Cloud computing in Europa: i risultati della consultazione pubblica

Pubblicato da Stefano Bendandi il 12/13/2011 10:02:00 AM Etichette: , , , , ,

Di recente sono stati pubblicati i risultati di una consultazione pubblica sul fenomeno del cloud computing in Europa; da tale documento si possono trarre importanti osservazioni su quale sia la percezione che aziende e singoli individui hanno di tale fenomeno, soprattutto dal punto di vista delle questioni legali e della protezione dei dati personali (privacy).

Da un campione di 538 intervistati, 230 dei quali rappresentati da aziende, ed il resto da individui, accademici, istituzioni ed altri soggetti, emerge una situazione di generale incertezza nell’attuale quadro normativo europeo di riferimento, alla quale si sommano le inevitabili diversità con le quali i singoli stati membri hanno adottato, nei rispettivi ordinamenti, la legislazione europea.

A questo si aggiunge una mancanza di chiarezza sui diritti delle parti e le responsabilità dei fornitori di servizio che può generare ambiguità nella gestione di quelle tipiche situazioni “transfrontaliere” o “oltre confine”, del tutto normali per una infrastruttura di tipo globale e distribuito, come appunto quella che supporta i servizi in cloud.

Le ragioni alla base di tale percezione di incertezza sono riconducibili fondamentalmente ad una serie di fattori:

  • la mancanza di consapevolezza negli intervistati: molti ammettono di non sapere neanche da dove iniziare per acquisire informazioni utili;
  • la complessità delle problematiche, soprattutto per quanto riguarda le responsabilità, che dipendono non soltanto dalle clausole contrattuali ma anche da regole normative obbligatorie (es. quelle in materia di protezione dei dati personali), la cui applicazione non può essere disattesa per contratto;
  • le variabili legali (es. obblighi contrattuali, legislazione penale, protezione dei dati personali, ecc…) che determinano la giurisdizione applicabile;

Questi risultati lasciano spazio per due considerazioni: la prima è che, soprattutto le imprese, hanno bisogno del supporto di una consulenza specifica in materia, ma faticano a trovarla (o forse ritengono erroneamente di poterne fare a meno ?); la seconda è la necessità di armonizzare le differenti legislazioni, sia a livello europeo che internazionale.

Il report conclude evidenziando una forte condivisione sulla necessità di predisporre a livello europeo linee guida, checklist, nonchè modelli di livelli di servizio (Service Level Agreement) ragionevoli e condizioni contrattuali (End User Agreement) semplici e chiare; oltre naturalmente ad una revisione dell’attuale quadro normativo che possa facilitare l’espansione del modello cloud preservando al tempo stesso la protezione e la riservatezza dei dati personali.

Approfondimenti

SaaS (Clooud Computing): aspetti legali e di compliance

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.
Bookmark Diggita
0 commenti Link a questo post

Impresa, tecnologia ed informazioni: rischi e considerazioni legali

Pubblicato da Stefano Bendandi il 6/24/2011 08:47:00 AM Etichette: , , , , , , , , ,

875413_47541979 Le imprese oggi si trovano a doversi interfacciare, a vari livelli, con la tecnologia e gli strumenti, per gestire quantitativi sempre più ingenti di dati ed informazioni rilevanti nel contesto o per l’andamento aziendale.

Se da un lato è pressoché impossibile rinunciare al ruolo strategico e di supporto che il binomio tecnologia ed informazioni garantisce nella ottimizzazione delle attività aziendali e, quindi, nel mantenimento di adeguati livelli di competitività, efficienza e sviluppo, dall'altro non si può dimenticare che questi vantaggi hanno dei costi, di cui si tende spesso a considerare la sola componente economica.

In realtà, però, i costi hanno anche una dimensione in termini di acquisizione di consapevolezzaorganizzazione e gestione; infatti, è difficile poter parlare di vantaggi se strumenti ed informazioni vengono utilizzati in modo non adeguato, esponendo l'organizzazione a rischi inutili, tra cui quelli di natura tecnologica (es. violazioni della riservatezza delle informazioni, ecc...) e legale (es. non conformità, inadempimenti contrattuali, richieste risarcitorie, ecc...).

