"I popoli non dovrebbero temere i propri governi: sono i governi che dovrebbero temere i propri popoli." V (da John Basil Barnhill) |
Gli interventi
Cloud computing: se lo conosci, lo apprezzi di Yvette Agostini (CSA)
il cloud computing è un paradigma, non una panacea ne' tantomeno è un comodo capo espiatorio per quelli che sono i più comuni errori di progettazione in ambito informatico. Non verranno trattati i problemi di privacy e/o utilizzo incauto dei servizi cloud da parte degli utenti finali.
Il Cloud come modalità di trasferimento internazionale dei dati personali: criticità tecniche, legali e organizzative e soluzioni pratiche alla luce del Regolamento Generale UE sulla protezione dei dati personali 679/2016 di Alessandro Del Ninno (Studio Legale Tonucci & Partners)
L’internazionalizzazione dei mercati e la globalizzazione degli scenari tecnologici pongono nuove sfide alla protezione dei dati personali di clienti, consumatori, cittadini. I servizi di cloud computing, per le modalità della loro resa tecnica, rendono difficilmente applicabile in pratica lo stesso concetto giuridico-legale di “trasferimento all’estero di dati personali”: gli stessi dati possono essere trasferiti verso server di differenti Paesi in momenti diversi della stessa giornata. Quali le criticità e i rischi? Quali le risposte tecniche, organizzative e legali che sono state date dai legislatori e dalle Autorità privacy internazionali? La relazione si prefigge di offrire – in un’ottica pratica – l’analisi critica del quadro normativo di riferimento, dalla Comunicazione della Commissione relativa alla strategie UE in materia di cloud computing, alle Opinion del Gruppo dei Garanti UE sul cloud; dal parere dello European Data Protection Supervisor sul cloud alla risoluzione in materia della Conferenza internazionale delle Autorità di protezione dati e privacy di Montevideo, fino alle regole del Regolamento UE 679/2016 sulla protezione dei dati personali.
"Società del Controllo" e documentazione informatica: il problema della prova digitale di Marco Alvise De Stefani (Synaptic)
E' noto che l'epoca attuale è dominata dalla tecnologia, che costituisce l'infrastruttura delle relazioni sociali.
La comunicazione, peraltro sempre più pervasiva, avviene ormai per la maggior parte attraverso strumenti tecnologici. Ciò non implica soltanto la possibilità da parte di terzi - lo Stato, i provider, altri soggetti - di manipolare il flusso informativo o di intervenire esternamente sui contenuti, ma pone una sempre maggiore difficoltà nella documentazione dei rapporti sociali. Se è vero che la documentazione, infatti, è da sempre un elemento centrale nello sviluppo della socialità umana - essa può essere intesa in senso ampio come un'attività compiuta dall'uomo per rappresentare fatti o eventi attraverso degli artefatti - e se è vero che nell'antichità questa funzione era svolta anche in modo primitivo ma efficace - si pensi ai monumenti, alle opere d'arte in generale o alla scrittura - oggi tuttavia si assiste alla smaterializzazione dei supporti su cui tali rappresentazioni sono fissate. I rapporti sociali sono documentati essenzialmente attraverso tracce informatiche ed è complicato portare a sostegno delle proprie rivendicazioni giuridiche le rappresentazioni delle vicende umane che ne costituiscono il fondamento o che ne fanno titolo (es: un’email, un messaggio WhatsApp, un SMS, un post su Facebook).
Se si considera l'ambito specifico del diritto ed in particolare il campo forense, si può osservare che le particolari caratteristiche della prova digitale impongono specifiche cautele concernenti non soltanto la fase di acquisizione bensì l’intero ciclo di utilizzo nel processo e persino la sua archiviazione al termine del giudizio. Spesso si sottovaluta che la prova digitale contiene informazioni che riguardano non solo il “cosa facciamo” (evidenze empiriche della nostra condotta come intercettazioni di comunicazioni, coordinate GPS degli spostamenti, abitudini di consumo) ma anche il “chi siamo” (tracce riproducibili di caratteri fisici come impronte digitali, registrazioni vocali, immagini). E si sottovaluta il fatto che tali informazioni sono facilmente manipolabili perché difficili da archiviare in modo definivo. Dal punto di vista operativo il problema del “controllo” si pone come garanzia della funzionalità della prova sia rispetto all’acquisizione che alla sua gestione. Nel primo momento, infatti, la selezione del materiale da raccogliere deve tenere conto di due esigenze contrapposte: il rispetto della riservatezza dell’indagato, da una parte, e la necessità di verificare una possibile contraffazione dei dati, dall’altra. In secondo luogo, si prospetta l’opportunità di sottoporre i dati ad opportune misure di sicurezza per limitare l’accesso a quelle figure individuate dall’aspetto organizzativo e come strumento di gestione interna delle informazioni.
