{"id":510,"date":"2011-03-08T09:26:49","date_gmt":"2011-03-08T08:26:49","guid":{"rendered":"http:\/\/www.iavvocato.eu\/?p=510"},"modified":"2019-05-08T12:44:28","modified_gmt":"2019-05-08T11:44:28","slug":"lavvocato-nella-nuvola-dropbox-il-cloud-storage-e-la-tutela-della-privacy-2","status":"publish","type":"post","link":"http:\/\/www.iavvocato.cloud\/?p=510","title":{"rendered":"L\u2019avvocato nella nuvola: Dropbox, Il cloud storage e la tutela della privacy."},"content":{"rendered":"

La nuvola o cloud computing <\/em>(ovvero il trasferimento – in outsourcing<\/em> – dei propri dati o persino degli stessi software<\/em> necessari all\u2019esercizio della professione, da server<\/em> proprietari in studio a server farm<\/em> di terze parti), come gi\u00e0 hanno capito i colleghi d\u2019oltreoceano, \u00e8 una grande opportunit\u00e0 per gli studi legali (costi abbattuti, flessibilit\u00e0, velocit\u00e0, efficienza, scalabilit\u00e0, condivisione, etc). Una grande opportunit\u00e0 che porta con s\u00e8 alcuni interrogativi peculiari della fase pioneristica che stiamo vivendo. Questo post<\/em> nasce dall\u2019interrogativo che i due autori si sono posti, quasi contemporaneamente, di capire quanto di ci\u00f2 che \u00e8 oggi materialmente possibile fare sia anche pienamente legittimo.<\/p>\n

In particolare, il crescente successo – anche tra i colleghi – di Dropbox (che si sta imponendo per la sua versatilit\u00e0 e disarmante semplicit\u00e0 d\u2019uso) per la condivisione\/backup dei dati on the cloud<\/em>, ha reso improcastinabile un\u2019analisi approfondita dei problemi che tale uso pu\u00f2 sollevare, per un avvocato.<\/p>\n

Il problema principale e di intuitiva individuazione \u00e8, per quanto riguarda gli studi legali italiani (o comunitari), la necessit\u00e0 – normativamente imposta – di tutelare la privacy dei dati trattati.<\/p>\n

Questo post<\/em> vuole dunque essere un modo per sensibilizzare i colleghi ed iniziare un dibattito costruttivo, inquadrando le problematiche connesse all\u2019uso del cloud storage<\/em> da parte di un avvocato, e chiss\u00e0 che un giorno non si riesca a portare il dibattito fino al parlamento, o almeno sino ai consigli dell\u2019ordine al fine di individuare uno standard \u201cdeontologicamente corretto\u201d per l\u2019uso del cloud computing<\/em>.<\/p>\n


\nIndice<\/strong><\/span><\/p>\n

1. Dropbox e il cloud computing<\/a><\/p>\n

2. La privacy e l\u2019avvocato.<\/a><\/p>\n

2.1. Introduzione<\/a><\/p>\n

2.2. \u00c8 vietato tutto ci\u00f2 che non \u00e8 espressamente consentito.<\/a><\/p>\n

2.3. Ci\u00f2 che \u00e8 vietato: i vincoli.<\/a><\/p>\n

2.4. L’autorizzazione del Garante.<\/a><\/p>\n

2.5. Il Safe Harbour e le imprese USA “sicure” sotto il profilo della legge sulla Privacy.<\/a><\/p>\n

3. Soluzioni.<\/a><\/p>\n

3.1. La soluzione ottimale.<\/a><\/p>\n

3.2. Le soluzioni sub-ottimali. Pro e contro pratici\/rischio giuridico.<\/a><\/p>\n

4.Conclusioni<\/a><\/p>\n


\n1. Dropbox e il cloud computing.<\/strong><\/span><\/p>\n

\"\"<\/a><\/p>\n

Questo blog aveva gi\u00e0 indicato Dropbox tra le \u201c10 <\/a>applicazioni<\/a>must<\/a>have<\/a>per<\/a>il<\/a>vostro<\/a>nuovo<\/a>iphone<\/a>\u201d. L\u2019applicazione ha il suo punto di forza nella semplicit\u00e0. Per avere i 2 gigabite di spazio gratuiti \u00e8 sufficiente andare sul sito di Dropbox e registrarsi (se lo fate da questo link<\/a> avrete 250 MB aggiuntivi). Il secondo passo \u00e8 scaricare il software<\/em> leggerissimo sul vostro computer (Dropbox \u00e8 disponibile per Mac, Pc, e anche Linux). Una volta installato (e il procedimento di installazione \u00e8 davvero immediato e senza fronzoli) il programma crea una semplice cartella nel computer (l\u2019utente pu\u00f2 decidere dove installarla). Questa cartella viene duplicata online<\/em>, e i documenti che si trovano nella stessa sono sempre tenuti sincronizzati con la copia online<\/em>. Possono essere articoli di dottrina, sentenze o interi fascicoli.<\/p>\n

Quegli stessi documenti sono poi accessibili da qualsiasi computer collegato ad internet, accedendo al sito di Dropbox ed inserendo i propri login<\/em> e password<\/em>.<\/p>\n

