Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR)

La conformità con il GDPR è una priorità assoluta per Google Cloud e per i nostri clienti. Il GDPR mira a rafforzare la protezione dei dati personali in Europa e influisce sul modo in cui tutti noi svolgiamo la nostra attività. Siamo sicuri che hai molte domande e siamo qui per aiutarti. Google Cloud adotta un approccio incentrato sul cliente in materia di protezione, controllo e conformità. Google mira a essere un promotore chiave del tuo percorso verso la conformità al GDPR.

GUIDA ALL'IMPLEMENTAZIONE DELLA PROTEZIONE DEI DATI DI GOOGLE WORKSPACE GUIDA ALL'IMPLEMENTAZIONE DELLA PROTEZIONE DEI DATI DI GOOGLE WORKSPACE FOR EDUCATION RISERVATEZZA DEI DATI DEL CLIENTE GARANTITA CON GOOGLE CLOUD PLATFORM

Visita il nostro Centro risorse GDPR 

Disclaimer: i contenuti del presente documento sono aggiornati a novembre 2020 e rappresentano lo status quo del momento in cui sono stati redatti. Criteri e sistemi di sicurezza di Google Cloud potranno variare in futuro, di pari passo con il nostro impegno al costante miglioramento della protezione dei clienti. Quando facciamo riferimento a Google Workspace, ci riferiamo anche a Google Workspace for Education. Nei prossimi mesi porteremo Google Workspace ai nostri clienti nei settori dell'istruzione e delle organizzazioni non profit.

Cos'è il regolamento GDPR?

Il GDPR, entrato in vigore il 25 maggio 2018, ha sostituito la Direttiva europea sulla protezione dei dati del 1995.

Il GDPR stabilisce requisiti specifici per le attività e le organizzazioni con sede in Europa o che forniscono servizi agli utenti in Europa. Il GDPR:

  • Regola il modo in cui le aziende possono raccogliere, utilizzare e archiviare i dati personali
  • Si basa sulla documentazione attuale e sui requisiti di reporting per aumentare la responsabilizzazione
  • Autorizza sanzioni per le imprese che non soddisfano i suoi requisiti

Google Cloud e il GDPR

In Google Cloud sosteniamo le iniziative che danno priorità e apportano miglioramenti alle politiche di sicurezza e privacy dei dati personali e vogliamo che tu, in qualità di cliente di Google Cloud, possa utilizzare i nostri servizi in tutta tranquillità alla luce dei requisiti del GDPR. Se collabori con Google Cloud, supporteremo il tuo impegno per la conformità al GDPR:

  1. Impegnandoci nei nostri contratti a rispettare il GDPR in relazione al trattamento da parte nostra dei dati personali dei clienti in tutti i servizi Google Cloud Platform e Google Workspace
  2. Offrendo funzionalità di sicurezza aggiuntive che possano aiutarti a proteggere meglio i dati personali più sensibili
  3. Fornendoti la documentazione e le risorse per assisterti nella valutazione della privacy dei nostri servizi
  4. Continuando a evolvere le nostre competenze di pari passo con il cambiamento del panorama normativo

Rispetto del regolamento GDPR in Google Workspace e Google Cloud Platform

Tra le altre cose, i titolari del trattamento dei dati devono ricorrere esclusivamente a responsabili del trattamento dei dati che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo che il trattamento rispetti i requisiti del GDPR. Durante la valutazione dei servizi Google Workspace e Google Cloud Platform, può essere utile tenere presente quanto segue:

Competenze nella protezione dei dati

I professionisti di cui si avvale Google nel campo della sicurezza e della privacy comprendono alcuni dei massimi esperti mondiali in materia di sicurezza delle informazioni, delle applicazioni e delle reti. Questo team di esperti si occupa di gestire i sistemi di difesa dell'azienda, di sviluppare processi di controllo della sicurezza, di realizzare un'infrastruttura di sicurezza più solida e di implementare con precisione i criteri di sicurezza di Google.

Google si avvale inoltre di un ampio team di avvocati, esperti di conformità normativa e specialisti di norme pubbliche che si occupano per conto di Google Cloud della conformità alle norme sulla privacy e sulla sicurezza.

Questi team lavorano con clienti, parti interessate del settore e autorità di controllo per assicurare che i nostri servizi Google Workspace e Google Cloud Platform possano aiutare i clienti a far fronte ai propri requisiti di conformità.

Cosa puoi fare

Quali sono le tue responsabilità in qualità di cliente?

I clienti che utilizzano Google Workspace1 e Google Cloud Platform operano in genere come titolari del trattamento dei dati per tutti i contenuti personali che forniscono a Google attraverso l'utilizzo dei servizi Google Cloud. Il titolare del trattamento dei dati determina gli scopi e i mezzi per il trattamento dei dati personali. Poi c'è il responsabile del trattamento dei dati. Solitamente siamo noi. In qualità di responsabile del trattamento dei dati, Google Cloud gestisce i dati personali per conto del titolare del trattamento dei dati, quando quest'ultimo utilizza Google Workspace o Google Cloud Platform.

Quali sono le funzioni del titolare del trattamento dei dati?

I titolari del trattamento dei dati, insieme ai responsabili del trattamento dei dati, devono implementare misure tecniche e organizzative adeguate per garantire che l'elaborazione dei dati venga eseguita in conformità al regolamento GDPR. Gli obblighi dei titolari del trattamento dei dati riguardano vari aspetti quali legittimità, correttezza, trasparenza, limitazione delle finalità, riduzione al minimo dei dati, accuratezza e rispetto dei diritti degli interessati in relazione ai propri dati.

