uso del cloud e tutela della privacy

L’uso del Cloud e la tutela

della Privacy

Relatore: Avv. Graziano Garrisi

[email protected]

Digital&Law Department - copyright 2014

Chi sono

• Avvocato del Foro di Lecce

• Componente del Direttivo di ANORC – www.anorc.it

(Associazione Nazionale Operatori e Responsabili della Conservazione sostitutiva)

• Vice-coordinatore nazionale di ABIRT (Advisory Board Italiano Responsabili

Trattamento dati personali)

• Docente di ABI (Associazione Bancaria Italiana)

• Membro del Digital&Law Department dello Studio Legale Lisi

(www.studiolegalelisi.it)

• Consulente privacy ed esperto in diritto delle nuove tecnologie;

• Iscritto al Registro «ANORC Professioni», livello professionale expert;

• Fa parte, in qualità di esperto, della Commissione UNINFO SC 27 e E-Business.


http://www.studiolegalelisi.it/

“Il cloud si presenta come uno dei mezzi più economici per

assicurare a una gran parte dei servizi di eGovernment quelle

caratteristiche di efficacia, efficienza, trasparenza, partecipazione,

condivisione, cooperazione, interoperabilità e sicurezza previste dal

Codice dell'Amministrazione Digitale”.

(CAD – D.Lgs 82/2005)

1) Raccomandazioni e proposte sull'utilizzo del cloud

computing nella Pubblica Amministrazione (DigitPA - ora

Agenzia per l’Italia Digitale)

2) Linee Guida Garante Privacy


INTERNAZIONALITÀ IMPLICITA

• Quale legge si applica al rapporto contrattuale intercorrente tra provider

e cliente?

(lato privacy è lo stabilimento del Titolare a determinare la legge applicabile; quindi definire se

un cloud provider è titolare o responsabile ha conseguenze decisive sulle norme applicabili)

• Ci sono delle clausole contrattuali redatte con formule standard che

possono essere nulle per un determinato ordinamento?

• Quale Autorità Giudiziaria è competente a decidere sull’interpretazione

di quel contratto?

• In quale Stato si aziona il diritto?


UBICAZIONE DEI DATI

Conosciamo il luogo dove è allocato lo spazio di memoria?

Queste località godono di un adeguato livello di tutela dei dati personali?

PRIVACY

• Abbiamo la garanzia che la cifratura sia disponibile a tutti i livelli e che

tale crittografia sia fornita da esperti del ramo?

• Si possono impiegare i sistemi cloud delocalizzando i dati degli utenti in

sistemi CRM gestiti in paesi extra UE per profilare le attività dei clienti?


RESPONSABILITÀ IN CASO DI ACCESSI ABUSIVI E

DISPERSIONE DEI DATI

• Chi è il soggetto responsabile in caso di perdita dei dati?

• Cosa accade ai dati qualora il cloud provider interrompa la

fornitura del servizio?

La definizione della responsabilità giuridica e dei poteri di accesso e

controllo tra le parti è molto importante: sono poteri che un Titolare

deve poter esercitare quale conseguenza della sua posizione di vertice


L’ASSENZA DI UNA DISCIPLINA UNIFORME PER

TUTTI I CONTRATTI INFORMATICI DEL MONDO IT

CIÓ VALE ANCHE PER I CONTRATTI

CLOUD


In caso di trasferimenti infragruppo, questi possono essere realizzati utilizzando lo schema di BCR

elaborato dal Gruppo "Articolo 29" dei Garanti europei integrato dal WP 195 del 6 giugno 2012

contenente un nuovo modello di norme vincolanti d’impresa definito “BCR for processor”.

LE REGOLE PER IL TRASFERIMENTO DEI DATI ALL’ESTERO

Codice Privacy per il “trasferimento dei dati, anche temporaneo, verso un Paese terzo

che non garantisca un livello di protezione adeguato” (artt. 42, 43 e 45 del Codice)

Misure previste:

- trasferimento consentito se autorizzato dal Garante qualora il livello di garanzia

offerto dal Paese terzo sia stato ritenuto idoneo da apposite decisioni della

Commissione europea oppure

- qualora il titolare presti opportune garanzie in sede contrattuale mediante

l’adozione di regole di condotta infragruppo (le cosiddette binding corporate rules,

BCR) o

- mediante la sottoscrizione fra le parti delle clausole contrattuali tipo previste dalle

relative decisioni della Commissione europea (art. 44 del Codice)


Una regola da tener presente: prima di esternalizzare la gestione di dati e documenti o

adottare nuovi modelli organizzativi, è necessario individuare con chiarezza i propri

bisogni, perché solo dopo ci si potrà orientare verso la soluzione più sicura ed efficace

per il proprio business.