Perciò questa considerazione mi offre lo spunto per provare a delineare in modo schematico, senza alcuna pretesa di esaustività, le questioni di natura legale che una impresa informatizzata si trova, inevitabilmente, a dover fronteggiare se vuole beneficiare dei vantaggi della tecnologia, proteggendo nel contempo se stessa ed il valore delle informazioni che detiene e gestisce. Mi riferisco principalmente ad aspetti nei quali la gestione delle informazioni e/o l'uso della tecnologia comportano:

  • obblighi di compliance, cioè conformità a leggi, regolamenti, standard di settore o accordi tra le parti;
  • oneri particolari di tutela nei confronti dei soggetti attraverso i quali l'azienda opera (es. dipendenti) o con i quali interagisce (es. fornitori, clienti, competitors, pubblica amministrazione, ecc...);

Partendo da una classificazione per macroaree, si possono individuare i seguenti domini applicativi:

  • privacy: uso delle risorse aziendali (es. internet, posta elettonica, telefonia mobile e fissa), SaaS, cloud computing, biometria, videosorveglianza, RFID, geolocalizzazione, voip, marketing, social networks;
  • tutela della reputazione: protezione del brand online (es. name squatting);
  • contrattualistica: outsourcing, accordi sui livelli di servizio (Service Level Agreement, SLA), SaaS, cloud computing, social media marketing, accordi di riservatezza (Non-Disclosure Agreement, NDA), connettività Internet, telefonia, voip, fornitura e manutenzione dell'hardware, sviluppo, fornitura e manutenzione del software;
  • informazioni aziendali: protezione delle informazioni segrete (es. know-how);
  • proprietà intellettuale:diritto d'autore (es. contenuti online, prodotti audio/visivi, software, Digital Rights Management, ecc...);
  • proprietà industriale: marchi, brevetti, disegni e modelli;
  • rapporti con la pubblica amministrazione digitale: posta elettronica certificata, conservazione sostitutiva dei documenti, fatturazione elettronica;
  • responsabilità amministrativa: prevenzione dei reati informatici e di quelli contro il diritto d'autore, modelli organizzativi e di controllo;

Photo courtesy: darktaco

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.
Bookmark Diggita
0 commenti Link a questo post

Telemarketing: il registro ed il regime delle chiamate indesiderate

Pubblicato da Stefano Bendandi il 6/13/2011 06:03:00 PM Etichette: , , , , , , , ,

Un altro tassello si è aggiunto di recente alla complessa regolamentazione del fenomeno del telemarketing dal punto di vista della privacy, a seguito dell'entrata in funzione del registro delle opposizioni, di cui alla normativa del DPR 178/2010.

La funzione primaria di tale registro, gestito da un entità terza, è quella di un meccanismo per tutelare i dati personali di chi non desidera essere disturbato da telefonate pubblicitarie, senza per questo compromettere eccessivamente gli interessi economici delle aziende che operano in questo settore o che scelgono di avvalersi di questa forma di marketing.

Si tratta quindi del meccanismo specifico attraverso il quale viene data attuazione ad una riforma del settore, già introdotta con la legge 166/2009, che ha determinato il passaggio da un sistema basato sul consenso preventivo (opt-in) ad uno basato, invece, sulla manifestazione espressa di un diniego (opt-out).
Infatti, a partire dal 31 gennaio 2011, gli abbonati che non desiderano più ricevere chiamate telefoniche con operatore, per l'invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, devono iscriversi in tale registro con una delle modalità previste (web, email, fax, telefono).
A questo registro si affianca inoltre un provvedimento dell'autorità garante della privacy che ha fissato dei limiti precisi, proprio per garantire il rispetto della volontà dei cittadini da parte degli operatori.

Ambito di applicazione

Partiamo intanto dalla considerazione dei soggetti coinvolti che sono, da un lato, l'abbonato, cioè:

"qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali servizi, o destinatario di tali servizi anche tramite schede prepagate, la cui numerazione sia comunque inserita negli elenchi [...] ";

e dall'altro l'operatore:

"qualunque soggetto, persona fisica o giuridica, che, in qualita' di titolare [...]intenda effettuare il trattamento dei dati [...] per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l'impiego del telefono";

L'iscrizione nel registro e le nuove regole si applicano solo alle numerazioni riportate negli elenchi di abbonati, perciò, fermo restando questi limiti, è ora stabilito che:

  • gli operatori di telemarketing non possono più contattare i numeri telefonici degli abbonati iscritti nel registro;

  • se un operatore ha già ricevuto il consenso di un abbonato a ricevere telefonate promozionali, potrà continuare a contattarlo, anche se iscritto nel registro. Però il consenso precedentemente acquisito dovrà essere documentabile per iscritto e sarà, comunque, liberamente revocabile in qualsiasi momento;

  • se un abbonato ha chiesto di non essere più disturbato da telefonate, l'operatore dovrà rispettare la sua volontà, anche se non iscritto nel registro;

Per quanto riguarda invece il trattamento di dati aventi una origine differente dagli elenchi degli abbonati, risulta che:

