Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR)

La conformità con il GDPR è una priorità assoluta per Google Cloud e per i nostri clienti. Il GDPR mira a rafforzare la protezione dei dati personali in Europa e influisce sul modo in cui tutti noi svolgiamo la nostra attività. Siamo sicuri che tu abbia molte domande e siamo qui per aiutarti. Google Cloud adotta un approccio incentrato sul cliente in materia di protezione, controllo e conformità. Google mira a essere un promotore chiave del tuo percorso verso la conformità al GDPR.

WHITE PAPER "GOOGLE CLOUD E IL GDPR" GUIDA DI RIFERIMENTO RAPIDO AL GDPR DI GOOGLE CLOUD GUIDA ALL'IMPLEMENTAZIONE DELLA PROTEZIONE DEI DATI IN G SUITE

Visita il nostro Centro risorse GDPR 

Cos'è il regolamento GDPR?

Il GDPR, entrato in vigore il 25 maggio 2018, ha sostituito la Direttiva europea sulla protezione dei dati del 1995.

Il GDPR stabilisce requisiti specifici per le imprese e le organizzazioni con sede in Europa o che forniscono servizi agli utenti in Europa. Il GDPR:

  • Regola il modo in cui le aziende possono raccogliere, utilizzare e archiviare i dati personali
  • Si basa sulla documentazione attuale e sui requisiti di reporting per aumentare la responsabilizzazione
  • Autorizza sanzioni per le imprese che non soddisfano i suoi requisiti

Cosa stiamo facendo

In Google Cloud sosteniamo le iniziative che danno priorità e apportano miglioramenti alle politiche di sicurezza e privacy dei dati degli utenti. Con l'entrata in vigore del GDPR abbiamo introdotto diversi aggiornamenti per garantire ai clienti di Google Cloud l'utilizzo dei nostri servizi in totale sicurezza. Collabora con Google Cloud e sosterremo i tuoi sforzi:

  1. Impegnandoci nei nostri contratti a rispettare il GDPR in relazione al nostro trattamento dei dati personali dei clienti in tutti i servizi Google Cloud Platform e G Suite
  2. Offrendo funzionalità di sicurezza aggiuntive che possano aiutarti a proteggere meglio i dati personali più sensibili
  3. Fornendoti la documentazione e le risorse per assisterti nella valutazione della privacy dei nostri servizi
  4. Continuando a evolvere le nostre competenze di pari passo con il cambiamento del panorama normativo

Rispetto del regolamento GDPR in G Suite e Google Cloud Platform

Tra le altre cose, i titolari del trattamento dei dati devono ricorrere esclusivamente a responsabili del trattamento dei dati che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo che il trattamento rispetti i requisiti del GDPR. Durante la valutazione dei servizi G Suite e Google Cloud Platform, può essere utile tenere presente quanto segue:

Competenze nella protezione dei dati

I professionisti di cui si avvale Google nel campo della sicurezza e della privacy comprendono alcuni dei massimi esperti mondiali in materia di sicurezza delle informazioni, delle applicazioni e delle reti. Questo team di esperti si occupa di gestire i sistemi di difesa dell'azienda, di sviluppare processi di controllo della sicurezza, di realizzare un'infrastruttura di sicurezza più solida e di implementare con precisione i criteri di sicurezza di Google.

Google si avvale inoltre di un ampio team di avvocati, esperti di conformità normativa e specialisti di norme pubbliche che si occupano per conto di Google Cloud della conformità alle norme sulla privacy e sulla sicurezza.

Questi team lavorano con clienti, parti interessate del settore e autorità di controllo per assicurare che i nostri servizi G Suite e Google Cloud Platform possano aiutare i clienti a far fronte ai propri requisiti di conformità.

Cosa puoi fare

Quali sono le tue responsabilità in qualità di cliente?

I clienti che utilizzano G Suite1 e Google Cloud Platform operano in genere come titolari del trattamento dei dati per tutti i contenuti personali che forniscono a Google attraverso l'utilizzo dei servizi Google Cloud. Il titolare del trattamento dei dati determina gli scopi e i mezzi per il trattamento dei dati personali. Poi c'è il responsabile del trattamento dei dati. Solitamente siamo noi. In qualità di responsabile del trattamento dei dati, Google Cloud gestisce i dati personali per conto del titolare del trattamento dei dati, quando quest'ultimo utilizza G Suite o Google Cloud Platform.

Quali sono le funzioni del titolare del trattamento dei dati?

I responsabili del trattamento dei dati devono implementare misure tecniche e organizzative adeguate per garantire e dimostrare che l'elaborazione dei dati viene eseguita in conformità al regolamento GDPR. Gli obblighi dei responsabili del trattamento dei dati riguardano vari aspetti quali legittimità, correttezza, trasparenza, limitazione delle finalità, riduzione al minimo dei dati, accuratezza e rispetto dei diritti dei proprietari dei dati.