Oppure, qualora si abbia la necessit\u00e0 di sincronizzare il contenuto di una o pi\u00f9 cartelle tra due computer (ad esempio casa e ufficio), \u00e8 sufficiente installare Dropbox su entrambi usando gli stessi login<\/em> e password<\/em> per attivare entrambi, e le stesse cartelle del Dropbox del primo appariranno – quasi magicamente vista la semplicit\u00e0 del procedimento – nel secondo computer. Questo, di fatto, elimina la necessit\u00e0 di una chiavetta USB se si devono trasferire dati tra due computer connessi ad internet.<\/p>\n

Oppure si pu\u00f2 decidere di condividere una sottocartella relativa ad una pratica con un cliente, oppure con un collega (semplicemente attraverso un click destro del mouse e inviando l\u2019invito), ma per farlo anch\u2019egli dev\u2019essere iscritto a Dropbox (oppure si deve iscrivere nel momento in cui riceve l\u2019invito a condividere la cartella).<\/p>\n

Il programma \u00e8, ovviamente, dotato di un\u2019ottima applicazione universale per iPhone e iPad, disponibile gratuitamente su App Store (ed esistono anche le versioni per Android e Blackberry).<\/p>\n

Insomma, come gi\u00e0 accennato, grande semplicit\u00e0 d\u2019uso, immediatezza, universalit\u00e0 e funzionamento apparentemente privo di bugs<\/em>, sono i punti di forza di questo servizio che si appoggia al servizio di server di Amazon<\/a>‘<\/a>s<\/a>Simple<\/a>Storage<\/a>Service<\/a> (<\/a>S<\/a>3)<\/a> per funzionare.<\/p>\n

Questo significa che alla policy sulla sicurezza dei dati di Amazon<\/a> si aggiunge quella di Dropbox<\/a>, il che dovrebbe garantire maggiore affidabilit\u00e0. Tuttavia, nonostante i proclami roboanti del sito, permangono – ad oggi irrisolti – alcuni punti di criticit\u00e0 che ostacolano un sereno utilizzo professionale di Dropbox (anche se nella prassi quotidiana il programma \u00e8 di fatto utilizzato da molti colleghi).<\/p>\n

In particolare, come vedremo, il fatto che Dropbox utilizzi server Amazon localizzati in California pone alcuni problemi legati alla normativa UE ed a quella interna in materia di tutela della Privacy.<\/p>\n

In sostanza e per evitare di dilungarci troppo, Dropbox pu\u00f2 svolgere sia la funzione di disco di backup online<\/em> dei dati, sia – ad esempio affiancato ad iPad – la funzione di garantire un accesso costante alla documentazione relativa a un fascicolo o una causa, sempre aggiornata, dovunque.<\/p>\n

Le due funzioni sono diverse. Non sotto il profilo giuridico-concettuale ma – come si vedr\u00e0 – per quanto riguarda il funzionamento pratico. La differenza pratica produce dei riflessi nel rapporto tra funzionalit\u00e0 e legittimit\u00e0, legati alle diverse soluzioni tecnologiche disponibili a seconda della funzione che si vuole usare.<\/p>\n

Come vedremo, se per quanto riguarda la funzione di back-up online <\/em>dei dati, esistono diverse soluzioni soddisfacenti che consentono di salvaguardare, contemporaneamente, tutela dei dati e funzionalit\u00e0, non altrettanto si pu\u00f2 dire per l\u2019utilizzo pi\u00f9 sofisticato e coinvolgente dell\u2019iPad quale fascicolo digitale always-on<\/em>. Per quest\u2019ultima funzione esistono – ad oggi – soluzioni alternative a Dropbox, ma che richiedono comunque di fare una scelta di compromesso tra sicurezza e funzionalit\u00e0.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/p>\n


\n2. La privacy e l\u2019avvocato.<\/strong><\/span><\/p>\n


\n2.1. Introduzione<\/strong><\/span><\/p>\n

Abbiamo, dunque, deciso di prendere di petto il problema, e iniziare ad analizzare in modo approfondito le problematiche giuridiche legate all\u2019uso di strumenti come Dropbox, se impiegati nell\u2019ambito dell\u2019attivit\u00e0 professionale. Problematiche che si risolvono, principalmente, in una valutazione di compatibilit\u00e0 con le norme Ue (direttiva 95\/46\/CE) e con le norme italiane di cui al c.d. Codice della Privacy (d.lgs. n. 196\/2003).<\/p>\n

Il libero professionista pu\u00f2, infatti, usare il servizio di cloud storage<\/em> sia per i propri file<\/em> personali (foto, musica ecc.), sia per quelli lavorativi. Ed \u00e8 proprio l\u2019uso professionale che sar\u00e0 oggetto di questo approfondimento.<\/p>\n