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

Cloud Computing - Parere 8/2010 sul diritto applicabile

1) Il cloud computing, quando i dati personali sono trattati e conservati su server sparsi

per il mondo, è un esempio complesso dell'applicazione delle disposizioni della direttiva

95/46/CE.

2) Il luogo esatto in cui i dati sono ubicati non è sempre noto e può cambiare nel tempo,

ma non è decisivo per individuare la legge applicabile.

3) È sufficiente che il titolare del trattamento effettui il trattamento nel contesto di uno

stabilimento nell’UE o che i mezzi rilevanti siano situati sul territorio dell’UE per fare

scattare l’applicazione del diritto dell’UE, come previsto all'articolo 4, paragrafo 1,

lettera c) della direttiva.


Il primo passo decisivo sarà individuare chi è il titolare del trattamento e quali attività si

svolgono a quale livello. Si possono distinguere due prospettive:

1) L'utente del servizio di cloud computing è un titolare del trattamento: ad esempio, una

società usa un servizio di agenda on-line per organizzare riunioni con i clienti. Se la

società usa il servizio nel contesto delle attività del suo stabilimento nell'UE, il diritto

dell'UE sarà applicabile a questo trattamento di dati per mezzo dell'agenda online sulla

base dell'articolo 4, paragrafo 1, lettera a). La società dovrebbe far sì che il servizio

offra adeguate salvaguardie per la protezione dei dati, in particolare per quanto riguarda

la sicurezza dei dati personali conservati in luoghi remoti. Dovrà anche informare i

propri clienti dello scopo e delle condizioni d'uso dei loro dati.

2) Il fornitore del servizio di cloud computing in alcune circostanze può anche essere un

titolare del trattamento: ad esempio nel caso in cui fornisce un'agenda on-line in cui i

privati possono caricare tutti i loro appuntamenti personali e offre servizi a valore

aggiunto come la sincronizzazione degli appuntamenti e dei contatti. Se il fornitore del

servizio di cloud computing usa mezzi situati nel territorio dell'UE, sarà soggetto al

diritto dell'UE sulla protezione dei dati in virtù dell'articolo 4, paragrafo 1, lettera c).

L'applicazione della direttiva non sarebbe determinata dai mezzi usati a soli fini di transito, ma da

strumenti più specifici. Il fornitore del servizio di cloud computing dovrà in tal caso fornire agli

utenti le informazioni sul modo in cui i dati sono trattati, conservati, eventualmente visionati da

terzi, e garantire misure di sicurezza idonee a proteggere le informazioni.

Parere del Garante su “Linee-guida per il Disaster Recovery delle

pubbliche amministrazioni”

Servizi cloud il fornitore deve indicare con apposita dichiarazione resa in sede contrattuale, l'esatta

localizzazione, o le esatte localizzazioni dei dati gestiti:

ciò serve a capire se questa particolare modalità di realizzazione del servizio rispetti

effettivamente la normativa privacy e l’articolo 45 del Codice, che vieta il trasferimento “anche

temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali

oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea”, qualora

“l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela

delle persone adeguato”

osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti

effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di

amministrazione di sistema" del 27 novembre 2008»

applicazione delle clausole specifiche elaborate dalla Commissione Europea nei contratti

di fornitura del servizio:

si tratta di clausole, effettive dal 15 maggio 2010, che trasferiscono parte delle responsabilità sul

trattamento dati a chi effettivamente tratta i dati; poiché l’attività di outsourcing può essere

subappaltata anche più volte, nell’ambito del medesimo servizio, deve essere garantita chiarezza

su chi sia il responsabile per la sicurezza dei dati.

