slide - Didattica

Cloud computing e processi di outsourcing dei servizi informatici
La tutela dei dati nei processi di
outsourcing informatico in India
Domenico Francavilla
Dipartimento di Scienze Giuridiche
Università di Torino
[email protected]
Temi
•
L’adeguatezza del livello di protezione dei dati in India
•
Rapporto tra scelte di impresa e legal framework
•
La riforma della disciplina indiana su sicurezza dei dati e privacy: novità e problemi
BPO e Legal Framework
Lo sviluppo dell’outsourcing verso l’India si è realizzato in assenza di una disciplina
comprensiva di tutela della sicurezza dei dati e della privacy.
Le regole europee che pongono restrizioni al trasferimento di dati verso paesi terzi che
non soddisfano uno standard adeguato di tutela hanno spinto le imprese indiane a
fare pressione per l’introduzione di una disciplina capace di soddisfare i requisiti
europei.
Obiettivo: evitare che i rischi legati alla sicurezza dei dati costituiscano un ostacolo
all’outsourcing verso l’India - “Destinazione sicura”
Clausole contrattuali – diritto nazionale – standard industriali
Codici di condotta
•
Particolarmente attiva la NASSCOM (National Association of Software and Services
Companies) che riunisce le imprese che operano nel settore dell’Information
Technology e del Business Process Outsourcing
•
Data Security Council of India
“DSCI is a not-for-profit organization, established with the key objective of building
a credible and committed body to uphold a high level of data privacy and security
standards. The Mission of DSCI is to create trustworthiness of Indian companies as
global sourcing service providers, and to send out a message to clients worldwide
that India is a secure destination for outsourcing where privacy and protection of
customer data are enshrined in the global best practices followed by the industry.”
La tutela dei dati nel diritto indiano
Problemi generali
- Adeguatezza della protezione dei dati personali (decisione Commissione)
- Tutela contrattuale e Statutory protection
Assenza di una disciplina organica di tutela della sicurezza dei dati e della privacy
Legge più importante: Information Technology Act 2000
Privacy come diritto fondamentale attraverso interpretazione estensiva dell’art. 21
della Costituzione 1949 (1950) sulla libertà personale
Processo di riforma
1 - Riforma dell’IT Act 2000 (IT Amendment Act 2008)
2 - Personal Data Protection Bill, 2006
Si è scelto di proseguire attraverso alcune modifiche dell’Information Technology Act
2000 dirette ad estendere le tutele e a chiarire alcuni punti relativi alla protezione
dei dati personali. Questo approccio non comporta l’adozione di una disciplina
organica e comprensiva che regoli sicurezza dei dati e privacy.
IT Act 2000
Sez. 43 Accesso non autorizzato , distruzione e furto di dati, danneggiamento sistema
informatico
L’autore dell’infrazione deve risarcire il danno in misura non eccedente 10 milioni di rupie = circa
155.000 euro
Non è prevista la responsabilità del soggetto che conserva i dati
Sez. 43 (IT Act 2000)
43. Penalty for damage to computer, computer systems, etc. (accesso non autorizzato ,
distruzione e furto di dati)
If any person without permission of the owner or any other person who is incharge of a
computer, computer system or computer network,—
(a) accesses or secures access to such computer, computer system or computer network;
(b) downloads, copies or extracts any data, computer data base or information from such
computer, computer system or computer network including information or data held or
stored in any removable storage medium;
(c) introduces or causes to be introduced any computer contaminant or computer virus into any
computer, computer system or computer network;
(d) damages or causes to be damaged any computer, computer system or computer network,
data, computer database or any other programmes residing in such computer, computer
system or computer network;
…
he shall be liable to pay damages by way of compensation not exceeding one crore rupees [10
milioni di rupie = circa 155.000 euro] to the person so affected.
Aggiunta Sez. 43 A (ITAA 2008)
Where a body corporate possessing, dealing or handling any sensitive personal data or
information in a computer resource which it owns, controls or operates, is
negligent in implementing and maintaining reasonable security practices and
procedures and thereby causes wrongful loss or wrongful gain to any person, such
body corporate shall be liable to pay damages by way of compensation to the
person so affected.
Definizioni
(ii) “reasonable security practices and procedures” means security practices and
procedures designed to protect such information from unauthorized access,
damage, use, modification, disclosure or impairment,
as may be specified in an agreement between the parties or
as may be specified in any law for the time being in force
and in the absence of such agreement or any law, such reasonable security practices
and procedures, as may be prescribed by the Central Government in consultation
with such professional bodies or associations as it may deem fit;
Sez. 72 A (2008)
Punishment for disclosure of information in breach of a lawful contract
Save as otherwise provided in this Act or in any other law for the time being in
force, any person including an intermediary who, while providing services under
the terms of a lawful contract, has secured access to any material containing
personal information about another person, with the intent to cause or knowing
that he is likely to cause wrongful loss or wrongful gain, discloses, without the
consent of the person concerned, or in breach of a lawful contract, such material to
any other person, shall be punished with imprisonment for a term which may
extend to three years, or with fine which may extend to five lakh rupees [500.000
rupie = circa 8.000 euro), or with both
Novità e problemi
La principale novità è la previsione di uno standard di responsabilità (reasonabe
security practices and procedures)
Manca però disciplina delle condizioni che devono essere soddisfatte nella raccolta e
nell’utilizzo dei dati.
Anche il Personal Data Protection Bill 2006 sotto questo profilo è insufficiente
Conclusioni
In assenza di una disciplina comprensiva ed analitica la disciplina indiana rimane
sostanzialmente non adeguata.
Favorisce miglioramenti tecnici e gestionali delle imprese indiane
Dal punto di vista europeo rimane cruciale l’assetto contrattuale