possano essere utilizzati dalle organizzazioni per valutare lo stato della propria accountability e per dimostrarlo alle Autorità Garanti per la protezione dei dati personali.

La quinta fase del progetto, che si svolge in questi giorni in Polonia, si concentrerà sugli elementi di rischio rappresentati da particolari ambienti informatici come tablet, smartphone e cloud computing.

L’uso del cloud computing nelle attività e nei servizi delle pubbliche amministrazioni è uno degli obiettivi della cabina di regia per l’attuazione dell’Agenda Digitale italiana.

Tuttavia, se da un lato la “nuvola” offre soluzioni innovative per gestire molteplici attività con efficienza e possibili risparmi, dall’altro l’uso di questa tecnologia presenta criticità e rischi per la privacy di cui occorre tenere conto.

Per facilitare la scelta della soluzione più sicura per le attività isttuzionali, il Garante per la Protezione dei Dati Personali  ha reso disponibile online il vademecum “Cloud computing. Proteggere i dati per non cadere dalle nuvole”.

L’obiettivo è quello di promuovere un utilizzo corretto delle nuove modalità di erogazione dei servizi informatici attraverso una riflessione su alcuni degli aspetti giuridici, economici e tecnologici del settore.

Le indicazioni contenute nel vademecum sono indirizzate a tutti gli utenti,  in particolare imprese e amministrazioni pubbliche. L’opuscolo in formato cartaceo può essere richiesto all’Ufficio stampa, Piazza di Monte Citorio n. 121, 00186 Roma, e-mail: ufficiostampa@garanteprivacy.it, oppure scaricato in formato elettronico dal sito www.garanteprivacy.it.

posted by Giusella Finocchiaro on aprile 23, 2012

PA telematica

(No comments)

Ancora una volta il legislatore italiano ritiene che dalla digitalizzazione della pubblica amministrazione possa venire un significativo risparmio di spesa e soprattutto che l’informatizzazione della p.a. possa costituire un volano per l’informatizzazione del Paese: gli artt. 47 – 47 quater del d.l. 9 febbraio 2012, n. 5 (decreto semplificazioni), come modificati dalla legge di conversione 4 aprile 2012, n. 35, sono così dedicati all’informatizzazione della pubblica amministrazione.

Viene istituita una cabina di regia per l’attuazione dell’Agenda digitale italiana che ha il compito di coordinare gli interventi pubblici volti alle medesime finalità di regioni, province autonome ed enti locali. La cabina di regia è istituita con decreto del Ministro dello sviluppo economico, di concerto con il Ministro per la pubblica amministrazione e la semplificazione, il Ministro per la coesione territoriale, il Ministro dell’istruzione, dell’università e della ricerca e il Ministro dell’economia e delle finanze.

Fra gli obiettivi che la Cabina di regia previsti dal decreto semplificazioni segnaliamo quelli più vicini ai temi trattati da questo blog e più innovativi.

a)  Realizzazione delle infrastrutture tecnologiche e immateriali al servizio delle «comunità intelligenti» (smart communities).

b)  Promozione degli open data quale modello di valorizzazione del patrimonio informativo pubblico, al fine di creare strumenti e servizi innovativi.

c)  Potenziamento delle applicazioni di amministrazione digitale (e-government).

d)  Cloud computing per le attività e i servizi delle pubbliche amministrazioni.

Se i vantaggi economici, gestionali e organizzativi del cloud computing sono noti, un certo timore e un certo sospetto circondano gli aspetti legali del cloud.

I problemi giuridici, tuttavia, possono essere risolti da un buon contratto che disciplini sicurezza, protezione dei dati personali, legge applicabile e SLA.

Dal punto di vista giuridico, queste sono le principali criticità legate all’espansione delle nuvole. Trasferire dati all’esterno, infatti, ne comporta la perdita di controllo “fisico” da parte dell’utente. Da questo punto di vista i maggiori interrogativi riguardano gli aspetti legati alla sicurezza e alla tutela dei dati personali affidati a terzi.

In particolare, è essenziale definire l’architettura e i ruoli dei vari soggetti coinvolti per chiarirne i doveri collegati all’applicazione della normativa vigente.

Come anticipato, la seconda scheda informativa allegata al Rapporto Annuale del Garante per la protezione dei dati personali riguarda il sistema di cloud computing. Ne diamo qui un breve riassunto a beneficio di quanti nutrono perplessità circa la sicurezza e la riservatezza dei propri dati caricati “sulla nuvola”.

La scheda si presenta come una “serie di cautele” orientate a promuovere un utilizzo corretto delle modalità di erogazione dei servizi informatici e, data la crescente offerta dei servizi, in grado di favorirne l’uso consapevole e responsabile.

La “nuvola informatica” è un insieme di servizi le cui risorse sono facilmente configurabili ed accessibili via rete. L’utilizzatore, una volta collegato ad un cloud provider, può svolgere alcune attività come utilizzare software remoti non direttamente installati sul proprio computer o salvare dati su memorie di massa on-line.

È opportuno distinguere tra private e public cloud. In entrambi i casi i dati non risiedono più su server “fisici” dell’utente ma, mentre nel primo si tratta di un sistema chiuso dedicato alle esigenze di una singola organizzazione ed affidata in gestione a un terzo (facilmente controllabile); nel secondo, invece, l’infrastruttura è di proprietà di un fornitore, e la fruizione avviene via web.