DECISIONE DELLA COMMISSIONE del 5 febbraio 2010, relativa alle clausole contrattuali tipo per il

trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva

95/46/CE del Parlamento europeo e del Consiglio

Inserire un riferimento al documento del

Garante “Cloud computing: indicazioni

per l'utilizzo consapevole dei servizi”

favorire l'adozione consapevole e

responsabile di questa tipologia di servizi

CAUTELA

Cloud computing, CO e DR

+ osservare il provvedimento “Misure e accorgimenti prescritti ai titolari dei

trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle

funzioni di amministrazione di sistema" del 27 novembre 2008”

Il servizio prescelto potrebbe essere solo il

risultato finale di una catena di trasformazione

di servizi acquisiti presso altri service provider,

diversi dal fornitore con cui l’utente stipula il

contratto di servizio

COME HA OSSERVATO L’AUTORITÀ GARANTE

PER LA PROTEZIONE DEI DATI PERSONALI:

A fronte di tali responsabilità complesse, il cliente potrebbe

non sempre essere messo in grado di sapere chi può accedere

a determinati dati fra i diversi gestori di servizi intermedi


Il servizio virtuale, in assenza di adeguate garanzie

in merito alla qualità della connettività di rete,

potrebbe occasionalmente risultare degradato in

presenza di elevati picchi di traffico o addirittura

indisponibile laddove si verifichino eventi anomali

quali, ad esempio, guasti, impedendo l’accessibilità

temporanea ai dati in esso conservati

In assenza di un’accurata previsione contrattuale dei livelli di

servizio garantiti (c.d. SERVICE LEVEL AGREEMENT), il

cliente potrebbe non riuscire a valutare l’esatto e diligente

adempimento della prestazione


Sapere in quale Stato risiedono fisicamente i server sui quali vengono

allocati i dati è determinate per stabilire la giurisdizione e la legge

applicabile nel caso di controversie tra l’utente e il fornitore del servizio

INFORMARSI SU DOVE RISIEDERANNO

CONCRETAMENTE I DATI

La presenza fisica dei server in uno Stato (in Italia, in Europa o in un Paese

extraeuropeo) comporterà per l'autorità giudiziaria nazionale, infatti, la

possibilità di dare esecuzione a ordini di esibizione, di accesso o di

sequestro, ove sussistano i presupposti giuridici in base a quel determinato

ordinamento nazionaleDigital&Law Department - copyright 2014

E’ consigliabile ricorrere a servizi di cloud computing privilegiando

servizi basati su formati e standard aperti (nelle modalità SaaS,

PaaS o IaaS), che facilitino la transizione da un sistema cloud a un

altro, anche se gestiti da fornitori diversi. Ciò al fine di:

PRIVILEGIARE I SERVIZI CHE FAVORISCONO LA

PORTABILITÀ DEI DATI PER EVITARE IL VENDOR LOCK-IN

Evitare che possibili modifiche unilaterali dei

contratti di servizio da parte di uno

qualunque degli operatori della catena di

fornitura si traducano in condizioni

peggiorative vincolanti

Facilitare eventuali

successivi passaggi da un

fornitore all’altro


In fase di acquisizione del servizio cloud:

• l’UTENTE dovrebbe accertare il termine ultimo, successivo alla scadenza del

contratto, oltre il quale il fornitore cancella definitivamente i dati che gli sono

stati affidati;

• il FORNITORE dovrà garantire che i dati non saranno conservati oltre i

suddetti termini o comunque al di fuori di quanto esplicitamente stabilito con

l’utente stesso.

In ogni caso, i dati dovranno essere sempre conservati nel rispetto della

normativa applicabile, delle finalità e delle modalità concordate, escludendo

duplicazioni non consentite e comunicazioni a terzi.

VERIFICARE LE POLITICHE DI PERSISTENZA DEI

DATI LEGATE ALLA LORO CONSERVAZIONE E

PORRE ATTENZIONE AL DATA PRESERVATION


Per proteggere la confidenzialità dei dati, occorre VALUTARE ANCHE LE MISURE DI

SICUREZZA utilizzate per consentire l’allocazione dei dati in cloud, privilegiando i

fornitori che utilizzano tecniche di trasmissione sicure, tramite CONNESSIONI

CIFRATE coadiuvate da sistemi di IDENTIFICAZIONE dei soggetti autorizzati

all'accesso.