Il fenomeno \u00e8, come anticipato, di grande attualit\u00e0, atteso che, se, da un lato, le grandi possibilit\u00e0 che fanno da corollario all\u2019utilizzo di strumenti di cloud-computing<\/em> (come dimostra per altro la grande diffusione negli studi legali americani) consentono un salto in avanti notevole in termini di mobilit\u00e0 (soprattuto, ma non solo, se usati con strumenti come iPhone o iPad e\/o altri tablet<\/em>), di backup<\/em>, di condivisione ecc., dall\u2019altro lato l\u2019ovvia delicatezza dei file di lavoro (quali lettere, atti giudiziari, pareri o, anche, fascicolo digitale completo magari contenente anche situazioni sanitarie del cliente o della controparte) costringe il legale che voglia utilizzarli a porsi con attenzione determinati interrogativi in materia di sicurezza e riservatezza delle metodologie utilizzate. Queste considerazioni valgono, analogamente, anche per altri liberi professionisti: ad esempio per i dottori commercialisti che possono utilizzare Dropbox con file<\/em> di contabilit\u00e0 dei clienti (fatture, ecc.) o per le dichiarazioni dei redditi (quindi con file<\/em> concernenti spese sanitarie ecc., ovvero dati sicuramente sensibili), magari condividendoli con i clienti stessi, vista la semplicit\u00e0 e l\u2019efficenza dello strumento.<\/p>\n

Numerosi sono stati, quindi, gli aspetti normativi considerati, nella speranza di non aver tralasciato alcun profilo rilevante, e con l\u2019obbiettivo, se possibile, di offrire una o pi\u00f9 soluzioni compatibili con la privacy<\/em> quando i file<\/em> di lavoro vengono depositati su server posti al di fuori dalla UE, come nel caso di Dropbox.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/p>\n


\n2.2. \u00c8 vietato tutto ci\u00f2 che non \u00e8 espressamente consentito.<\/strong><\/span><\/p>\n

Al di fuori di alcune, pur importanti, ipotesi derogatorie che saranno di seguito tratteggiate, (ovvero quelle indicate negli art. 43 e 44 del Codice della Privacy<\/em>), \u201cil trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, \u00e8 vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato<\/em>\u201d (cfr. art. 45 Codice della Privacy<\/em>).<\/p>\n

* * *<\/p>\n

Preliminarmente \u00e8 utile sgombrare il campo da ci\u00f2 che, fortunatamente,non \u00e8 necessario fare<\/strong> ai sensi della normativa vigente: non \u00e8 necessaria la notifica preventiva al Garante.<\/span><\/p>\n

Ci sembra, infatti, di poter affermare – con un ragionevole grado di certezza – che non sia necessaria alcuna notifica preventiva al Garante per il trattamento, attraverso strumenti come Dropbox, di quei dati dei clienti ordinariamente gestiti da un\u2019avvocato.<\/p>\n

La previsione della notifica quando il trattamento comporta il trasferimento all’estero dei dati (art. 37 comma 3 del Codice della Privacy) vale solo per i seguenti trattamenti (individuati al 1\u00b0 comma dell\u2019art. 37): \u201ca) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivit\u00e0, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalit\u00e0 dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonch\u00e9 dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilit\u00e0 economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti<\/em>\u201d.<\/p>\n

Dalla normativa sulla tutela della privacy non emergono particolari problemi legati all\u2019uso di Dropbox <\/strong>quando il trasferimento, anche temporaneo, fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento e diretto verso un Paese non appartenente all’UE concerne dati riguardanti persone giuridiche, enti o associazioni in quanto espressamente consentito<\/strong> dalla deroga di cui all\u2019art. 43, comma 1\u00b0, lettera h) del Codice della Privacy.<\/p>\n

Ovviamente la sicurezza dei dati trattati pone, anche con riferimento alle persone giuridiche, importanti interrogativi riguardanti la sicurezza dei dati e la responsabilit\u00e0 del professionista per la diligenza utilizzata. Ma sono profili di tipo contrattuale e deontologico, non legati alla tutela della privacy.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/p>\n


\n2.3. Ci\u00f2 che \u00e8 vietato: i vincoli.<\/strong><\/span><\/p>\n

Il discorso si fa, invece, enormemente pi\u00f9 delicato quando i dati trasferiti in paesi extra UE riguardano le persone fisiche in quanto le norme applicabili dettano una disciplina piuttosto articolata. L\u2019art. 43 del Codice della Privacy<\/em> consente il trasferimento di dati di persone fisiche (non solo quelli sensibili, ma tutti i tipi di dati, quindi anche, ad es., la semplice rubrica dei contatti) in paesi extra UE in una serie di ipotesi (comma 1\u00b0 lettere b) – g)) tutte, per\u00f2, caratterizzate dal principio della necessit\u00e0 del trattamento: l\u2019utilizzo, per\u00f2, del servizio di Dropbox o altri strumenti analoghi di cloud storage<\/em> \u00e8 una mera facolt\u00e0, una possibilit\u00e0. La medesima norma alla lettera a) ci offre, tuttavia, una prima soluzione, seppure parziale, in quanto autorizza espressamente il trasferimento di dati verso paesi non UE quando \u201cl’interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta<\/em>\u201d. Soluzione parziale in quanto il consenso potr\u00e0, ovviamente, essere rilasciato solo dal proprio cliente e non certo dalla controparte o dalle controparti persone fisiche (se sono persone giuridiche, enti o associazioni o Uffici della P.A. il problema, come visto sopra, non si pone). A tale scopo non aiuta l\u2019Autorizzazione del Garante n. 4\/2009 al trattamento dei dati sensibili da parte dei liberi professionisti (G.U. n. 13 del 18.01.2010 – suppl. ord. n. 12) la quale prevede che \u201cil trattamento deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto all’incarico conferito dal cliente\u201d; ancora una volta l\u2019impiego di servizi come Dropbox non pu\u00f2 certamente configurarsi come strettamente indispensabile con l\u2019incarico conferito.<\/p>\n

