Google Cloud e i principi di privacy comuni

La nostra responsabilità condivisa per la conformità alla privacy.

Centro risorse per la privacy di Google CloudCentro risorse DPIA di Google Cloud

Il nostro percorso comune per la gestione della privacy

Sebbene le responsabilità dirette cambino in base ai servizi che utilizzi, i controlli sulla privacy sono sempre nelle tue mani e Google è sempre responsabile della protezione della nostra infrastruttura. Ci impegniamo a operare in un modello di destino condiviso per la gestione della privacy e della sicurezza. Crediamo nella collaborazione attiva per aiutarti a eseguire il deployment dei workload e operare in modo conforme alla privacy, fornendoti prodotti e soluzioni. Ciò consente anche di assegnare una parte dei costi per la privacy e la conformità a Google Cloud, con una possibile riduzione delle spese per i clienti.

Titolari del trattamento dei dati e responsabili del trattamento dei dati

Secondo molte normative sulla privacy comuni, l'entità è responsabile in qualità di titolare del trattamento o di responsabile del trattamento dei dati. La definizione esatta varia a seconda del regolamento, ma in linea di massima il ruolo di titolare determina lo scopo e i mezzi del trattamento, mentre il responsabile del trattamento esegue il trattamento secondo le istruzioni del titolare.

Questa pagina descrive alcuni dei principi comuni sulla privacy applicabili ai clienti (in genere, in qualità di titolari del trattamento dei dati) e a Google Cloud (spesso in qualità di responsabile del trattamento dei dati).

Principi chiave di privacy comuni per i titolari del trattamento dei dati

I seguenti princìpi sulla privacy riguardano il comportamento dei titolari del trattamento dei dati che inseriscono i loro dati nel cloud e si applicano a molte giurisdizioni in tutto il mondo. Questi principi si basano su standard e framework riconosciuti a livello internazionale (come i principi sulla privacy dell'OCSE, i principi sulla privacy delle informazioni eque, ISO/IEC 27001, ecc.) e sulle principali normative regionali (come LGPD, GDPR, CPRA, ecc.).

Per saperne di più su come Google Cloud può aiutarti a rispettare i tuoi obblighi in relazione a questi principi, visita la pagina dei prodotti pertinenti.

Scopri di più.

Raccolta e minimizzazione dei dati

I dati personali devono essere pertinenti e limitati a quanto necessario per gli scopi per i quali vengono raccolti.

Limitazione dello spazio di archiviazione

I dati personali devono essere conservati in una forma che consenta l'identificazione degli interessati per un periodo non superiore a quello necessario.

Limitazione delle finalità

I dati personali devono essere raccolti per scopi specifici, espliciti e legittimi e non devono essere ulteriormente trattati in modo incompatibile con tali scopi.

Integrità e riservatezza

I dati personali devono essere trattati in modo da garantire un'adeguata sicurezza dei dati personali, compresa la protezione da un trattamento non autorizzato o illegale e da perdita, distruzione o danno accidentali, mediante l'adozione di misure tecniche o organizzative appropriate.


Principi di privacy comuni e fondamentali per i responsabili del trattamento dei dati

Il nostro contratto sul trattamento dei dati per Google Workspace e Google Cloud definisce chiaramente il nostro impegno per la privacy dei clienti. Nel corso degli anni abbiamo sviluppato questi termini in base ai feedback ricevuti dai nostri clienti e dagli enti normativi. Tutti i dati che un cliente e i suoi utenti inseriscono nei nostri sistemi saranno trattati nel rispetto delle istruzioni del cliente.

Impegni alla riservatezza del personale

Tutti i dipendenti di Google sono tenuti a firmare un accordo di riservatezza e a completare la formazione obbligatoria sulla riservatezza e sulla privacy, nonché la formazione relativa al nostro codice di condotta. Il Codice di condotta di Google identifica in modo specifico le responsabilità e il comportamento previsto in relazione alla protezione delle informazioni.

Per i termini completi, vedi: Google Cloud e Google Workspace - Addendum per il trattamento dei dati Cloud (ATDC)

Le società del gruppo Google conducono direttamente la maggior parte delle attività di trattamento dei dati richieste per fornire i servizi Google Workspace e Google Cloud. Tuttavia, ci rivolgiamo anche ad alcuni fornitori di terze parti che ci aiutano a supportare questi servizi. Ogni fornitore deve superare una rigorosa procedura di selezione per dimostrare di possedere le competenze tecniche necessarie e di poter garantire un livello di sicurezza e privacy adeguato.