Nel nostro contributo si sostiene la tesi che non si può pensare di risolvere il problema della prova informatica semplicemente digitalizzando le attuali procedure o adeguandole alle tecnologie informatiche più recenti. Occorre superare l’attuale approccio, che si può chiamare genericamente "analogico", con una visione "digitale" in cui vi è sinergia tra la prova, le figure professionali che a vario titolo dispongono della prova - e quindi la "controllano" - e le regole che garantiscono i diritti dell’imputato nella dialettica tra accusa e difesa. Ciò vale ancor di più se si considera che in ambienti cloud gli utenti – e, nelle ipotesi più avanzate, anche chi fornisce il servizio – non hanno accesso diretto ai calcolatori in cui sono memorizzate le loro risorse. In questo senso il “controllo” è solo apparente, anche per lo stesso provider.
Nel presente contributo si esaminano alcune possibili procedure per l’acquisizione forense in ambienti cloud alla luce del quadro normativo di riferimento in Unione Europea.
MindCloud! Chi controlla il caos? di Epto (Tramaci.org)
L'informatica è “informazione automatica”, informazione che elabora e si rielabora quando attraversa, è captata, è digitalizzata, da qualunque cosa sia in grado di elaborarla, sia questo un computer, un sistema in cloud oppure un cervelo umano.
La tecnologia è sempre più connessa alla nostra realtà. Siamo immersi in un ambiente ricco di sistemi che raccolgono informazioni prodotte dalle nostre attività.
Se considerassimo tutto, anche noi stessi, facenti parte di un sistema in cloud oppure in grid computing, quale sarebbe la nostra prospettiva per il futuro? Quali sono le minacce per la nostra privacy e la nostra integrità?
Ma soprattutto, prendendo in considerazione la “teoria del caos”, come il caos può essere controllato e da chi? Come il controllo del caos sia come input che come output può influenzare i nostri comportamenti?
Proveremo ad ipotizzare ed analizzare alcuni di questi aspetti cercando di individuare le problematiche che si conoscono di meno ma che sono più diffuse.
La Privacy è questione di carattere di Edoardo Ferri (Studio Tecnico Ferri & Costantino)
La diffusione dell'implementazione da parte degli sviluppatori e designer web dei font esterni(web-font) offerti, anche gratuitamente, dalle principali multinazionali operanti nel settore dell'informatica possono presentare dei rischi per la privacy degli utenti, così come un'opportunità commerciale per i fornitori del servizio. L'utilizzo dei caratteri esterni costituisce indubbio vantaggio in termini di esperienza d'uso e programmazione software, tuttavia la soluzione descritta può comportare la cessione inconsapevole e involontaria di dati informatici.
L' apocalisse zombie colpisce anche le condizioni di servizio del cloud (ma noi le accettiamo lo stesso) di Giovanni Battista Gallus (Array - Nexa Center - Circolo dei Giuristi Telematici)
Amazon, nelle sue torrenziali condizioni di utilizzo, arriva a regolare anche gli effetti di un apocalisse zombie (puntigliosamente descritta) su alcune pattuizioni contrattuali. Ma nessuno se ne è accorto, fino a poco tempo fa. Come nessuno, pur di usare il wi-fi, si è preoccupato di cedere il proprio figlio primogenito durante un esperimento condotto da F-Secure, che nelle condizioni aveva inserito una "Herod Clause". Dato per assodato che nessuno si preoccupa delle condizioni di servizio sull'utilizzo del cloud e che queste contengono pattuizioni certamente vessatorie e unilaterali, non solo in cambio di servizi "gratuiti" ma anche di quelli a pagamento, c'è ancora spazio per la tutela dei cittadini e consumatori? Siamo destinati ad essere perpetui prigionieri delle condizioni di servizio, affetti da sindrome contrattuale di Stoccolma, o abbiamo ancora qualche speranza?