Inoltre si sottolinea che, a nostro parere, il consenso e l\u2019informativa dovranno essere redatti in maniera molto scrupolosa per evitare di incorrere in responsabilit\u00e0; il Gruppo dei Garanti Europeo ha, infatti, segnalato la difficolt\u00e0, in concreto, di dimostrare di aver dato all\u2019interessato una corretta informazione ovvero di poter provare che l\u2019interessato \u00e8 stato messo a conoscenza del trasferimento all\u2019estero e della effettiva destinazione e della assenza, se del caso, di un regime di tutela adeguato presso quel paese. In conseguenza di ci\u00f2, il preventivo consenso dovr\u00e0, a nostro avviso, indicare anche specificatamente il tipo di trattamento informatico che si intende attuare, l\u2019indicazione del servizio che si vuole impiegare (dichiarando espressamente di volersi avvalere ad es. di Dropbox), le persone che vi possono accedere e gli strumenti impiegati dal legale (ad es. computer, iPhone, iPad ecc.), l\u2019indicazione del Paese in cui sono localizzati i server<\/em> ove risiederanno i dati, il rischio conseguente al regime giuridico diverso, e meno protettivo rispetto a quello UE, del Paese ed ogni altra informazioni utile a dimostrare il livello di sicurezza adottato per il trattamento dei dati.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/div>\n

 <\/p>\n

2.4. L’autorizzazione del Garante.<\/strong><\/div>\n

Il trasferimento di dati verso un Paese extra UE \u00e8, inoltre, ammesso quando \u00e8 autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell\u2019interessato che possano risultare anche da un contratto oppure sulla base di decisioni (ex artt. 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95\/46\/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995) della Commissione europea che constata un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti (cfr. art. 44 Codice della Privacy<\/em>). Nell\u2019ambito di tali due principi il trasferimento in Paesi extra UE \u00e8, dunque, in astratto possibile ove l’azienda fornitrice del servizio di cloud storage<\/em> adotti nel contratto stipulato con l\u2019utente quell\u2019insieme di clausole contrattuali tipo di cui alla Decisione della Commissione Europea del 5 febbraio 2010 n. 2010\/87\/UE (pubblicata su G.U.C.E. L 39\/5 del 12.02.2010 e recepita dal Garante italiano con l\u2019Autorizzazione generale n. 35 del 27.05.2010 in G.U. n. 141 del 19.06.2010) volte a costituire garanzie sufficienti ai fini della tutela della riservatezza, dei diritti e delle libert\u00e0 fondamentali delle persone, nonch\u00e9 per l’esercizio dei diritti connessi in caso di trasferimento di dati personali verso paesi terzi. Dropbox non si avvale, tuttavia, di tali clausole contrattuali tipo e quindi viene meno uno dei due principi sopra indicati per il trasferimento di dati di persone fisiche verso Paesi non UE.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/p>\n


\n2.5. Il Safe Harbour e le imprese USA “sicure” sotto il profilo della legge sulla Privacy.<\/strong><\/span><\/p>\n

Il secondo principio posto a salvaguardia della funzionalit\u00e0 degli scambi dalla normativa europea e quindi da quella nazionale \u00e8 quello della Decisione adottata dalla Commissione europea la quale individua un livello di protezione adeguato a quello vigente nell\u2019ambito dell\u2019Unione Europea in Paesi terzi ai fini della tutela della vita privata o dei diritti e delle libert\u00e0 fondamentali della persona. Questo procedimento prevede una serie di passaggi impegnativi – proposta della Commissione, parere del Gruppo dei Garanti Europei, parere del Comitato dei Rappresentanti degli Stati membri, scrutinio del Parlamento europeo, adozione della decisione da parte del collegio dei Commissari – e termina con una decisione di adeguatezza; si comprende facilmente come siano stati ritenuti adeguati un limitato numero di Paesi. Ad oggi, infatti, la Commissione ha reputato di poter esprimere un giudizio positivo di adeguatezza nei confronti di Australia, Canada, Argentina, Ungheria, Svizzera, Isola di Man, Guernsey e Stati Uniti limitatamente al programma Safe Harbor<\/em>.<\/p>\n

Il programma Safe Harbor<\/em> scaturisce dalla Decisione del 26 luglio 2000 n. 2000\/520\/CE (in G.U.C.E. L 215 del 25.08.2000<\/a> e G.U.C.E. L 115 del 25.04.2001<\/a>) in base alla quale i “Principi di approdo sicuro in materia di riservatezza” allegati alla medesima decisione, applicati in conformit\u00e0 agli orientamenti forniti da talune “Domande pi\u00f9 frequenti<\/a>” (FAQ) parimenti allegate, garantiscono un livello adeguato di protezione dei dati personali trasferiti dalla UE ad organizzazioni aventi sede negli USA sulla base della documentazione pubblicata dal Dipartimento del commercio statunitense.<\/p>\n

