Cloud, Frediani: “Accendere i riflettori sulle norme”

23/04/2014
di Valentina Frediani

L´avvocato esperta di diritto informatico: “Il tema della sicurezza delle soluzioni accentra il dibattito, ma serve riflettere anche sugli aspetti normativi”di Valentina Frediani, avvocato esperta di diritto informatico

Nota di un collaboratore: richiamare urgentemente cliente X, deve chiudere un contratti di cloud. Eseguo. Chiamo. In breve: mi mandano un contratto. Il solito lungo e tortuoso contratto sul cloud. Comincio a dare una lettura; input dell’Ict Manager: tra tre giorni abbiamo l’incontro sotto il profilo commerciale, occorre capire se ci sono delle clausole penalizzanti, cosa dobbiamo chiedere di cambiare. Si fa tutto, ma di quali informazioni aziendali stiamo parlando?

L’Ict Manager è occupato. I collaboratori sanno che sta trattando per trasferire in cloud alcuni DB da condividere con le altre società del gruppo, ma di una mappatura non c’è traccia. La questione si risolverà qualche ora più tardi con l’Ict Manager che alla mia domanda: quali dati intendete portare in cloud? Mi risponderà: Avvocato a Lei che rileva? E con la solita pazienza certosina risolveremo anche questa. Ma la dinamica dei fatti non è isolata. Sul cloud troppa ignoranza, troppo entusiasmo, troppa diffidenza. Troppo tutto. Poco metodo  sotto il profilo della valutazione lato normativo-legale.cloud_18766013_xxl

Eppure proprio gli aspetti legali spesso sono fonte di resistenza sia da parte della proprietà, sia da parte di chi gestisce i sistemi informativi. Questo perché talvolta mancano dei parametri di valutazione ed opportuna conoscenza da chi intende usufruire di questa opportunità. Occorre dividere la valutazione “legale” di un servizio in cloud sotto due fronti: come garantire la parte che porta le proprie informazioni aziendali in cloud, ed a cosa deve rispondere in materia di adempimenti normativi, la parte che parta i dati in cloud.

Sul primo punto occorre ovviamente analizzare alcuni passaggi del contratto (spesso standard) che il fornitore andrà a proporci. Attenzione quindi alle tematiche principali.Anzitutto la tutela della proprietà delle informazioni: chi accederà ai nostri dati?  Chi amministrerà i nostri dati e quali garanzie di riservatezza avremo sotto questo profilo; è importante chiarire sin da subito la necessità  di trasparenza che non comporti rischi sotto il profilo della “volatilità” della conservazione del segreto relativo ai dati. Secondariamente in caso di interruzione dei rapporti contrattuali, in che tempistiche e con quali modalità i dati saranno trasferiti?

La migrazione è un’altra tematica di grande importanza, perché rischia, se non disciplinata a priori, di “incrinare” meccanismi organizzativi e produttivi di una azienda.Il tema privacy e sicurezza è fin troppo ragionato ad oggi, anzi quando si parla di cloud ci si ferma sovente ad analizzarlo sotto il profilo contrattuale e di tutela dei dati personali.

Ma che dire di argomenti come Byod, piuttosto che regolamento informatico interno, conservazione sostitutiva e reati informatici rilevanti ai fini 231? Perché tirarli in ballo? Semplicemente perché adottare una soluzione cloud computing può necessitare di non affrontare solo gli aspetti del rapporto con il fornitore di servizi, ma “rileggere” interamente all’azienda le policy, piuttosto che le procedure organizzative, piuttosto che i ruoli e le responsabilità. Si pensi all’amministrazione del sistema ed a come possano mutare le responsabilità in caso di cloud: avremo Ads interni all’azienda ed Ads esterni, con competenze e correlative responsabilità diverse, da individuare, da specificare in modo tale da garantire trasparenza e rintracciabilità degli agenti in caso di problematiche di natura informatica e legale.Anche in caso di conservazione sostitutiva, come non ripercorrere il manuale piuttosto che la nomina a Responsabile della Conservazione in una ottica del servizio che viene prestato, e quindi con modifiche di importante impatto anche sotto il profilo giuridico. Ritengo che, ad oggi, la visione lato giuridico del cloud sia “imbrigliata” – fin troppo – nel ragionare solo funzionalmente al “grande contratto” onnicomprensivo, perché, quando la via ormai è da percorrere in modo più articolato, occorre guardare la luna, e non solo il dito!

Articolo pubblicato sul Corriere delle Comunicazioni 

Versione digitale: 19 aprile 2014; Versione cartacea: 21 aprile 2014;

Riproduzione riservata ©

ALTRE NEWS

DPS abolito, ma continuiamo ad aggiornarlo. Ecco perchè

Obbligatorio fino al 2012, disciplinato dall’obbligo di redazione  e aggiornamento al 31 marzo di ogni anno, il Documento programmatico di sicurezza – inserito con il… Leggi Tutto

Privacy dipendente e condizioni di salute

Impatti pratici della gestione lato aziendale dei rischi derivanti dal Coronavirus (COVID-19) Riportiamo sotto alcuni punti che specificano gli obblighi delle aziende ed i diritti… Leggi Tutto

La Cassazione difende la privacy del lavoratore

Gli Ermellini, con sentenza della Cassazione Penale n°22148/2017 intervengono con un radicale ribaltamento rispetto al passato sul tema del controllo a distanza dei lavoratori dipendenti…. Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Colin Focus Day – GDPR e Compliance Software: la metodologia certificata di Colin & Partners

Appuntamento a Milano il 5 febbraio dalle ore 14.00.

Affronteremo i 5 temi chiave della Compliance di cui tiene ampiamente conto la metodologia certificata e lo schema di analisi di Colin & Partners.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web.