  • per le numerazioni derivanti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, il trattamento è possibile, in assenza del consenso dell'interessato, solo se una specifica disciplina preveda espressamente le attività di comunicazioni telefoniche per le finalità di invio di materiale pubblicitario, vendita diretta, ricerche o comunicazioni commerciali, oppure se tali comunicazioni siano direttamente funzionali all'attività svolta dall'interessato, sempreché non vi sia stata o sia manifestata opposizione al trattamento;

  • per le numerazioni contenute in banche dati comunque formate (fuori dei casi di cui al punto precedente), il trattamento è possibile nel rispetto dei principi generali e, quindi, previo rilascio di una idonea informativa e l'acquisizione dello specifico consenso;

Esclusioni

L'entrata in funzione del registro non pregiudica le regole vigenti in materia di pubblicità  effettuata attraverso la posta tradizionale o con strumenti diversi dal telefono (es. posta elettronica, telefax, messaggi del tipo Mms o Sms, chiamate automatizzate senza operatore), per la quale continua ad applicarsi il principio della richiesta di un consenso preventivo e informato del destinatario della comunicazione.

Sanzioni

Per la mancata osservanza delle prescrizioni dell'autorità è prevista l'applicazione di una sanzione da 30mila a 180mila euro e, nei casi più gravi, fino a 300mila euro.

Photo coutesy: igordeniro

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.
Bookmark Diggita
0 commenti Link a questo post

Pubblicità comportamentale online: quali regole per la privacy ?

Pubblicato da Stefano Bendandi il 6/13/2011 05:57:00 PM Etichette: , , , , , , , , , , ,
1279664_10824501

Tra le varie forme di pubblicità esistenti, quella "online" rappresenta, senza dubbio, un segmento molto dinamico ed importante per lo sviluppo di un economia legata alla rete Internet.

Esistono, però, degli aspetti di legalità da considerare, soprattutto per quanto riguarda la cd. pubblicità comportamentale, termine con il quale si indica il tracciamento degli utenti in rete, attuato con lo scopo di derivare dall'osservazione delle loro azioni un profilo comportamentale che funga da base per la trasmissione di messaggi pubblicitari "personalizzati" [...]

A causa della invasività delle principali tecniche di tracciamento, nonchè della loro, pressocchè totale,  invisibilità per gli utenti, questa pratica presenta aspetti che possono incidere significativamente sulla protezione dei dati personali e della vita privata perchè, almeno potenzialmente, offre la possibilità di ricostruire, in modo molto dettagliato, le attività online degli interessati, a totale insaputa di questi ultimi.
Per questo motivo essa viene presa in grande considerazione da tutti i legislatori e le autorità di protezione nazionali ed europei; proprio in questo ambito, il gruppo di lavoro dell'articolo 29 della direttiva 95/46/CE (l'organismo rappresentativo delle autorità di protezione europee), ha adottato nel 2010 un parere che fornisce un quadro giuridico di riferimento abbastanza articolato.

Tecniche e strumenti di tracciamento

Sono per lo più basati sull'elaborazione lato client delle informazioni derivanti da motori di ricerca e dall'apparecchiatura terminale dell'utente, con una predominanza dei cd. cookies, frammenti di testo memorizzati e, successivamente, recuperati dal sistema dell'utente con lo scopo di alimentare ed identificare il  profilo comportamentale di quest'ultimo.

Dei cookies si è occupata recentemente anche ENISA - Agenzia Europea per la sicurezza delle informazioni e della rete - con un documento ufficiale (in lingua inglese) intitolato "Bittersweet cookies. Some security and privacy considerations".

Inoltre esistono anche i cd. flash cookies, la cui adozione è in forte aumento perchè consentono di superare le limitazioni insite nella cancellazione (al momento della chiusura del browser) o nel rifiuto (attraverso le impostazioni di privacy) dei cookies tradizionali; tra l'altro, i flash cookies non possono essere cancellati mediante le impostazioni tradizionali di privacy di un web browser, essendo la loro gestione separata e, come tale, poco conosciuta dagli utenti non esperti (vedi Come cancellare i flash cookies dal proprio sistema).

Le regole applicabili

Secondo l'interpretazione fornita, la pubblicità comportamentale soggiace alle disposizioni delle direttive e-privacy (2002/58/CE) e privacy (95/46/CE) o, meglio, della relativa normativa italiana di attuazione, vale a dire il T.U privacy (D.Lgs. 196/2003). Peraltro, la direttiva e-privacy è stata modificata dalla recente direttiva 2009/136/CE che dovrebbe ricevere attuazione nel territorio italiano entro la data del 25 maggio 2011.

Partendo dalla direttiva e-privacy (art. 5, par. 3), risulta che per memorizzare od accedere lecitamente ad informazioni archiviate nell'apparecchiatura terminale di un utente sia necessario il consenso preventivo ed informato dell'interessato.

