Dosare juridice

Protectia datelor cu caracter personal si serviciile de tip cloud computing

de Adriana Nastase, Oana Apopei     Schoenherr si Asociatii
Miercuri, 8 mai 2013, 13:54 Dosare Juridice - IT & Telecom

Serviciile de tip cloud computing sunt privite ca noua sursa de crestere pentru companiile active pe piata tehnologiei. In acest context, in ultima perioada a crescut foarte mult atat numarul serviciilor si aplicatiilor de tip "cloud" disponibile pe piata, cat si numarul utilizatorilor acestora.

Cloud-ul ridica insa o serie de probleme de securitate, procesare si stocare a datelor cu caracter personal ale utilizatorilor (e.g. nume, telefon, CNP, adresa, etc.), care sunt mai putin luate in seama in actualul context legislativ, unde, cel putin in Romania, nivelul sanctiunilor aplicate pentru incalcarea prevederilor legale este relativ scazut.

In viitorul apropiat insa se intentioneaza adoptarea la nivelul Uniunii Europene a unui Regulament privind protectia persoanelor fizice referitor la prelucrarea datelor cu caracter personal si libera circulatie a acestor date. In forma actuala a Regulamentului, se prefigureaza infiintarea unei autoritati de supraveghere a datelor cu caracter personal la nivel UE, precum si amenzi usturatoare, raportate la cifra de afaceri globala anuala a unei companii, in cazul nerespectarii regimului protectiei datelor cu caracter personal. Odata adoptat, Regulamentul se va aplica direct in statele membre ale Uniunii Europene.

Avizul nr. 5/2012 privind "cloud computing"
In acest context, a fost adoptat relativ recent Avizul nr. 5/2012 privind "cloud computing" de catre Grupul de Lucru instituit in temeiul articolului 29 Directiva 95/46/CE privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date.

Avizul analizeaza, printre altele, o serie de implicatii negative ale serviciilor de tip "cloud" asupra protectiei datelor cu caracter personal, printre care (i) lipsa controlului utilizatorului asupra datelor respective, precum si (ii) informatii insuficiente cu privire la modalitatea, locul si entitatea de prelucrare/sub-prelucrare a datelor.

Riscuri asociate "cloud computing"
Astfel (i) lipsa transparentei asupra lantului de externalizare/subcontractare a prelucrarii de date cu caracter personal de catre furnizorul de servicii de tip "cloud"; (ii) lipsa unui cadru global comun al portabilitatii datelor si (iii) incertitudinea cu privire la admisibilitatea transferului de date cu caracter personal catre furnizorii de servicii de cloud computing stabiliti in afara SEE, sunt riscuri de care utilizatorul trebuie sa fie constient sau trebuie facut constient atunci cand doreste sa utilizeze serviciile de tip "cloud".

(i)    Subcontractarea
Furnizorul serviciilor de tip "cloud" de cele mai multe ori subcontracteaza catre terti o serie de servicii care implica prelucrare de date cu caracter personal. In aceasta situatie, contractele dintre furnizorii de servicii si clientii serviciilor de cloud computing ar trebui sa includa garantii suplimentare privind subcontractorii. Una dintre solutii, preluata de Comisie in propunerea de Regulament privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date, ar fi impunerea unor clauze contractuale intre furnizorul de servicii si utilizator, conform carora subcontractarea prelucrarii de date este permisa numai cu autorizarea prealabila a utilizatorului.

(ii)    Conformitatea cu principiile fundamentale
Prelucrarea de date in cadrul serviciilor de cloud computing trebuie sa garanteze respectarea principiilor fundamentale ale legislatiei UE privind protectia datelor, cum ar fi: (i) transparenta, (ii) specificarea si limitarea scopului (iii) stergerea datelor cu caracter personal imediat ce pastrarea lor nu mai este necesara precum si (iv) adoptarea de masuri tehnice si organizationale in scopul asigurarii unui nivel adecvat de protectie si securitate a datelor (i.e., disponibilitatea, integritatea, confidentialitatea, transparenta, izolarea ¬ limitarea scopului, posibilitatea de interventie, portabilitatea, responsabilitatea).