Mettiamo a disposizione le informazioni relative ai sub-responsabili del gruppo Google che supportano i servizi Google Workspace e Google Cloud nonché ai sub-responsabili di terze parti coinvolti in questi servizi.

Per un elenco completo dei termini contrattuali pertinenti, consulta:

  • Google Cloud e Google Workspace - Addendum per il trattamento dei dati Cloud (CDPA)
  • Trattamento dei dati  | Sezione 5.2

Google gestisce un'infrastruttura globale progettata per fornire una sicurezza all'avanguardia durante tutto il ciclo di vita di trattamento delle informazioni. Questa infrastruttura è pensata per fornire deployment sicuro dei servizi, archiviazione sicura dei dati con misure di salvaguardia della privacy degli utenti finali, comunicazioni sicure tra i servizi, comunicazioni sicure e private con i clienti in Internet e gestione sicura da parte degli amministratori. Google Workspace e Google Cloud vengono eseguiti su questa infrastruttura.

Abbiamo progettato la sicurezza della nostra infrastruttura su più livelli che poggiano l'uno sopra l'altro, dalla sicurezza fisica dei data center ai sistemi di protezione di hardware e software, fino alle procedure adoperate a sostegno della sicurezza operativa. Questa protezione su più livelli crea solide fondamenta di sicurezza per tutte le nostre operazioni. Una discussione dettagliata sulla sicurezza della nostra infrastruttura è disponibile nel nostro white paper Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Disponibilità, integrità e resilenza

Google progetta i componenti della sua piattaforma per garantire un'elevata ridondanza. I data center di Google sono distribuiti geograficamente in modo da ridurre al minimo l'impatto di eventuali problemi a livello locale, ad esempio calamità naturali e interruzioni del servizio, sui prodotti globali. In caso di guasti all'hardware, al software o alla rete, i servizi vengono spostati automaticamente e immediatamente da una struttura all'altra, in modo che le operazioni possano continuare senza interruzioni. La nostra infrastruttura a elevata ridondanza aiuta i clienti a proteggersi dalla perdita di dati.

Test e sicurezza delle apparecchiature

Google utilizza codici a barre ed etichette asset per monitorare lo stato e la posizione delle apparecchiature dei data center dall'acquisizione all'installazione, al ritiro e alla distruzione. Se un componente non supera un test delle prestazioni in qualsiasi momento durante il suo ciclo di vita viene rimosso dall'inventario e ritirato. I dischi rigidi di Google utilizzano tecnologie come la crittografia dell'intero disco (FDE, Full Disk Encryption) e il blocco delle unità per proteggere i dati inattivi.

Test per il ripristino di emergenza

Google esegue annualmente una serie di test relativi al ripristino di emergenza per offrire ai team dell'infrastruttura e delle applicazioni un ambiente coordinato che consenta loro di testare piani di comunicazione, scenari di failover, transizioni operative e altre misure di risposta alle emergenze. Tutti i team che partecipano all'esercizio sul ripristino di emergenza sviluppano piani di test e post mortem che documentano i risultati e le lezioni apprese dai test.

Crittografia

Google utilizza la crittografia per proteggere i dati in transito e inattivi. I dati di Google Workspace in transito tra aree geografiche sono protetti mediante il protocollo HTTPS, attivato per impostazione predefinita per tutti gli utenti. I servizi di Google Workspace e Google Cloud utilizzano uno o più meccanismi di crittografia per criptare i contenuti inattivi dei clienti, senza che sia richiesta alcuna azione da parte dei clienti.

Controlli di accesso

Per i dipendenti di Google, i livelli e i diritti di accesso sono basati sulla qualifica e sul ruolo professionale e, per abbinare i privilegi di accesso alle responsabilità definite, si fa ricorso ai principi di privilegio minimo e necessità di sapere (need-to-know). Le richieste di autorizzazioni supplementari di accesso devono seguire una procedura formale che prevede una richiesta e un'approvazione da parte del proprietario o del gestore dei dati o del sistema oppure di altri dirigenti, secondo quanto previsto dalle norme di sicurezza di Google. I data center che ospitano i sistemi e i componenti dell'infrastruttura di Google Cloud sono soggetti a restrizioni per l'accesso fisico e dotati di personale di sicurezza in loco 24 ore su 24, 7 giorni su 7, guardie di sicurezza, badge di accesso, meccanismi di identificazione biometrica, barriere fisiche e videocamere per monitorare l'interno e l'esterno della struttura.