Le informazioni cui si fa riferimento possono essere di qualsiasi tipo (es. cookies), e non necessariamente dati di natura personale, poichè l'obbligo opera in funzione generica di protezione di un aspetto della vita privata; questo spiega anche il perchè tale obbligo non si applichi soltanto ai servizi di comunicazione elettronica, ma ad ogni altro servizio che si avvalga di tecniche similari.

Quando poi le informazioni raccolte con i cookies od altri simili dispositivi sono di natura personale, si applicano, in aggiunta, i dettami della direttiva privacy (95/46/CE), tra cui vi sono i principi relativi ai diritti degli interessati, alla qualità dei dati, alla sicurezza dei trattamenti ed ai limiti per il trasferimento internazionale dei dati.

Un ulteriore aspetto è quello riguardante l'ambito territoriale di applicazione, in particolare:

  • la tutela offerta dalla direttiva 2002/58/CE riguarda le informazioni conservate nell'apparecchiatura terminale degli interessati che utilizzano reti di comunicazione pubbliche nell'unione europea;

  • la tutela offerta dalla direttiva 95/46/CE riguarda: a) il trattamento dei dati personali effettuato nell'ambito delle attività di un responsabile del trattamento, stabilito nel territorio dell'unione europea; b) il trattamento dei dati personali effettuato da un responsabile del trattamento che, pur non essendo stabilito nel territorio dell'unione europea, ricorre, ai fini del trattamento stesso, a strumenti situati in tale territorio;

Nel parere si evidenzia, da un lato, l'assoluta inadeguatezza degli strumenti tradizionali offerti dal  browser, basati sul rifiuto preventivo e generalizzato dei cookies, e, dall'altro, l'opportunità di implementare, anche con la cooperazione dei produttori di software, meccanismi incentrati su un azione positiva dell'utente, dalla quale risulti la sua volontà di ricevere cookies e di accettare il relativo monitoraggio delle attività online, con lo scopo di ricevere messaggi pubblicitari personalizzati.

Per quanto concerne invece gli obblighi informativi, sul rispetto dei quali si basa la validità del consenso, si considera insufficiente la semplice menzione dell'uso della pubblicità comportamentale all'interno delle condizioni generali del sito e/o dell'informativa privacy; occorre, piuttosto, che agli utenti sia comunicato, in modo chiaro e semplice: a) chi è il responsabile del trasferimento dei cookies e della raccolta delle informazioni, b) il fatto che i cookies sono utilizzati per creare profili dell'utente, c) il tipo di informazioni raccolte, d) l'utilizzo dei profili per la trasmissione di messaggi pubblicitari personalizzati, e) la possibilità che l'utente sia identificato attraverso i cookies su diversi siti web.

Non mancano, infine, considerazioni sulla ripartizione dei profili di responsabilità tra i vari soggetti che risultano coinvolti nel circuito della pubblicità comportamentale, vale a dire i fornitori di reti pubblicitarie, gli editori e gli inserzionisti.

Photo-courtesy: Yello-Dog

Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.
Bookmark Diggita
0 commenti Link a questo post

Le semplificazioni privacy per le aziende nel decreto sviluppo

Pubblicato da Stefano Bendandi il 6/06/2011 06:36:00 PM Etichette: , , , , , , ,
Alcune novità sono state introdotte con il recente decreto per lo sviluppo per la semplificazione di alcuni aspetti concernenti gli adempimenti connessi con il rispetto della normativa sulla privacy, tra cui ricordiamo:
  • il trattamento dei dati tra imprese ed altre persone giuridiche per le sole finalità amministrativo-contabili, non è più soggetto agli obblighi del T.U privacy;
  • l'informativa sul trattamento non è più necessaria nel caso di curricula inviati spontaneamente dai candidati ed il trattamento dei relativi dati può avvenire anche senza consenso;
  • l'obbligo del documento programmatico sulla sicurezza è sostituito con l'obbligo di una autocertificazione per i titolari che trattano soltanto dati personali non sensibili e, come unici dati sensibili e giudiziari, quelli relativi ai propri dipendenti e collaboratori, al lori coniuge o parenti;
  • l'utilizzo della posta cartacea per finalità di marketing e promozionali è consentito solo nei confronti di chi non vi si opponga mediante l'iscrizione in un registro pubblico di opposizione;
 
Ti è piaciuto questo post ? Allora puoi segnalarlo e lasciare un commento oppure, se vuoi rimanere aggiornato, puoi anche iscriverti al feed.
Bookmark Diggita
0 commenti Link a questo post
Iscriviti a: Post (Atom)
Related Posts with Thumbnails