Esso \u00e8, in concreto, costituito da una serie di principi, sintetizzati da una serie di “Domande pi\u00f9 frequenti<\/em>” (FAQ), redatti dal Dipartimento del Commercio USA in accordo con l’UE al fine di garantire un livello adeguato di protezione dei dati personali trasferiti da persona fisica o giuridica o enti residenti in quest’ultima a soggetti aventi sede negli Stati Uniti. Va sottolineato che le imprese sono tenute ad una \u201cAnnual<\/a>Reaffirmation<\/a>\u201d dell\u2019autocertificazione di adesione ai criteri del Safe Harbor<\/em>, pena la perdita dei relativi benefici.<\/p>\n

Resta da chiarire se il trasferimento di dati verso aziende aderenti al Safe Harbor<\/em> “aventi sede<\/strong><\/em>” negli Stati Uniti copra anche i casi in cui queste aziende possiedano numerosi server al di fuori sia degli Stati Uniti sia dell’UE e adottino – a fini di sicurezza – una policy di “non disclosure<\/em>” della collocazione fisica dei dati. Dalla lettura del box a pagina 5 delle risposte alle “Domande pi\u00f9 frequenti<\/a>” (FAQ) pubblicate dalla Commissione Europea sembrerebbe che la partecipazione dell’impresa USA al safe harbour<\/em> sia ritenuta garanzia sufficiente, tuttavia vista la delicatezza del tema sarebbe auspicabile un chiarimento ufficiale (la FAQ, infatti, espressamente prevede che le risposte in essa contenute “do not have any legal value and do not necessarily represent the position that the Commission may adopt in a particular case<\/em>“).<\/p>\n

Nel nostro paese il Safe Harbor<\/em> \u00e8 stato recepito con la Deliberazione del Garante n. 36 del 10 ottobre 2001 denominata “Autorizzazione al trasferimento verso gli Stati Unti d’America” (in G.U. 26.11.2001 n. 275 – suppl. ord. n. 250) che, appunto, autorizza i trasferimenti di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati sulla base e in conformit\u00e0 ai “Principi di approdo sicuro in materia di riservatezza”, applicati in conformit\u00e0 alle “Domande pi\u00f9 frequenti<\/em>” (FAQ) e all’ulteriore documentazione allegata alla Decisione della Commissione europea del 26 luglio 2000 n. 2000\/520\/CE.<\/p>\n

La Camera di commercio americana mette a disposizione un link<\/a> al quale \u00e8 possibile verificare quali aziende sono in regola e dunque “affidabili” sotto il profilo della tutela della privacy<\/em> Europea.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/p>\n


\n3. Soluzioni.<\/strong><\/span><\/p>\n

3.1. La soluzione ottimale.<\/strong><\/span><\/p>\n

Teoricamente, la soluzione ottimale sarebbe che Dropbox consentisse all\u2019utente di scegliere quali server<\/em> Amazon S3 utilizzare (esistono anche dei server Amazon<\/a>S<\/a>3 <\/a>in<\/a>Europ<\/a>a, in particolare in Irlanda). Noi, professionisti Comunitari, potremmo scegliere i server fisicamente siti in territorio irlandese e il problema normativo sarebbe risolto completamente: niente pi\u00f9 trasferimento \u201cextra UE\u201d dei dati e le libert\u00e0 comunitarie ci proteggerebbero dall\u2019essere discriminati per l\u2019uso di un sever UE, pur continuando ad approfittare in pieno della estrema semplicit\u00e0 di Dropbox. Purtroppo, per\u00f2, la societ\u00e0 americana non consente questa scelta. N\u00e9, a leggere i forum<\/a><\/em> sul suo sito, al momento sembrano intenzionati prenderla in considerazione (in uno di questi forum<\/em>, sul quale vi invito ad andare – su questo link<\/a> – \u00e8 possibile votare questa feature<\/em> tra quelle che si vorrebbero disponibili: chiss\u00e0 che se si \u00e8 in tanti non sentano la pressione).<\/p>\n

In ogni caso, per ora i server<\/em> S3 Amazon utilizzati continuano ad essere quelli californiani, e purtroppo Dropbox non aderisce al protocollo Safe Harbour, n\u00e9 sembra pianifichi di aderirvi nell\u2019immediato futuro.<\/p>\n

Certo, \u00e8 pur vero che Amazon<\/a> (al pari di Google<\/a> e Apple<\/a>, ma diversamente da Dropbox<\/span><\/strong>) aderisce al protocollo Safe Harbour, dunque teoricamente si potrebbe anche sostenere l\u2019insussistenza di un problema di violazioni della legge sulla privacy<\/em>, posto che l\u2019impresa fisicamente in charge<\/em> dello storage<\/em> dei dati aderisce – anche con riferimento ai suoi server<\/em> siti in California – ai parametri di compatibilit\u00e0 con la normativa comunitaria stabiliti dalla camera di commercio americana sulla base delle indicazioni della Commissione Europea.<\/p>\n