Gestione degli incidenti

Google ha un team dedicato alla sicurezza incaricato di occuparsi della sicurezza e della privacy dei dati dei clienti e di gestire la sicurezza 24 ore su 24, 7 giorni su 7, in tutto il mondo. I membri di questo team ricevono le notifiche relative agli incidenti e si occupano di aiutare a risolvere le emergenze 24 ore su 24, 7 giorni su 7. Sono attivi criteri di risposta agli incidenti ed è disponibile documentazione sulle procedure per risolvere gli incidenti critici. Le informazioni derivanti da questi eventi vengono utilizzate per prevenire incidenti futuri e possono essere utilizzate come esempi per i training sulla sicurezza delle informazioni. I processi di gestione degli incidenti e i flussi di lavoro di risposta di Google sono documentati. I processi di gestione degli incidenti di Google sono sottoposti a test regolarmente, nell'ambito dei nostri programmi ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 e FedRAMP per fornire ai clienti e agli enti regolatori verifiche indipendenti dei nostri controlli di sicurezza, privacy e conformità. Altre informazioni sul nostro processo di risposta agli incidenti sono disponibili nel nostro white paper sul processo di risposta agli incidenti relativi ai dati.

Gestione delle vulnerabilità

Analizziamo le vulnerabilità del software utilizzando una combinazione di strumenti disponibili in commercio e strumenti interni appositamente progettati, test di penetrazione intensivi automatizzati e manuali, processi di garanzia di qualità, revisioni della sicurezza del software e audit esterni. Ci affidiamo anche alla più ampia comunità di esperti della sicurezza, il cui aiuto è estremamente utile per identificare eventuali vulnerabilità in Google Workspace, Google Cloud e altri prodotti Google. Il nostro Vulnerability Reward Program incoraggia i ricercatori a segnalare i problemi di progettazione e implementazione che potrebbero mettere a rischio i dati dei clienti.

Sicurezza del prodotto - Google Workspace: per saperne di più, visita https://workspace.google.com/security

Sicurezza del prodotto - Google Cloud: per saperne di più, visita https://cloud.google.com/security/

Per i termini completi, consulta:

  • Google Cloud e Google Workspace - Addendum per il trattamento dei dati Cloud (CDPA)
  • Sicurezza dei dati | Sezione 7
  • Misure di sicurezza | Appendice 2
  • Contenuti correlati: white paper sulla sicurezza di Google

Diritti dell'interessato

I titolari del trattamento dei dati possono utilizzare la funzionalità dei servizi e delle console di amministrazione di Google Cloud e Google Workspace per facilitare l'accesso ai dati nonché rettificare, limitare il trattamento o eliminare i dati che loro stessi o gli utenti inseriscono nei nostri sistemi. Questa funzionalità consentirà loro di adempiere agli obblighi di risposta alle richieste degli interessati di esercitare i propri diritti ai sensi del GDPR.

Team di protezione dei dati

Google ha designato un RPD per Google LLC e le sue consociate, per coprire il trattamento dei dati soggetti al GDPR, anche come parte dei nostri prodotti e servizi Cloud. Kristie Chon Flynn è la responsabile della protezione dei dati di Google. Kristie Chon Flynn risiede a Sunnyvale negli Stati Uniti.

Ove richiesto, per i prodotti Google Cloud esistono team dedicati a rispondere alle richieste dei clienti in relazione alla protezione dei dati. Il modo per contattare questi team è descritto nel contratto pertinente. Per Google Workspace, gli amministratori del cliente possono contattare il team dedicato alla protezione dei dati cloud all'indirizzo https://support.google.com/a/contact/googlecloud_dpr (al momento dell'accesso al proprio account amministratore) e/o fornendo direttamente una notifica a Google come descritto nel contratto vigente. Per Google Cloud, il team può essere contattato all'indirizzo https://support.google.com/cloud/contact/dpo.

Notifiche degli incidenti

Google Workspace e Google Cloud prevedono da molti anni impegni contrattuali in materia di notifica degli incidenti. Continueremo a informare tempestivamente i nostri clienti di eventuali incidenti che dovessero coinvolgere i loro dati, secondo quanto delineato nei termini dei contratti stipulati con Google.

Per i termini completi, consulta:

  • Google Cloud e Google Workspace - Addendum per il trattamento dei dati Cloud (CDPA)
  • Valutazioni dell'impatto e consultazioni | Sezione 8

La funzionalità dei servizi Google Workspace o Google Cloud (consulta la documentazione di Google Cloud per ulteriori informazioni) consente agli amministratori di esportare i dati dei clienti in qualsiasi momento nel periodo di validità del contratto. Abbiamo già da anni incluso gli impegni di esportazione dei dati nei nostri termini per il trattamento dei dati e continueremo a impegnarci per migliorare le nostre funzionalità di esportazione dei dati, semplificando ulteriormente per te il download di una copia dei tuoi dati del cliente dai servizi Google Workspace e Google Cloud.