Nel public cloud, la riservatezza e la disponibilità delle informazioni vengono affidate ai meccanismi di sicurezza adottati dal service provider, ed il fruitore che cede i dati perde una parte importante del controllo esercitabile su di essi.

Il Garante mette in luce una serie di aspetti che necessitano particolare attenzione: se il servizio prescelto, ad esempio, è il risultato di una catena di trasformazione di servizi presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio, l’utente potrebbe non essere in grado di sapere quale dei vari gestori dei servizi intermedi può accedere a determinati dati; inoltre, in assenza di adeguate garanzie sulla qualità della connettività di rete, potrebbero verificarsi problemi di accessibilità temporanea dei dati dovuta a guasti o picchi di traffico; in altri casi, la portabilità e l’interoperabilità potrebbero essere messe a rischio dalla transizione di dati e documenti da un sistema cloud a un altro, o dallo scambio di informazioni con utenti che utilizzano cloud differenti.

Esternalizzare i dati in remoto non equivale ad averli sui propri sistemi: esistono vantaggi e controindicazioni che bisogna conoscere. A fronte di ciò, il Garante ha stilato una serie di azioni da ritenere fondamentali per un oculato e consapevole utilizzo dei servizi cloud:

- Ponderare prioritariamente rischi e benefici dei servizi offerti.

- Privilegiare i servizi che favoriscono la portabilità dei dati.

- Assicurarsi la disponibilità dei dati in caso di necessità.

- Selezionare i dati da inserire nella cloud.

- Non perdere di vista i dati.

- Informarsi su dove risiederanno, concretamente, i dati.

- Fare attenzione alle clausole contrattuali.

- Verificare le politiche di persistenza dei dati legate alla loro conservazione.

- Esigere opportune cautele per tutelare la confidenzialità dei dati.

- Formare adeguatamente il personale.

Il Garante ricorda che l’adozione di servizi esternalizzati non esime le imprese e le amministrazioni pubbliche che se ne avvalgono dalle responsabilità loro attribuite in materia di protezione dei dati personali. Perciò anche nel caso cloud computing è opportuno “razionalizzarne le peculiarità al fine di individuare i potenziali rischi insiti in tali servizi e quindi poter adottare efficaci e specifiche misure di protezione”.

La Relazione annuale del Garante per la Protezione dei Dati Personali, presentata recentemente in parlamento, è stata arricchita da due schede di documentazione su cloud computing e su smartphone e tablet che forniscono indicazioni relative all’utilizzo consapevole di questi nuovi strumenti.

Per quanto riguarda tablet e smartphone l’attenzione del Garante è rivolta al mondo delle cosiddette app (application). Le modalità di acquisizione e distribuzione di questi particolari tipi di  software sono centralizzate e normalmente controllate da una pluralità di soggetti quali il produttore del dispositivo, il produttore del sistema operativo, l’operatore telefonico e dal gestore del market, come ad esempio l’Apple store.

La sempre più massiccia diffusione degli smartphone ha determinato una tale crescita che ormai i principali market hanno un portfolio che può superare le decine di migliaia di application e che pare in grado di offrire un servizio per ogni bisogno legato alla vita quotidiana dell’utente: lavoro, socialità, salute, svago.

L’utilizzo delle app implica naturalmente l’elaborazione e il trattamento di dati degli utenti, anche personali, riservati e persino sensibili. In molti casi i dati vengono archiviati e conservati sul dispositivo, ma sempre più spesso ci si avvale di mobile applications il cui utilizzo implica che le informazioni personali siano spostate o copiate nella cloud del fornitore del servizio.

L’analisi di questo genere di servizi conduce, secondo il Garante, a particolari aspetti critici dell’utilizzo della nuova generazione dei dispositivi: sono strumenti pervasivi, e le loro apposite facilitazioni d’uso favoriscono l’esternalizzazione e l’integrazione di dati tra aspetti distinti della vita dell’utente.

Secondo il Garante, le principali minacce per la sicurezza dei dati degli utenti deriva dalla mancata trasparenza nelle modalità di funzionamento delle applicazioni, dall’impossibilità per gli utenti di mantenere il controllo sulla comunicazione dei propri dati a soggetti terzi e da alcuni elementi tecnici di sicurezza informatica.

Come ottenere maggiori garanzie per l’utente? Il Garante suggerisce la combinazione di accorgimenti tecnici e di norme contrattualistiche da inserire nella filiera delle app, che parte dallo sviluppatore e arriva all’utente passando per diversi intermediari.

È fondamentale, tuttavia, che gli utenti siano posti nella condizione di decidere con responsabilità riguardo all’utilizzo dei propri dati.

A questo proposito l’Autorità intende impegnarsi per diffondere tra gli utenti la consapevolezza delle specificità legate all’utilizzo di applicazioni che raccolgono dati sulla vita privata (dai contatti alla posizione geografica, sino alle abitudini di consumi e comportamenti, a dati relativi alla salute ed alla vita di relazione) e della possibilità che tali dati possano essere resi “pubblici” ovvero comunicati ad altri, sia per finalità commerciali che di altro genere, anche per periodi di tempo illimitati e anche successivamente al momento in cui l’utente abbia cessato di utilizzare l’applicazione.

Occorre dunque che, per usare la metafora espressa dal Presidente dell’Authority Francesco Pizzetti durante la presentazione della relazione, l’utente sia consapevole del rischio di essere un “Pollicino elettronico” che lascia, spesso inconsapevolmente, una traccia digitale di ogni suo agire.