Respectarea fiecaruia dintre aceste principii trebuie detaliata si reglementata in contractul dintre furnizorul de servicii si utilizator. De asemenea, furnizorul de servicii trebuie sa-si structureze activitatea si serviciul oferit astfel incat sa poata asigura respectarea acestor principii.

(iii)    Transferuri internationale
Libera circulatie a datelor cu caracter personal catre tarile din afara SEE este conditionata de un nivel adecvat de protectie a datelor oferit de tara sau destinatarul datelor, iar in lipsa acestora, de operatorul si co-operatorii sai si/sau de persoanele imputernicite. Conform Grupului de Lucru, in contextul in care cloud computing se bazeaza pe o lipsa totala a unei locatii stabile a datelor in cadrul retelei furnizorului de cloud computing, datele se pot afla intr-un centru de date la ora 14.00 si in alta parte de pe glob la ora 16.00, utilizatorul aflandu-se foarte rar in pozitia de a putea cunoaste in timp real unde sunt localizate, stocate sau transferate datele sale.

Prin urmare, contractele incheiate cu utilizatorii ar trebui sa includa un set de garantii standardizate privind protectia datelor (e.g. audituri si certificari independente de catre terti ale serviciilor unui furnizor).

Concluzie

In actualul context legislativ, furnizorii de servicii de tip "cloud" ar trebui sa verifice in ce masura structura serviciului "cloud" oferit ridica problemele semnalate mai sus. In masura in care sunt identificate probleme, acestea ar trebui remediate.

Si mai important insa este sa urmareasca procesul legislativ la nivelul Uniunii Europene si sa se pregateasca pentru noua schimbare de regim juridic care va duce cu sine mai multa protectie pentru utilizatori si mai multe riscuri juridice pentru furnizorii de servicii.


Citeste mai multe despre   























7012 vizualizari

  • +1 (3 voturi)    
    Cloud computing (Miercuri, 8 mai 2013, 14:16)

    Porcurorul General [utilizator]

    Nu reprezinta nimic altceva decat un compromis (cam asa cum este de fapt orice altceva). Renunti la anumite constrangeri legate de monopolul datelor proprii pentru a castiga alte avantaje. Intrebarea este daca se merita si pana la ce punct.

    Exista domenii in care clod computing nu va fi aplicat niciodata pe reteaua internet (apararea fiind unul dintre aceste domenii). Da, poate fi aplicat pe retele dedicate sau speciale.

    Deci tot articolul se refera la clod computing aplicat "over the internet", adica pe infrastructura oferita de internet. Legat de internet, tocmai acum Siria inregistreaza a doua cadere a internetului. Exact in acest moment Siria nu exista ca tara pe internet si nici o tabela de rutare BGP nu include adresa de IP din Siria. Cu alte cuvinte Siria nu exista. Fireste si pentru Siria noi, restul internetului, nu existam. In aceste conditii un serviciu de cloud computing pe reteaua internet devine inaccesibil, blocand servicii care daca nu ar fi fost cloud ar fi putut functiona. Si revenim la ideea: cat suntem dispusi sa cedam si cat sa castigam.
    • +3 (3 voturi)    
      Cloud (Miercuri, 8 mai 2013, 18:40)

      Trojan.H [utilizator] i-a raspuns lui Porcurorul General

      Asta daca cloud-ul e in afara tarii. Dar serverele pot fi in interiorul granitelor si astfel conceptul ramine in picioare bine-mersi. Strict despre securitatea datelor, va mai dura ceva pina cind lucrurile vor fi cit de cit clare.
      • +2 (2 voturi)    
        Absolut corect (Miercuri, 8 mai 2013, 19:06)

        Porcurorul General [utilizator] i-a raspuns lui Trojan.H

        In plus referitor la securitatea datelor, in cazul in care stocarea datelor se face pe un cloud in afara granitelor unui stat, datele si structira lor trebuie sa respecte 3 seturi de legi (simultan):

        - legile statului celui care utilizeaza serviciul (firmei client al cloud-ului);
        - legile statului celui in care se afla cloud-ul (asadar furnizorului);
        - bomba: legile tuturor statelor aflate pe traseele cablurilor care leaga cele doua state mai sus mentionate (surprinzator).

