Tutela della privacy e conservazione dei dati on Tutela della privacy e conservazione dei dati on line dello studio legaleline dello studio legale

Bari 31 maggio 2012Bari 31 maggio 2012

La conservazione dei dati La conservazione dei dati on lineon line

Cloud computingCloud computing

Privacy ?Privacy ?"The right to be alone""The right to be alone"

Warren and Brandeis, Boston 1890Warren and Brandeis, Boston 1890

Dlgs 196/2003Dlgs 196/2003Codice della Codice della

PrivacyPrivacy

Direttiva 95/46/CEDirettiva 95/46/CETutela delle persone fisiche Tutela delle persone fisiche con riguardo al trattamento con riguardo al trattamento

dei dati personalidei dati personali

Tipologie di datiTipologie di dati(art. 3)(art. 3)

DATI PERSONALI, IDENTIFICATIVI O COMUNIDATI PERSONALI, IDENTIFICATIVI O COMUNI

"dato personale, qualunque informazione relativa a "dato personale, qualunque informazione relativa a persona fisica, persona giuridica, ente od persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di altra informazione, ivi compreso un numero di identificazione personale"identificazione personale"

SENSIBILISENSIBILI

"i dati personali idonei a rivelare l'origine "i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di i dati personali idonei a rivelare lo stato di salute e la vita sessuale".salute e la vita sessuale".

GIUDIZIARIGIUDIZIARI

PARTICOLARI (categoria residuale)PARTICOLARI (categoria residuale)

Avvocati e Avvocati e privacyprivacy

INFORMATIVA (art. 13 d.lgs 196/2003)INFORMATIVA (art. 13 d.lgs 196/2003)

CONSENSO (art. 23 d.lgs 196/2003)CONSENSO (art. 23 d.lgs 196/2003)

MISURE DI SICUREZZA (art. 31-34 d.lgs 196/2003)MISURE DI SICUREZZA (art. 31-34 d.lgs 196/2003)

NOTIFICAZIONE (art. 37 d.lgs 196/2003) solo se NOTIFICAZIONE (art. 37 d.lgs 196/2003) solo se necessarianecessaria

•Cloud computingCloud computing

Qualificazione giuridicaQualificazione giuridica

Legge applicabileLegge applicabile

Privacy e sicurezza dei datiPrivacy e sicurezza dei dati

Titolare del trattamentoTitolare del trattamento(avvocato)(avvocato)

Responsabile del trattamentoResponsabile del trattamento(avvocato o altro soggetto con obbligo di attenersi (avvocato o altro soggetto con obbligo di attenersi

alle istruzioni del titolare)alle istruzioni del titolare)

Fornitore del servizioFornitore del servizio(titolare, responsabile o entrambi?)(titolare, responsabile o entrambi?)

Ruoli e Ruoli e responsabilità responsabilità

a) responsabilita del cloud provider e importanza dei Service a) responsabilita del cloud provider e importanza dei Service Level AgreementLevel Agreement

b) proprieta dei dati e dei contenutib) proprieta dei dati e dei contenuti

c) modifiche delle condizioni d’uso del servizioc) modifiche delle condizioni d’uso del servizio

d) vessatorieta delle clausoled) vessatorieta delle clausole

e) procedure per il recupero dati in caso di incidentie) procedure per il recupero dati in caso di incidenti

f) legge applicabilef) legge applicabile

g) luogo di conservazione dei datig) luogo di conservazione dei dati

Luogo fisico di conservazione dei Luogo fisico di conservazione dei datidati

Art. 45 del Codice della Privacy Art. 45 del Codice della Privacy "fuori dei casi di cui agli "fuori dei casi di cui agli articoli 43 e 44, il trasferimento articoli 43 e 44, il trasferimento anche temporaneo fuori del anche temporaneo fuori del territorio dello Stato, con territorio dello Stato, con qualsiasi forma o mezzo, di dati qualsiasi forma o mezzo, di dati personali oggetto di trattamento, personali oggetto di trattamento, diretto verso un Paese non diretto verso un Paese non appartenente all'Unione europea, è appartenente all'Unione europea, è vietato quando l'ordinamento del vietato quando l'ordinamento del Paese di destinazione o di Paese di destinazione o di transito dei dati non assicura un transito dei dati non assicura un livello di tutela delle persone livello di tutela delle persone adeguato".adeguato".