Cloud o non cloud? Questo è il dilemma (almeno nella PA) di Diego Giorio (SEPEL Editrice - Comune di Villanova Canavese)
Oggi si parla di cloud, cyberspazio, macchine virtuali come una volta si parlava dell'etere, una sostanza immaginaria ed inafferabile, che si supponeva producesse effetti senza poter essere perfettamente compresa. In realtà non esiste il cloud, esistono HD fisici installati e pagati da qualcuno, localizzati in qualche punto ben preciso del pianeta. Non esistono macchine virtuali, esistono server gestiti in luoghi ban identificabili da Società registrate e finalizzate al profitto. Se questo concetto viene compreso, si può decidere di utilizzare o meno questi servizi, ma in modo cosciente, massimizzando i vantaggi e riducendo gli svantaggi. In particolare per le Pubbliche Amministrazioni, che devono districarsi fra norme, esigenze di bilancio, limiti tecnici e grandi raccolte di dati, spesso molto sensibili, si tratta di una scelta delicata che deve essere ben ponderata.
La Responsabilità Privacy nella Nuvola, tra genio e sregolatezza di Monica Gobbato (Avvocato)
La Responsabilità Privacy nella Nuvola, tra genio e sregolatezza
L'intervento mira a esaminare le novità in tema di responsabilità privacy per i fornitori di servizi cloud dopo l'entrata in vigore del nuove Regolamento Europeo Privacy (REG UE 679/2016) e dopo il nuovo obbligo della designazione del Data Protection Officer (DPO).
- Il Data Protection Officer e il nuovo Responsabile Esterno del trattamento nel Cloud. Quando è obbligatorio il primo e quando è sufficiente il secondo.
- Come si prefigura la responsabilità esterna nel cloud
- Quando occorre verificare il nuovo livello di tutela dei dati nel cloud (localizzazione dei server, garanzia di confidenzialità, migrazione, assicurazione danni, portabilità dei dati, tempi di conservazione dei dati, la formazione, privacy by design e by default, ecc.).
- Le novità a 5 anni dal Vademecum Privacy del Garante Italiano
I diritti (sui dati) perduti di Donato La Muscatella (avvocato)
La costante crescita, diffusione e frammentazione dei nostri dati ha portato indubbi vantaggi. È oggi possibile, infatti, accedere rapidamente ed in modo efficiente, da qualunque punto del globo, al proprio patrimonio informativo, aumentando la produttività e, per altro verso, diminuendo il rischio di perdere informazioni per incidenti di sicurezza o mancanza di attenzione dell'utente. La condivisione facile ed istantanea, poi, è ormai una realtà quotidiana.
Ma c'è un rovescio della medaglia.
Chi ha il controllo delle informazioni? Chi il potere su quei dati?
Il talk affronterà, da un punto di vista giuridico ed operativo, le problematiche derivanti dal rapporto tra Big Data e diritto all'autodeterminazione informativa, alla luce dei più recenti sviluppi del fenomeno.
Privacy e pubblica amministrazione. La nuova sfida. di Valentina Longo ()
Quali sfide dovrà affrontare la pubblica amministrazione entro il termine previsto per l’applicazione del Regolamento europeo? Un anno prima di questa importante scadenza il Garante ha richiamato l’attenzione delle amministrazioni sulla necessità di intraprendere l’insieme delle azioni preliminari alla definitiva applicazione della nuova disciplina. L’impatto organizzativo sarà forte, per questo sin dal mese di giugno il Garante ha avviato una fase di interlocuzione con i soggetti pubblici. Cultura, risorse dedicate e competenze, questa è la strada da percorrere.