        Cu alte cuvinte transportul de date prin reteaua unui stat este ilegal daca datele transportate sunt ilegale pentru acel stat. Este ca la droguri: daca "iarba" e legala in Belgia si Olanda nu am dreptul sa o tranzitez intre un furnizor olandez si un consumator belgian prin Germania. Pentru ca in Germania tranzitul unei astfel de substante e ilegal.

        Aceasta a treia cerinta nu este inca foarte clara pentru ca aplicarea ei e dificila. Nu este clar din legi daca de respectarea ei trebuie sa se asigure furnizorul, clientul sau ambii si este un lucru deseori omis in serviciile de tip cloud.

        Exemplu concret ipotetic: daca eu as avea un site gay porno in Europa pe care se uita clienti din India nu m-as duce in Iran :) decat dupa ce m-as asigura ca nimic din continutul sitului nu tranziteaza Iranul. De ce? Pentru ca un astfel de serviciu in Iran este pasibil cu moartea.
      • 0 (0 voturi)    
        :) (Joi, 9 mai 2013, 14:53)

        ABetterWorldWithoutVladimir [utilizator] i-a raspuns lui Trojan.H

        Atentie la doi mari furnizori de cloud computing, avertizeaza ca pot muta oricand datele in afara EU fara avertisment.
        Cum nu se justifica dpdv performante implementarea criptografiei pe informatii cu cheia privata la client (eforturile sunt oribile iar costurile si mai si, indiferent de HSM folosit), niste date mutate intr-un data center in China sau India nu mai beneficiaza de protectia legislativa a EU si in plus eforturile autoritatilor de a obtine acces la ele sunt infinit mai mici :)
        Aviz celor care alearga dupa reduceri de costuri, puteti deveni costul ce a fost redus.
    • +1 (1 vot)    
      Nu e chiar asa (Joi, 9 mai 2013, 10:24)

      Bogdan_1 [utilizator] i-a raspuns lui Porcurorul General

      Spre exemplu in Franta armata are un cloud pe Internet (evident securizat cu VPN si servere aflate in locatii sigure) Structura e mai sigura decat cea cu servere locale deoarece chiar in cad de distrugere a unui server altul preia functiile inclusiv refacerea datelor oglindite). Securitatea e foarte ridicata deoarece serverele sunt distribuite in locatii confidentiale (inclusiv la contractanti privati) este redundanta la aplicatii si date iar datele sunt criptate cu chei asimetrice ce verifica si integritatea. Asa ca tehnologiile cloud bine proiectate sunt mai sigure si mai fiabile decat stocarile locale.
      • +1 (1 vot)    
        Depinde cum ne definim cloud-ul (Joi, 9 mai 2013, 11:32)

        Porcurorul General [utilizator] i-a raspuns lui Bogdan_1

        Nu pot contesta sub nici o forma ceea ce ati spus pentru ca este corect.

        Cloud-ul insa poate fi definit in multiple forme. Eu unul cand ma amuz raspund la intrebarea "ce e azi cloud-ul" cu raspunsul "ce a fost ieri grid-ul". Intre cloud si grid de fapt nimeni nu stie exact care sunt diferentele.

        Prin cloud eu am presupus ca un beneficiar isi externalizeaza complet un serviciu de stocare si prelucrare de date catre unul sau mai multi furnizori. (Lucru pe care nu l-am explicat, mea culpa). Prin prisma unei astfel de definitii o retea P2P este sau nu clod? Greu de spus...

        In plus chiar Dvs ati spus ca reteaua cloud a armatei este pe sistem VPN. Eu unul o astfel de retea o vad mai degraba ca o retea dedicata unde internetul are rol de infrastructura de comunicatie si atat. VPN-urile sunt in general tevi criptate punct-la-punct. Ca e VPN peste internet sau linie inchiriata dedicata este echivalent. A renuntat armata sa mai aiba propriile servere sau doar backup-ul lor este pe reteaua grid despre care vorbiti?