La funzionalità dei servizi Google Workspace o Google Cloud consente inoltre di eliminare i dati dei clienti in qualsiasi momento. Quando Google riceve un'istruzione di eliminazione definitiva (come nel caso di un'email eliminata che non può più essere recuperata dal Cestino), eliminerà i dati pertinenti dei clienti da tutti i suoi sistemi entro 180 giorni, a meno che non siano applicabili specifici obblighi di conservazione.

Per i termini completi, consulta:

  • Google Cloud e Google Workspace - Addendum per il trattamento dei dati Cloud (CDPA)
  • Eliminazione dei dati | Sezione 6
  • Diritti dell'interessato; esportazione dei dati | Sezione 9.1

Google Cloud e Google Workspace - Addendum per il trattamento dei dati Cloud (CDPA)

Sicurezza dei dati | Sezione 7.4

Oltre ai termini del contratto, i nostri clienti e i regolatori si aspettano verifiche indipendenti relative ai controlli di sicurezza, privacy e conformità. Per rispondere a queste aspettative, Google Workspace e Google Cloud si sottopongono a diversi controlli periodici indipendenti eseguiti da terze parti.

ISO/IEC 27001 (Gestione della sicurezza delle informazioni)

ISO/IEC 27001 è uno degli standard di sicurezza indipendenti più ampiamente riconosciuti e accettati a livello internazionale. Google ha ottenuto la certificazione ISO/IEC 27001 per i sistemi, le applicazioni, le persone, le tecnologie, i processi e i data center che formano la nostra infrastruttura comune condivisa, oltre che per i prodotti Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.

ISO/IEC 27017 (Sicurezza nel cloud)

ISO/IEC 27017 è uno standard internazionale che definisce le prassi per i controlli della sicurezza delle informazioni basato su ISO/IEC 27002 e specifico per i servizi cloud. Google ha ottenuto la certificazione di conformità ISO/IEC 27017 per Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.

ISO/IEC 27018 (Privacy nel cloud):

ISO/IEC 27018 è uno standard internazionale che definisce le prassi per la protezione delle informazioni che consentono l'identificazione personale (PII) degli utenti nei servizi cloud pubblici. Google ha ottenuto la certificazione di conformità ISO/IEC 27018 per Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.

ISO/IEC 27701 (Gestione delle informazioni sulla privacy)

ISO/IEC 27701 è il primo standard globale sulla privacy incentrato sulla raccolta e sul trattamento delle informazioni che consentono l'identificazione personale (PII). Questo standard estende i requisiti degli standard ISO/IEC 27001 e ISO/IEC 27002 per includere la privacy dei dati. Abbiamo ricevuto la certificazione ISO/IEC 27701 accreditata come responsabili del trattamento delle informazioni che consentono l'identificazione personale sia per Google Workspace che per Google Cloud. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.

SSAE18/ISAE 3402 (SOC 2/3):

Il framework di audit SOC 2 (Service Organization Controls) e SOC 3 dell'American Institute of Certified Public Accountants (AICPA) definisce i criteri e i principi di fiducia relativi a sicurezza, disponibilità, integrità del trattamento e riservatezza. Google ha conseguito entrambi i rapporti SOC 2 e SOC 3 per Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.

Fai il prossimo passo

Inizia il tuo prossimo progetto, esplora tutorial interattivi e gestisci il tuo account.

Contattaci
Google Cloud
DocumentiAssistenza
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
Console
Accedi
Inizia gratuitamente
Contattaci
  • Accelera la tua trasformazione digitale
  • Sia che la tua azienda sia all'inizio o a buon punto del suo percorso verso la trasformazione digitale, Google Cloud può aiutarti a risolvere le sfide più difficili.
  • Prodotti Google Cloud
  • Scopri oltre 100 prodotti. I nuovi clienti ricevono 300 $ di crediti gratuiti per l'esecuzione, il test e il deployment dei workload. Tutti i clienti hanno a disposizione oltre 25 prodotti gratuitamente, entro i limiti di utilizzo mensili.
  • Risparmia con il nostro approccio trasparente ai prezzi
  • Il pagamento a consumo di Google Cloud offre risparmi automatici in base all'utilizzo mensile e alle tariffe scontate per risorse prepagate. Contattaci oggi per richiedere un preventivo.
Google Cloud