AL DI LA’ DELLE NUVOLE: IL CLOUD IN EUROPA TRA REGOLAZIONE E CONTRATTO di Giorgio Pedrazzi (Università degli studi di Brescia)
OUTLINE: 1. Il Cloud “europeo” e la localizzazione dei dati 2. Il quadro normativo attuale e le prospettive 3. Il ruolo dell’autoregolamentazione e dei contratti 4. I codici di condotta e la questione della “data retention”
L’utilizzo del Cloud in Europa è in costante aumento e si moltiplicano anche gli strumenti a disposizione per prevenire i rischi per la sicurezza e la privacy degli utenti, siano essi consumatori, imprese o enti pubblici. I rischi connessi al cloud sono legati alle violazioni (data breach) e alla perdita dei dati, resi ancor meno trasparenti dall’invisibilità delle infrastrutture tecnologiche che supportano il cloud. Accanto alle risposte informatiche, il raggiungimento di un’elevata protezione dei dati raccolti passa anche attraverso la corretta applicazione di strumenti giuridici più o meno vincolanti. Il quadro normativo muterà con l’applicazione della (GDPR General Data Protection Regulation) che pone al centro la responsabilizzazione del titolare del trattamento e del responsabile introduce nuovi diritti, come la portabilità dei dati. Tra i nodi da sciogliere vi è senz’altro la localizzazione dei dati: la strategia dell’Unione per l’affermazione del Digital Single Market si va arricchendo, non senza scossoni come per il caso francese del cloud “sovrano”. In particolare, sotto il profilo del trasferimento dei dati anche al di fuori dell’Unione Europea è necessario analizzare gli strumenti giuridici come le BCR (Binding Corporate Rules) e le clausole standard nei contratti e i Service Level Agreement (SLA). In tema di soft law il ruolo dell’Analisi dei codici di condotta in ambito cloud, con riferimento al codice elaborato per la Commissione dal Cloud Select Industry Group (C-SIG), al parere del gruppo di lavoro europeo dei garanti art. 29 incorporato nella versione di maggio 2017. Parallelamente va preso in considerazione il codice di condotta adottato dal CISPE (Cloud Infrastructure Services Providers in Europe) nel gennaio di quest’anno. Tra i punti di particolare interesse vi è la questione della data retention, ovvero della durata in cui saranno conservati i dati presso il Provider dopo la cessazione del servizio.
Tutela dell'Identità Digitale tra pubblico e privato di Alberto Scire' (Tavella - Studio di Avvocati)
L'identità digitale di ciascun individuo, oggi, passa attraverso il controllo dei dati personali su Internet, la loro circolazione, la loro "detenzione", la loro cancellazione. Molti (e molto diversi) sono gli strumenti disponibili in questa direzione: alcuni - a dire il vero, i più diffusi - forniti da OTT di stampo (e regolazione) americana; altri, di carattere prettamente pubblico e di regolamentazione statale (SPID, con le sue gioie e i suoi dolori); alcuni, ancora poco diffusi, passano attraverso iniziative private mosse da intenti più o meno "sociali". L'analisi dei diversi approcci pare interessante, per tentare di raggiungere i limiti della legislazione attuale sulla scorta del GDPR e delle tecnologie disponibili.
Le Procure nelle nuvole di Carlo Blengino e Monica Senor ()
Ispezioni, perquisizioni e sequestri nell'infosfera.
Quali sono gli strumenti processuali che le Procure hanno a disposizione per cercare prove nel cloud? I tradizionali mezzi di ricerca della prova - ispezioni, perquisizioni, sequestri ed intercettazioni telematiche - sono strumenti di indagine ancora idonei nell’infosfera? Il transborder data access previsto dalla Convenzione di Budapest e l’art.234 bis del codice di procedura penale, introdotto nel 2015 in attuazione della Risoluzione 2178/2014 sulla lotta al terrorismo internazionale, sono misure in grado di superare i conflitti di giurisdizione nazionale?
La privacy dell'anima di Efrem Zugnaz (WebPrepping)
L’avvento del Cloud ha confermato i timori espressi sulla perdita di privacy e di identità digitale e sta anche producendo un effetto imprevisto: la perdita della Rete. Ma cosa succede alla nostra anima? gestire la privacy dei dati è già di per sè difficile, specialmente se abbiamo più identità e dati diffusi nella rete. Perdere le identità digitali significa perdere i dati, ma non solo, anche parte della nostra anima. Piu' account od identità digitali sono da gestire, piu' STRESS e piu' PERICOLI per la sicurezza vengono introdotti."