        Inca o problema: cand ai datele langa tine, accesul la ele in cazul unei pene de curent este destul de facil. Cand ele sunt la distanta accesul la ele este posibil dupa alimentarea ta (a utilizatorului), a furnizorului si a tuturor celor aflati intre. Cu cat mai multi, cu atat posibilitatea de intrerupere e mai mare pentru ac e problema unui circuit de tip serie.

        Nu vreau sub nici o forma sa discut in contradictoriu si este foarte posibil ca sa gresesc pentru ca vorbesc in necunostinta de cauza. Eu folosesc servicii cloud (ce-i drept pt un propriu) insa ca utilizator mic prefer sa mai am si o copie locala. Fireste, armata franceza are net mai multe resurse ca mine. Insa o firma e posibil sa nu le aiba.
        • +2 (2 voturi)    
          In completare (Joi, 9 mai 2013, 13:55)

          Bogdan_1 [utilizator] i-a raspuns lui Porcurorul General

          Armata utilizeaza cloud tocmai pentru cresterea fiabilitatii si disponibilitatii serviciilor. daca cine vrea sa acceseze datele si in locatia primara a cazut alimentarea le ia (cu un dispozitiv mobil eventual) din locatiile oglinda. Datacenterele de cloud au alimentari redundante multiple si standardul curent spune ca nu se accepta o intrerupere a serviciilor mai mare de 1 min. pe an. Nu e chiar modelul grid ci mai curand modelul virtualizare servere extins in afara retelei locale. Astfel de structuri sunt si foarte greu de intrerupt de atacuri cibernetice, dezastre naturale, terorism, etc. Si armata americana utilizeaza acest model cu mentiunea ca legea lor nu le permite (desi exista probe ca nu respecta acest lucru) ca serverele sa fie locate in afara teritoriului SUA - cel mai mare centru e in Colorado langa Norad dar au practic peste tot (chiar centrele Google si Facebook au zone ale armatei - de cei doi se stie sigur probabil si alte companii cu datacentere mari au astfel de contracte cu armata).
          • 0 (0 voturi)    
            Am pierdur din vedere (Joi, 9 mai 2013, 17:02)

            Porcurorul General [utilizator] i-a raspuns lui Bogdan_1

            Aveti dreptate. Am pierdut din vedere serverele virtuale migrabile. Multumesc mult pentru detalii. In plus datele pot fi partiale, adica ai o tabela cu numere de telefon insa nu stii cui apartin...
  • 0 (0 voturi)    
    Birocatie UE (Joi, 9 mai 2013, 17:08)

    Unul111 [utilizator]

    Toate astea au un singur scop, birocratizarea serviciilor de cloud in asa fel incat marii jucatori de pe piata sa impuna restrictii micilor jucatori. Pe langa investitia in sine necesara businessului acuma os a fie nevoie sa dai bani pe audituri/ceritificari. Mai mult de atat, cu ocazia asta se infiinteaza noi caste specializate sa te beleasca de bani de tipul notarilor publici.
    Cred ca UE intrun final isi va merita soarta acolo unde se indreapta acum.
  • +1 (1 vot)    
    clouji romani (Joi, 9 mai 2013, 19:27)

    sisipisi [utilizator]

    Mdea, doi "clouji" neaosi de Romania, ceva parlamentari pare-se, Anca Boaaagiu si Dan Cristian Popescu au gabjit baza de adrese ale pensionarilor de la SPCEP din sectorul 2 si le trimit astora tot felul de felicitari gretoase cu urari de prosperitate si viata feicita... pensionarilor, fireste, nu functionarilor smecheri de la primarie...


Abonare la comentarii cu RSS

Hotnews
Agenţii de ştiri

Siteul Hotnews.ro foloseste cookie-uri. Cookie-urile ne ajută să imbunatatim serviciile noastre. Mai multe detalii, aici.
hosted by
powered by
developed by
mobile version
Duminică