Puoi trovare informazioni utili riguardo alle tue responsabilità ai sensi del regolamento GDPR controllando regolarmente i siti web dell'autorità nazionale o capofila competente per la protezione dei dati e le pubblicazioni di associazioni che si occupano della privacy dei dati, come l'International Association of Privacy Professionals (IAPP). Garantiremo inoltre che questa pagina relativa al regolamento GDPR e il nostro Centro risorse GDPR includano sempre le ultime notizie e nuovi aggiornamenti.

Questo sito ha lo scopo di aiutare i nostri clienti a comprendere meglio la posizione di Google Cloud nei confronti del regolamento GDPR. Ti consigliamo di consultare un legale per ottenere indicazioni sui requisiti specifici applicabili alla tua organizzazione, in quanto questo sito non costituisce una consulenza legale.

Da dove iniziare

Se ad esempio sei un cliente Google Cloud residente nello Spazio economico europeo o nel Regno Unito, o sei responsabile del trattamento dei dati relativi a interessati residenti nello Spazio economico europeo o nel Regno Unito, il regolamento GDPR dovrebbe far parte della tua strategia di conformità per la protezione dei dati. Prendi in considerazione questi suggerimenti:

  • Familiarizza con le disposizioni del regolamento GDPR.
  • Crea un inventario aggiornato dei dati personali che gestisci. Puoi utilizzare alcuni dei nostri strumenti per facilitare l'identificazione e la classificazione dei dati.
  • Rivedi i controlli, criteri e processi attuali per la gestione e la protezione dei dati in modo da verificarne la conformità ai requisiti del GDPR. Trova le lacune e crea un piano per affrontarle.
  • Cerca di capire in che modo puoi sfruttare le funzionalità esistenti di Google Cloud per la protezione dei dati nell'ambito del processo di adeguamento al quadro normativo. Esamina i materiali di certificazione e audit di Google Workspace o Google Cloud Platform da parte di terzi per iniziare.
  • Rivedi e accetta (se necessario) i nostri termini aggiornati per il trattamento dei dati attraverso il processo di attivazione descritto qui per l'Emendamento sul trattamento dei dati di Google Workspace e qui per i Termini per il trattamento e la sicurezza dei dati di GCP.
1 Google Workspace (in precedenza G Suite) include Google Workspace for Teams, Google Workspace Business e Google Workspace for Education. Alcuni piani di G Suite precedenti continuano a essere supportati. 2 Ti consigliamo di richiedere assistenza legale indipendente per individuare l'autorità competente per la protezione dei dati personali nazionale o capofila appropriata.

Domande frequenti

Cos'è il regolamento GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è una nuova legge sulla privacy che, in data 25 maggio 2018, ha sostituito la Direttiva 95/46/CE in materia di protezione dei dati del 24 ottobre 1995.
Il regolamento GDPR prevede l'archiviazione dei dati personali nell'UE?
No. Analogamente alla Direttiva 95/46/CE in materia di protezione dei dati, il regolamento GDPR prevede determinate condizioni per il trasferimento dei dati personali al di fuori dell'UE. Tali condizioni possono essere rispettate attraverso meccanismi specifici come le clausole contrattuali tipo.
In che modo i vostri termini riflettono i requisiti del regolamento GDPR?
Per molti anni, Google Cloud ha offerto Termini per il trattamento dei dati che esprimono chiaramente il nostro impegno nei confronti della privacy e della sicurezza dei clienti, che abbiamo evoluto in modo tale da riflettere il GDPR. I nostri termini aggiornati al GDPR riflettono in particolare le disposizioni dell'articolo 28 del GDPR, che disciplinano il ricorso a un responsabile del trattamento dei dati da parte di un titolare del trattamento dei dati.
Il regolamento GDPR dà diritto ai clienti di svolgere attività di audit su Google Cloud?
Secondo il regolamento GDPR, i diritti di audit devono essere concessi ai titolari del trattamento dei dati nei contratti sottoscritti con i responsabili del trattamento dei dati. I nostri contratti aggiornati per il trattamento dei dati comprendono i diritti di audit a favore dei nostri clienti soggetti al GDPR.
Qual è il ruolo delle certificazioni ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 e dei rapporti SOC 2/3 di terze parti per quel che riguarda la conformità al regolamento GDPR?
I clienti possono utilizzare le nostre certificazioni ISO/IEC e i nostri rapporti di audit SOC 2/3 di terze parti per valutare meglio i rischi e determinare se vengono implementate misure tecniche e organizzative adeguate. La nostra certificazione ISO/IEC 27701 offre maggiore chiarezza su ruoli e responsabilità correlati alla privacy, il che può facilitare gli sforzi per conformarsi alle normative in materia di privacy, incluso il regolamento GDPR.
Ora che Privacy Shield (scudo per la privacy) non è più valido, posso ancora utilizzare Google Cloud e soddisfare i requisiti del regolamento GDPR se tratto dati personali dell'Unione europea?
Google continuerà a esaminare l'impatto del caso C-311/18 della Corte di giustizia dell'Unione europea, ma resta invariato il suo impegno ad adottare le misure appropriate per garantire un elevato livello di protezione della privacy per i cittadini dell'Unione europea.
Google Cloud offre ai clienti clausole contrattuali tipo, che verranno automaticamente considerate applicabili in assenza di soluzioni di trasferimento alternative messe a disposizione da Google.
Indipendentemente dalla posizione dei dati, la protezione dei dati resta una priorità per Google. Siamo certificati in base a standard internazionali riconosciuti come ISO/IEC 27001, ISO/IEC 27018 e ISO/IEC 27017. L'elenco completo delle offerte di conformità di Google è disponibile nel Centro risorse per la conformità.
Quali altre informazioni e risorse ha fornito Google sul regolamento GDPR?
Visita il sito web Aziende e dati di Google e il nostro Centro risorse GDPR