LA COMPLESSITÀ DI TALI MISURE DI SICUREZZA DEVE ESSERE

COMMISURATA ALLA CRITICITÀ DEI DATI

Nell’ipotesi in cui il trattamento riguardi particolari tipologie di dati, quali quelli

strategici, personali o addirittura sensibili, per i quali sono maggiormente pregnanti le

esigenze di riservatezza, si raccomanda l'utilizzo di protocolli sicuri nella fase di

trasmissione e la conservazione in forma cifrata sui sistemi del fornitore di servizio e/o

comunque livelli di autenticazione e profili di autorizzazione (accountability) in linea

con i dati da trattare.

ESIGERE E ADOTTARE OPPORTUNE CAUTELE

PER TUTELARE LA CONFIDENZIALITÀ DEI DATI


I contratti cloud e la task force UECreata una task force per definire le regole e le garanzie nei rapporti tra fornitori e clienti,

le cui prime Linee guida sono state pubblicate il 26 giugno 2014.

I contratti diventano un aspetto nodale per lo sviluppo del mercato dei servizi cloud

New guidelines to help EU businesses use the Cloudhttp://europa.eu/rapid/press-release_IP-14-743_en.htm

Un team UE ha lavorato alla ricerca di condizioni contrattuali più affidabili ed eque per l’utilizzo dei

servizi di cloud computing per incrementare la fiducia e agevolare quindi la stipula di accordi tra

fornitori e utenti. Sono stati definiti fondamentali criteri di tutela della sicurezza e della privacy che

non potranno venire meno nel rapporto di fornitura dei nuovi servizi. Il quadro giuridico a cui lavora la

task force andrà inoltre a completare le recenti proposte di riforma in materia di protezione dei dati già

presentate in Commissione dal Parlamento europeo con l’obiettivo di facilitare la creazione di

un mercato unico in ambito europeo per i servizi cloud e digitali.

Costituita da esperti, fornitori, consumatori, esponenti del mondo accademico e giuristi, la task force ha

lavorato alla definizione di clausole contrattuali che, per il momento, saranno suggerite su base

facoltativa con la prospettiva, in seguito, dopo le necessarie verifiche di diventare obblighi di legge. Le

clausole standard dovrebbero ridurre molte preoccupazioni che ancora oggi tengono lontani

consumatori e imprese – soprattutto piccole – dall’acquisto dei servizi cloud.

http://europa.eu/rapid/press-release_IP-14-743_en.htm

I punti di attenzione

e i falsi miti


Il cloud estremizza le problematiche relative a:

Asimmetria informativa

Riservatezza

Lock in

Internazionalità dell’accordo

Licenze software (e necessità di ridefinire tutti i propri asset informatici?)

Deleghe di servizi

Interruzioni di servizio

Necessità di definire SLA specifici

Privacy e accountability

Cloud Design Service


Contract by design nel Cloud?

È possibile?

L’interlocutore è unico e spesso vengono garantiti una

moltitudine di servizi scalari e controllabili e livelli di

servizio differenti a seconda del tipo di esigenza


• La sicurezza informatica e il corretto trattamento dei dati personali non

rappresentano un punto debole del cloud ma, al contrario, consentono di

raggiungere livelli di sicurezza impensabili per un CED di piccole e medie

dimensioni

• Vi è la necessità di una contrattazione delle modalità e finalità del trattamento,

compreso i livelli di sicurezza da garantire (SLA e PLA)

• Problema dell’allocazione di ruoli e responsabilità quando si valuta la

migrazione dei dati in una struttura cloud: il cloud provider potrebbe essere

considerato quale titolare autonomo del trattamento (scelta ragionevole) o quale

responsabile ex art. 29 d.lgs. 196/2003 (come invece avviene nella prassi)

• Il cloud provider ha un ruolo esclusivo, rispetto al buyer, nel decidere il profilo

della sicurezza e la modalità di erogazione del proprio servizio, incluse le scelte

relative alla circolazione dei dati nei diversi luoghi e tra distinti soggetti (come, ad

esempio, i suoi subfornitori)