Quest\u2019ultimo \u00e8 certamente un valido argomento. Tuttavia \u00e8 difficile ignorare che tra Amazon e il professionista che decidesse di usare la \u201cnuvola\u201d di Dropbox per archiviare i dati personali dei clienti si andrebbe a frapporre un\u2019altra societ\u00e0 – Dropbox – non-UE, non-aderente al protocollo Safe Harbour (e dunque non vincolata ai parametri UE di tutela della privacy<\/em>) e i cui tecnici sono fisicamente in grado di accedere ai dati.<\/p>\n

Anche perch\u00e9, per completezza e precisione, dobbiamo ricordare che pur essendo vero i dati archiviati su Dropbox:<\/p>\n

\u25cf sono trasmessi su protocollo sicuro (https) e<\/p>\n

\u25cf sono archiviati crittografati sui loro server<\/em><\/p>\n

tuttavia la chiave crittografica \u00e8 detenuta solo ed esclusivamente da Dropbox.<\/p>\n

Cautelativamente, dunque, in assenza di qualsiasi pronunciamento ufficiale a riguardo, non ci sentiamo sereni a raccomandare un tale uso per gestire dati relativi a clienti persone fisiche.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/p>\n


\n3.2. Le soluzioni sub-ottimali. Pro e contro pratici e rischio giuridico.<\/strong><\/span><\/p>\n

3.2.1. Jungledisk<\/p>\n

Tra i servizi alternativi a Dropbox abbiamo provato e testato (su piattaforma Mac Osx e iPad) quello di Jungledisk ed \u00e8 quello che maggiormente risulta conforme alla normativa sulla privacy<\/em>: il servizio presenta alcuni indubbi vantaggi, ma anche alcuni difetti operativi. Il servizio funziona praticamente come Dropbox, esiste per\u00f2 soltanto a pagamento. Il software relativo \u00e8 multipiattaforma (Windows, Linux, Mac Osx, iPad ecc.), ma offre molte pi\u00f9 opzioni e possibilit\u00e0 sia per la sincronizzazione tra computer diversi, sia per il backup dei dati. Proprio per questo, la fase dell’installazione \u00e8 sicuramente un pochino pi\u00f9 macchinosa rispetto a Dropbox. Si deve, infatti, scegliere, se appoggiarsi ai server<\/em> Jungledisk o in alternativa ai serve<\/em>r Amazon S3; in quest’ultimo caso bisogna per\u00f2 prima attivare un account<\/em> (a pagamento, dove si pagher\u00e0 lo spazio occupato ed il traffico di dati ma non vi sono limiti di spazio sui server: per un utilizzo normale non \u00e8 affatto costoso) su Amazon S3 dove si pu\u00f2 scegliere se impiegare i server<\/em> americani o quelli irlandesi. Come detto il servizio presenta diversi aspetti che ci portano a ritenerlo compatibile con la normativa europea ed italiana sulla privacy<\/em>: 1) Amazon ha aderito ai principi del Safe Harbor; 2) in ogni caso, scegliendo i server irlandesi si rimane all’interno della UE senza compiere, pertanto, alcun trasferimento di dati all’estero; 3) l’utente, oltre alla password<\/em> di login<\/em>, pu\u00f2 sceglierne una seconda con cui proteggere, in modo trasparente ed efficiente anche in termini di velocit\u00e0, tutti i file che vengono crittografati sul proprio pc e vengono poi inviati al server<\/em>. Quest’ultima funzione \u00e8 stata da noi verificata sia accedendo ai nostri file via browser<\/em>, sia con l’app<\/em> per iPad (http:\/\/itunes.apple.com\/us\/app\/jungle-disk\/id359523081?mt=8) ed in entrambe le ipotesi ci \u00e8 stata richiesta la seconda password<\/em> per potervi accedere. L’applicazione per iPad ha, al momento, un grosso limite, ovvero i file si possono solo vedere ma non si possono modificare. Sul forum<\/em> dell’azienda \u00e8 detto che tale possibilit\u00e0 verr\u00e0 aggiunta in una prossima versione dell’applicazione ma, al momento e dopo dieci mesi, tutto tace.<\/p>\n

3.2.2. Criptaggio<\/p>\n

Per adempiere totalmente alla normativa sulla privacy<\/em> l’utente pu\u00f2 provvedere autonomamente a criptare i file in locale prima che vengano trasferiti sui server<\/em> di terze parti che forniscono i servizi di cloud storage<\/em>; questo potrebbe, a nostro parere, evitare che il comportamento posto in essere dal professionista integri la fattispecie normativa astratta vietata dal codice della privacy<\/em> (verrebbe meno il concetto di \u201ctrasferimento all’estero di dati personali\u201d) dal momento che – in realt\u00e0 – a seguito del criptaggio verrebbero trasferiti all\u2019estero non dati personali ma una sequenza di dati illeggibile senza la chiave di decriptazione.<\/p>\n