Puoi trovare informazioni utili riguardo alle tue responsabilità ai sensi del regolamento GDPR controllando regolarmente i siti web dell'autorità nazionale o capofila competente per la protezione dei dati e le pubblicazioni di associazioni che si occupano della privacy dei dati, come l'International Association of Privacy Professionals (IAPP). Garantiremo inoltre che questa pagina relativa al regolamento GDPR e il nostro Centro risorse GDPR includano sempre le ultime notizie e nuovi aggiornamenti.

Questo sito ha lo scopo di aiutare i nostri clienti a comprendere meglio la posizione di Google Cloud nei confronti del regolamento GDPR. Ti consigliamo di consultare un esperto legale per ottenere indicazioni sui requisiti specifici applicabili alla tua organizzazione, in quanto questo sito non costituisce una consulenza legale.

Da dove iniziare

In qualità di cliente Google Cloud, il GDPR dovrebbe far parte della strategia di conformità alla protezione dei dati. Prendi in considerazione questi suggerimenti:

  • Familiarizza con le disposizioni del regolamento GDPR
  • Crea un inventario aggiornato dei dati personali che gestisci. Puoi utilizzare alcuni dei nostri strumenti per facilitare l'identificazione e la classificazione dei dati.
  • Rivedi i controlli, criteri e processi attuali per la gestione e la protezione dei dati in modo da verificarne la conformità ai requisiti del GDPR. Trova le lacune e crea un piano per affrontarle.
  • Cerca di capire in che modo puoi sfruttare le funzioni esistenti di Google Cloud per la protezione dei dati nell'ambito del processo di adeguamento al quadro normativo. Esamina i materiali di certificazione e audit di G Suite o Google Cloud Platform da parte di terzi per iniziare.
  • Rivedi e accetta i nostri termini aggiornati per il trattamento dei dati attraverso il processo di attivazione descritto qui per l'Emendamento sul trattamento dei dati di G Suite e qui per i Termini per il trattamento e la sicurezza dei dati di GCP.
1 G Suite include G Suite for Business e G Suite for Education. 2 Ti consigliamo di richiedere assistenza legale indipendente per individuare l'autorità competente per la protezione dei dati personali nazionale o capofila appropriata.

Domande frequenti

Cos'è il regolamento GDPR?
Il Regolamento generale sulla protezione dei dati (GDPR) è una nuova legge sulla privacy che, in data 25 maggio 2018, ha sostituito la Direttiva 95/46/EC in materia di protezione dei dati del 24 ottobre 1995.
Il regolamento GDPR prevede l'archiviazione dei dati personali nell'UE?
No. Analogamente alla Direttiva 95/46/CE in materia di protezione dei dati, il regolamento GDPR prevede determinate condizioni per il trasferimento dei dati personali al di fuori dell'UE. Tali condizioni possono essere rispettate attraverso meccanismi specifici come le clausole contrattuali tipo.
Come sono stati aggiornati i termini di Google Cloud per adeguarli al GDPR?
Per molti anni, Google Cloud ha offerto Termini per il trattamento dei dati che esprimono chiaramente il nostro impegno nei confronti della privacy e della sicurezza dei clienti. Mentre il GDPR è direttamente applicabile ai fornitori di servizi cloud indipendentemente dai loro impegni contrattuali in questo senso, abbiamo aggiornato i nostri termini per adeguarli al GDPR. I nostri termini aggiornati al nuovo regolamento GDPR riflettono in particolare le disposizioni dell'articolo 28 del GDPR che disciplinano il ricorso a un responsabile del trattamento dei dati da parte di un cliente Google Cloud.
Il regolamento GDPR dà diritto ai clienti di svolgere attività di audit su Google Cloud?
Secondo il regolamento GDPR, i diritti di audit devono essere concessi ai titolari del trattamento dei dati nei contratti sottoscritti con i responsabili del trattamento dei dati. I nostri contratti aggiornati per il trattamento dei dati comprendono i diritti di audit a favore dei nostri clienti.
Qual è il ruolo degli standard esterni ISO 27001, ISO 27017, ISO 27018 e dei rapporti SOC 2/3 per quel che riguarda la conformità al regolamento GDPR?
I clienti possono utilizzare le nostre certificazioni ISO e i nostri rapporti di audit SOC 2/3 di terze parti per valutare meglio i rischi e determinare se vengono implementate misure tecniche e organizzative adeguate.
Quali altre informazioni e risorse ha fornito Google sul regolamento GDPR?
Visita il sito web Businesses and Data di Google e il nostro Centro risorse GDPR