Considerazioni su Sicurezza e Privacy:

A sottolineare la delicatezza dell’esternalizzazione di tale servizio e delle

problematiche concrete che devono essere affrontate in sede contrattuale e di

definizione dei ruoli in ambito privacy, le conseguenze dell’allocazione dei ruoli

sono notevoli e si riflettono su tre ordini di questioni:

1) individuazione della legge nazionale applicabile

(è lo stabilimento del Titolare a determinare la legge applicabile; quindi definire se

un cloud provider è titolare o responsabile ha conseguenze decisive sulle norme

applicabili);

2) definizione della responsabilità giuridica e dei poteri di accesso e controllo tra

le parti;

(poteri che un Titolare deve poter esercitare quale conseguenza della sua posizione di

vertice);

3) individuazione della disciplina specifica applicabile al trattamento (art. 19,

comma 3, 20 e 22, d.lgs. 196/2003)

(la trasmissione di dati ad altro titolare integra una comunicazione che presuppone

l’esistenza di una norma di legge o di regolamento come condizione di liceità per le

PPAA)

Suggerimenti:

Verificare adesione a standard di sicurezza da parte del Cloud provider

Differenziare i servizi (crittografia, accessi differenziati, livelli di sicurezza

etc.) a seconda della tipologia di dati, informazioni, documenti trattati

Garantire gli storage (disaster recovery/business continuity) anche attraverso

l’utilizzo di altro Cloud provider

Verificare l’interoperabilità dei servizi forniti

Verificare il modello di Cloud scelto in base alle effettive necessità aziendali

o personali

Controlli da parte di Cloud Auditor

Conoscere bene il Cloud Provider e suoi eventuali subfornitori

Porre attenzione al Security Incident Mangement e alle attività di Reporting /

Logging

Verificare l’utilizzabilità delle licenze


la nomina del Responsabile del trattamento dei dati (riguardo anche a

eventuali subappaltatori);

la definizione di regole per il trattamento dei dati al di fuori dell’Unione

europea;

la specifica individuazione dei poteri di controllo nei confronti del

Responsabile del trattamento e la relativa verifica della corretta esecuzione

delle istruzioni impartite;

il monitoraggio delle prestazioni del sistema;

il backup dei dati allocati nel cloud con periodicità almeno giornaliera;

la definizione della politica di persistenza dei dati nel cloud;

la certificazione sul rispetto di determinati standard di sicurezza nella

gestione dei dati (ovvero ISO 27001:2005).

I cloud provider dovranno adempiere a PLA riguardanti:

A cosa prestare attenzione:

Scelta opportuna dei fornitori e clausole contrattuali e/o accordi di servizio (i

servizi cloud possono essere opportunamente progettati e regolamentati secondo

le esigenze delle varie organizzazioni)

Regolare i diritti dell’interessato e prevedere obblighi di acquisizione del

consenso e di informativa

Disciplinare attentamente i ruoli e compiti dei soggetti che effettuano il

trattamento (il titolare, il responsabile, gli incaricati);

Identificare e indicare con precisione i requisiti e i vincoli contrattuali a cui

deve sottostare il fornitore di servizi;

Adottare gli adempimenti e le misure per garantire la corretta gestione e

trattamento dei dati (soprattutto quelli sensibili) e la sicurezza dei dati e dei

sistemi (in particolare nel titolo VII del d.lgs. 196/2003 che regola il

“Trasferimento dei dati all’estero”);

Rispetto della Decisione 2010/87/UE del 5 febbraio 2010 (relativa alle clausole

contrattuali tipo per il trasferimento dei dati personali e incaricati del trattamento

stabiliti in paesi terzi), a seguito della quale il Garante ha emanato

un’Autorizzazione generale (27 maggio 2010).

E le PA?