Confronto tra i termini di servizio di Confronto tra i termini di servizio di fornitori gratuitifornitori gratuiti

Proprietà dei dati: solo utente con controllo su infrazioni Proprietà dei dati: solo utente con controllo su infrazioni copyrightcopyrightCollocazione geografica: non specificataCollocazione geografica: non specificataResponsabilità in caso di perdita dati: nessunaResponsabilità in caso di perdita dati: nessunaForo competente: CaliforniaForo competente: CaliforniaSicurezza: SSL - accesso a dipendenti solo se richiesto per Sicurezza: SSL - accesso a dipendenti solo se richiesto per motivi legali o infrazioni copyright motivi legali o infrazioni copyright Privacy: Safe Harbor - data retention: fino a cessazione Privacy: Safe Harbor - data retention: fino a cessazione account salvo obblighi legaliaccount salvo obblighi legali

Proprietà dei dati: utente con cessione universale Proprietà dei dati: utente con cessione universale Google di diritti per finalità specificateGoogle di diritti per finalità specificateCollocazione geografica: non specificataCollocazione geografica: non specificataResponsabilità in caso di perdita dati: nessuna Responsabilità in caso di perdita dati: nessuna tranne quando permesso dalla legge e comunque nei tranne quando permesso dalla legge e comunque nei limiti della somma versata dall'utente. Mai per limiti della somma versata dall'utente. Mai per danni non ragionevolmente prevedibilidanni non ragionevolmente prevedibiliForo competente: California o se non consentito Foro competente: California o se non consentito paese utentepaese utenteSicurezza: SSL - accesso a dipendenti sempre - Sicurezza: SSL - accesso a dipendenti sempre - diffusione per motivi legalidiffusione per motivi legaliPrivacy: Safe Harbor - data retention: illimitataPrivacy: Safe Harbor - data retention: illimitata

Proprietà dei dati: utente in via esclusivaProprietà dei dati: utente in via esclusivaCollocazione geografica: non specificataCollocazione geografica: non specificataResponsabilità in caso di perdita dati: nessuna Responsabilità in caso di perdita dati: nessuna Foro competente: Chicago con clausola compromissoriaForo competente: Chicago con clausola compromissoriaSicurezza: Password personale e dati criptati - mai accesso Sicurezza: Password personale e dati criptati - mai accesso ai dipendentiai dipendentiPrivacy: Safe Harbor - data retention: non specificataPrivacy: Safe Harbor - data retention: non specificata

Possibili soluzioniPossibili soluzioni1.1.Acquisizione consenso da parte del cliente sul Acquisizione consenso da parte del cliente sul trasferimento dati extra UE e specificazione trasferimento dati extra UE e specificazione nell'informativa dei servizi cloud utilizzatinell'informativa dei servizi cloud utilizzati

2.2.Adozione di buone misure di sicurezzaAdozione di buone misure di sicurezza3.3.Utilizzo di più fornitori di serviziUtilizzo di più fornitori di servizi4.4.Formare colleghi e collaboratori sul tema della Formare colleghi e collaboratori sul tema della sicurezza datisicurezza dati

e problemi aperti...e problemi aperti...• Possibilità di scelta del server su cui far Possibilità di scelta del server su cui far risiedere i datirisiedere i dati

• Per i dati conservati in server Usa limite Per i dati conservati in server Usa limite del patriot act del 26 ottobre 2001del patriot act del 26 ottobre 2001

Il cloud computing è una Il cloud computing è una grande opportunità, usiamolo grande opportunità, usiamolo

consapevolmenteconsapevolmente

Avv. Emilio Curci - emiliocurci@emiliocurci.net - www.emiliocurci.net