Si pu\u00f2 ad esempio usare un programma come Truecrypt (opensource e multipiattaforma) ovvero creare un contenitore, nel quale inserire tutti nostri file, nella directory<\/em> di sincronizzazione; il contenitore verr\u00e0 caricato sul server<\/em> di Dropbox in un sensibile numero di ore la prima volta, ma successivamente, per grande che sia il contenitore, il tempo impiegato per la sincronizzazione diminuir\u00e0 in quanto verranno sincronizzati solo i file modificati, ovvero solo il delta del contenitore modificato, rendendo l’operazione sicuramente molto, ma molto, pi\u00f9 veloce. Ovviamente la trasmissione delle aggiunte o delle modifiche operate sui nostri file<\/em> verranno caricate solo quando chiuderemo il contenitore Truecrypt.<\/p>\n

Alternativamente si possono usare altri programmi come ad esempio Axcrpt (opensource<\/em> ma solo per ambienti Windows); tutti file dovranno, per\u00f2, essere singolarmente criptati e poi trasmessi ai server<\/em> Dropbox.<\/p>\n

L’altra grossa scomodit\u00e0 operativa nel seguire le due possibilit\u00e0 sopra delineate \u00e8 quella che, per poter usare i file<\/em> con un computer diverso da quello abituale, questi ultimi non sono immediatamente disponibili per la lettura e\/o per la modifica ma necessitano di essere prima scaricati sul computer e poi decriptati. Inoltre, questi sistemi non possono al momento essere usati con l’iPad in quanto non esistono versioni disponibili per tale piattaforma.<\/p>\n

3.2.3. WebDav<\/p>\n

In alternativa alle opzioni sopra proposte si pu\u00f2 pensare di creare sul proprio server di studio e\/o di ufficio un sevizio di WebDav in modo da poter gestire i file, anche da remoto, in tutta libert\u00e0. Si pu\u00f2, quindi, attivare tale servizio o su un server<\/em> Linux, o Windows Server o Mac OSX Server (quest\u2019ultimo ha il supporto<\/a> nativo). Tale scelta ha il pregio di poter configurare e gestire il proprio servizio di cloud storage<\/em> come si vuole (usando filesystem<\/em> crittografati, accessi selettivi e personalizzati ecc.) oppure si possono usare soluzioni hardware<\/em> tutto sommato, molto semplici, come ad esempio quelle proposte dalla Pogoplug<\/a>.<\/p>\n

Tutte queste possibilit\u00e0 presentano, per\u00f2, una serie di potenziali svantaggi da ponderare attentamente.<\/p>\n

In primo luogo \u00e8 bene tenere conto che ricade sul professionista e\/o sullo studio la totale responsabilit\u00e0 (tecnica, civile, amministrativa ed anche penale) del servizio approntato; si dovr\u00e0, infatti, porre una particolare attenzione ad ottemperare a tutti i precetti previsti dal Codice della Privacy<\/em> in materia di trattamento di dati con sistemi informatici (artt. 31 – 36 oltre a quanto previsto nel Disciplinare tecnico) e ci\u00f2 potrebbe comportare un aggravio dei costi di struttura.<\/p>\n

In secondo luogo, \u00e8 necessario avere un indirizzo ip statico per potersi collegare attraverso internet oppure, soluzione sicuramente meno costosa, ci si pu\u00f2 avvalere, ad esempio, del servizio gratuito fornito dalla Dyndns.com.<\/p>\n

In terzo luogo, difficilmente si avr\u00e0 la possibilit\u00e0 di avere una delle caratteristiche proprie dei servizi terzi di cloud storage<\/em> ovvero la “ridondanza”: i dati contenuti sui server, ad es. di Dropbox, sono duplicati, in tempo reale o comunque in uno spazio temporale molto breve, su diversi server posizionati in luoghi fisici diversi in modo che, in caso di guasto di uno di questi, i dati siano sempre e comunque disponibili e fruibili dall’utente.<\/p>\n

Infine, sar\u00e0 pi\u00f9 complesso e, forse, pi\u00f9 costoso avvalersi di un programma client<\/em> cos\u00ec efficiente, anche in termini di velocit\u00e0, come quello di Dropbox, che non solo permetta l’accesso in remoto ai nostri file ma anche sincronizzi in modo continuativo e costante i nostri file memorizzati in locale (pc, iPhone, iPad ecc.) con il nostro server webdav<\/em>. Quest\u2019ultimo aspetto non \u00e8 da sottovalutare atteso che \u00e8 gi\u00e0 significativamente evidente confrontando tra loro i diversi servizi terzi di cloud storage<\/em> presenti su mercato: a parit\u00e0 di velocit\u00e0 di connessione internet (elemento determinante per potersi avvalere professionalmente di questi servizi) Dropbox \u00e8 spesso pi\u00f9 veloce ed efficiente di altri servizi analoghi.<\/p>\n

In altre parole, la soluzione di un proprio servizio di Webdav dovr\u00e0 essere attentamente ponderata e valutata sulla base, da un lato, delle proprie esigenze e, dall\u2019altro, delle propria organizzazione informatica e tecnica dello studio e\/o dell\u2019ufficio in considerazione dell\u2019aggravio delle attivit\u00e0 e degli adempimenti normativi da porre in essere.<\/p>\n

Torna all’indice<\/a><\/p>\n

* * *<\/p>\n


\n4.Conclusioni<\/strong><\/span><\/p>\n

Le conclusioni saranno molto brevi, anche perch\u00e8 il post era piuttosto esaustivo (anche se, ahinoi, per impossibilit\u00e0 rebus sic stantibus<\/em>, certo non risolutivo).<\/p>\n

Il suggerimento che ci sentiamo di dare oggi ai colleghi \u00e8: handle with care<\/em>. Usiamo la nuvola, ma con quella superiore cautela cui l\u2019obbligo deontologico che vincola la nostra professione ci obbliga.<\/p>\n

Senza integralismi. N\u00e9 pro, n\u00e9 contro. E\u2019 un utilissimo strumento, che presenta innumerevoli vantaggi, come l\u2019incredibile aumento di efficienza e l\u2019altrettanto importante riduzione dei costi, ma al contempo presenta sicuramente importanti profili di criticit\u00e0.<\/p>\n

Sicuramente, col tempo, gradualmente, emergeranno soluzioni maggiormente rispondenti alle nostre esigenze professionali. La Commissione Europea sta lavorando ad una strategia europea per il <\/a>cloud computing<\/a>, <\/em>adottata la quale l’ecosistema regolamentare comunitario dovrebbe risultare maggiormente definito. Tuttavia l’adozione della strategia UE non \u00e8 prevista prima del 2012 e dunque, pervasi dalla proverbiale irrequietezza forense, ci piace prendere spunto da questo articolo per lanciare un appello. O meglio, due.<\/p>\n

Il primo appello \u00e8 per i colleghi<\/strong> che siano interessati ad accelerare il momento in cui si potr\u00e0 arrivare ad una soluzione normativamente sicura e deontologicamente ineccepibile, pur restando efficiente: organizziamoci<\/strong>, creiamo un gruppo di lavoro. A nessuno di noi il lavoro lascia molto tempo libero, ma viviamo in tempi di wikinomics<\/a>, e, se ci mobiltiamo in numero sufficiente, in tempi brevi e dedicando poche ore a testa, ci troveremo in mano un progetto. Se non normativo, perlomeno una proposta di deliberazione per i nostri consigli dell\u2019ordine.<\/p>\n

Il secondo appello \u00e8 per i tecnici<\/strong>, per le imprese che si occupano di informatica e telecomunicazioni, insomma per tutti coloro che possano essere interessati a collaborare con il mondo forense ed a lavorare ad una soluzione che risponda alle nostre esigenze di efficienza, al contempo risolvendo le criticit\u00e0 evidenziate nel post<\/em> (e le altre criticit\u00e0 che – per questioni di spazio – non si sono potute trattare, per un utile panoramica delle quali segnaliamo l<\/a>\u2019<\/a>articolo<\/a> – come sempre chiarissimo – del collega Ernesto Belisario).<\/p>\n

Chi fosse interessato a partecipare, pu\u00f2 farcelo sapere con una mail a info@iavvocato.eu, un commento a questo post<\/em>, oppure sulla pagina facebook <\/em>di iAvvocato<\/a>.<\/p>\n

Giovanni Mameli<\/a> & Valerio Vertua<\/a><\/p>\n

Torna all’indice<\/a><\/p>\n

(*) Questo articolo pu\u00f2 essere riprodotto liberamente su internet o carta stampata, in tutto o in parte, purch\u00e8 vengano sempre indicate chiaramente le parti citate e evidenziato opportunamente il link alla fonte originale.<\/p>\n

(**) L’uso della foto del post \u00e8 stata gentilmente concessa da Mauronster studio<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

La nuvola o cloud computing <\/em>(ovvero il trasferimento – in outsourcing<\/em> – dei propri dati o persino degli stessi software<\/em> necessari all\u2019esercizio della professione, da server<\/em> proprietari in studio a server farm<\/em> di terze parti), come gi\u00e0 hanno capito i colleghi d\u2019oltreoceano, \u00e8 una grande opportunit\u00e0 per gli studi legali (costi abbattuti, flessibilit\u00e0, velocit\u00e0, efficienza, scalabilit\u00e0, condivisione, etc). Una grande opportunit\u00e0 che porta con s\u00e8 alcuni interrogativi peculiari della fase pioneristica che stiamo vivendo. Questo post<\/em> nasce dall\u2019interrogativo che i due autori si sono posti, quasi contemporaneamente, di capire quanto di ci\u00f2 che \u00e8 oggi materialmente possibile fare sia anche pienamente legittimo.<\/p>\n","protected":false},"author":1,"featured_media":459,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[1,5,3,4,7],"tags":[20,67,27],"class_list":["post-510","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-apple","category-ipad","category-iphone","category-mac","category-opensource","tag-applicazioni","tag-cloud","tag-professione"],"_links":{"self":[{"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=\/wp\/v2\/posts\/510","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=510"}],"version-history":[{"count":33,"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=\/wp\/v2\/posts\/510\/revisions"}],"predecessor-version":[{"id":1891,"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=\/wp\/v2\/posts\/510\/revisions\/1891"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=\/wp\/v2\/media\/459"}],"wp:attachment":[{"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=510"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=510"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.iavvocato.cloud\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=510"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}