Anche in Italia, con l’art. 47 della legge n. 35/2012 (di

conversione del D.L. n. 5/2012), sono state individuate

una serie di misure da adottare per il perseguimento

degli obiettivi dell’Agenda digitale italiana, tra le quali,

alla lett. d), è espressamente menzionata la

“promozione della diffusione e del controllo di

architetture di cloud computing per le attività e i servizi

delle pubbliche amministrazioni”.


la creazione di un catalogo dei servizi cloud idonei per la PA;

l’identificazione dei requisiti di sicurezza, protezione dei dati personali e

resilienza del servizio;

l’identificazione della catena di responsabilità;

il monitoraggio del rispetto dei requisiti attraverso SLA che comprendano,

oltre a quelli prestazionali, parametri di sicurezza e di adattabilità;

la definizione di una politica chiara circa il trasferimento dei dati all’estero;

la gestione del rischio e audit;

l’adozione di strumenti di auditing e incident reporting.

Il documento ENISA (European Network and Information Security Agency) “Cloud

Computing – Benefits, Risks and Recommandations for Information Security”

conserva ancora oggi una rilevante importanza sebbene sia stato pubblicato nel 2009


I consigli del Garante Privacy sul Cloud Individuare correttamente le misure di sicurezza che ha adottato il cloud provider per

proteggere i dati

Identificare il reale fornitore del servizio in cloud (singola società o più società consorziate che

collaborano?)

Verificare i piani di business continuity (verificare nel dettaglio i tempi di ripristino) e disaster

recovery (esistono piani di emergenza per i servizi essenziali forniti dal cloud provider?)

Verificare se viene garantita una accessibilità a tutto il sistema o parte di esso in caso di

problemi di connettività ad Internet

Controllare la separazione (e quindi il grado di riservatezza) dei data base rispetto all’utilizzo

comune con altre società dei server forniti nel servizio cloud

Determinare in quale Stato sono conservati i dati conservati nella “nuvola”

Accertare l’esportabilità del database in caso di cessazione del servizio fornito

Concordare con il cloud provider forme di risarcimento in caso di perdita di dati e precisare i

livelli di servizio forniti

Ricordarsi che risponde sempre il titolare del dato in caso di violazioni privacy commesse dal

cloud provider!

Nominare il cloud provider come responsabile del trattamento

Verificare il livello di professionalità del personale del cloud provider

Verificare i livelli di accountability forniti dal cloud provider

Ho inserito nel contratto un dizionario informatico per i

termini tecnici utilizzati?

Ho spiegato bene le finalità del servizio?

Ho inserito eventuali termini essenziali di ultimazione del

servizio e tempistiche di esecuzione dei servizi di

manutenzione? Ho associato delle adeguate penali a questi

termini?

Ho indicato la professionalità specifica dei manutentori e/o

amministratori che si interfacceranno con il mio servizio?

Ho stabilito la tipologia di licenze software installate e/o

definito i termini di utilizzo (e di eventuale distribuzione)? E

il «codice sorgente» di chi è?

Ho allegato o definito nel contratto una corretta PLA?

Ho definito nel dettaglio le responsabilità del fornitore e dei

suoi eventuali subfornitori?

Ho designato il mio fornitore Responsabile esterno al

trattamento e/o Amministratore di Sistema?

Una diagnosi corretta per il nostro contratto di servizi informatici

Ho verificato dove sono ubicati i server del mio fornitore?

Ho verificato i tempi di ripristino garantiti dal fornitore? E ho

verificato le garanzie in caso di «degradamento del servizi» per

picchi di traffico? E ho verificato le mie esigenze di reporting in

caso di accessi non autorizzati?

Ho verificato le responsabilità in caso di perdita dei dati? Ho

verificato se il mio fornitore ha sottoscritto una polizza per coprire

questi danni?

Ho inserito delle precise clausole in caso di «passaggi di

consegne» o di cessazione degli effetti del contratto

(mantenimento dati su server, tempi di cancellazione, consegna

archivio interoperabile etc.)?

Ho inserito una fase di collaudo e delle clasuole che consentano

verifiche e confronti in corso d’opera?

Ho inserito delle clausole di prevenzione del conflitto o comunque

di gestione corretta dello stesso?

Ho inserito delle clausole di ridefinizione del servizio e dei prezzi?

Una diagnosi corretta per il nostro contratto di servizi informatici

Avv. Graziano Garrisi

Digital&Law Department Studio Legale Lisi

www.studiolegalelisi.it

Tel. 0832/256065 – Fax 0832/244802

e.mail: [email protected]

Grazie per l’attenzione

…e per contatti o ulteriori informazioni: