Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR)
La conformità con il GDPR è una priorità assoluta per Google Cloud e per i nostri clienti. Il GDPR mira a rafforzare la protezione dei dati personali in Europa e influisce sul modo in cui tutti noi svolgiamo la nostra attività. Siamo sicuri che hai molte domande e siamo qui per aiutarti. Google Cloud adotta un approccio incentrato sul cliente in materia di protezione, controllo e conformità. Google mira a essere un promotore chiave del tuo percorso verso la conformità al GDPR.
Visita il nostro Centro risorse GDPR arrow_forward
Disclaimer: i contenuti del presente documento sono aggiornati a novembre 2020 e rappresentano lo status quo del momento in cui sono stati redatti. Criteri e sistemi di sicurezza di Google Cloud potranno variare in futuro, di pari passo con il nostro impegno al costante miglioramento della protezione dei clienti. Quando facciamo riferimento a Google Workspace, ci riferiamo anche a Google Workspace for Education. Nei prossimi mesi porteremo Google Workspace ai nostri clienti nei settori dell'istruzione e delle organizzazioni non profit.
Cos'è il regolamento GDPR?
Il GDPR, entrato in vigore il 25 maggio 2018, ha sostituito la Direttiva europea sulla protezione dei dati del 1995.
Il GDPR stabilisce requisiti specifici per le attività e le organizzazioni con sede in Europa o che forniscono servizi agli utenti in Europa. Il GDPR:
- Regola il modo in cui le aziende possono raccogliere, utilizzare e archiviare i dati personali
- Si basa sulla documentazione attuale e sui requisiti di reporting per aumentare la responsabilizzazione
- Autorizza sanzioni per le imprese che non soddisfano i suoi requisiti
Google Cloud e il GDPR
In Google Cloud sosteniamo le iniziative che danno priorità e apportano miglioramenti alle politiche di sicurezza e privacy dei dati personali e vogliamo che tu, in qualità di cliente di Google Cloud, possa utilizzare i nostri servizi in tutta tranquillità alla luce dei requisiti del GDPR. Se collabori con Google Cloud, supporteremo il tuo impegno per la conformità al GDPR:
- Impegnandoci nei nostri contratti a rispettare il GDPR in relazione al trattamento da parte nostra dei dati personali dei clienti in tutti i servizi Google Cloud Platform e Google Workspace
- Offrendo funzionalità di sicurezza aggiuntive che possano aiutarti a proteggere meglio i dati personali più sensibili
- Fornendoti la documentazione e le risorse per assisterti nella valutazione della privacy dei nostri servizi
- Continuando a evolvere le nostre competenze di pari passo con il cambiamento del panorama normativo
Rispetto del regolamento GDPR in Google Workspace e Google Cloud Platform
Tra le altre cose, i titolari del trattamento dei dati devono ricorrere esclusivamente a responsabili del trattamento dei dati che forniscano garanzie sufficienti per implementare misure tecniche e organizzative adeguate in modo che il trattamento rispetti i requisiti del GDPR. Durante la valutazione dei servizi Google Workspace e Google Cloud Platform, può essere utile tenere presente quanto segue:
Competenze nella protezione dei dati
I professionisti di cui si avvale Google nel campo della sicurezza e della privacy comprendono alcuni dei massimi esperti mondiali in materia di sicurezza delle informazioni, delle applicazioni e delle reti. Questo team di esperti si occupa di gestire i sistemi di difesa dell'azienda, di sviluppare processi di controllo della sicurezza, di realizzare un'infrastruttura di sicurezza più solida e di implementare con precisione i criteri di sicurezza di Google.
Google si avvale inoltre di un ampio team di avvocati, esperti di conformità normativa e specialisti di norme pubbliche che si occupano per conto di Google Cloud della conformità alle norme sulla privacy e sulla sicurezza.
Questi team lavorano con clienti, parti interessate del settore e autorità di controllo per assicurare che i nostri servizi Google Workspace e Google Cloud Platform possano aiutare i clienti a far fronte ai propri requisiti di conformità.
Contratti sul trattamento dei dati
I contratti sul trattamento dei dati per Google Workspace e Google Cloud Platform descrivono chiaramente il nostro impegno per la privacy dei clienti. Nel corso degli anni abbiamo sviluppato questi termini in base ai feedback ricevuti dai nostri clienti e dagli enti normativi.
Abbiamo aggiornato questi termini appositamente per rispettare il GDPR e per facilitare ai nostri clienti la valutazione della conformità e della preparazione al regolamento GDPR durante l'uso dei servizi Google Cloud. Questi termini aggiornati sono disponibili qui per l'Emendamento sul trattamento dei dati di Google Workspace, qui per le Clausole contrattuali tipo UE di Google Workspace, qui per i Termini per il trattamento e la sicurezza dei dati di GCP e qui per le Clausole contrattuali tipo UE di GCP.
I nostri clienti possono sottoscrivere questi termini aggiornati per il trattamento dei dati attraverso il processo di attivazione descritto qui per l'Emendamento sul trattamento dei dati di Google Workspace e qui per i Termini per il trattamento e la sicurezza dei dati di GCP.
Trattamento nel rispetto delle istruzioni
Tutti i dati che un cliente e i suoi utenti inseriscono nei nostri sistemi saranno trattati nel rispetto delle istruzioni del cliente, come descritto nei nostri contratti sul trattamento dei dati aggiornati in conformità al GDPR.
Impegni alla riservatezza del personale
Tutti i dipendenti di Google sono tenuti a firmare un accordo di riservatezza e a completare la formazione obbligatoria sulla riservatezza e sulla privacy, nonché la formazione relativa al nostro codice di condotta. Il codice di condotta di Google identifica in modo specifico le responsabilità e il comportamento previsto in relazione alla protezione delle informazioni.
Le società del gruppo Google conducono direttamente la maggior parte delle attività di trattamento dei dati richieste per fornire i servizi Google Workspace e Google Cloud Platform. Tuttavia, ci rivolgiamo anche ad alcuni fornitori di terze parti che ci aiutano a supportare questi servizi. Ogni vendor deve superare una rigorosa procedura di selezione per dimostrare di possedere le competenze tecniche necessarie e di poter garantire un livello di sicurezza e privacy adeguato.
Mettiamo a disposizione le informazioni relative ai sub-responsabili del gruppo Google che supportano i servizi Google Workspace e Google Cloud Platform nonché ai sub-responsabili di terze parti coinvolti in questi servizi. Per ulteriori dettagli sui sub-responsabili vedi qui per Google Workspace e qui per GCP. Includiamo inoltre l'impegno relativo ai sub-responsabili nei nostri contratti sul trattamento dei dati.
Secondo il regolamento GDPR, devono essere implementate misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio.
Google gestisce un'infrastruttura globale progettata per fornire una sicurezza all'avanguardia durante tutto il ciclo di vita di trattamento delle informazioni. Questa infrastruttura è pensata per fornire deployment sicuro dei servizi, archiviazione sicura dei dati con misure di salvaguardia della privacy degli utenti finali, comunicazioni sicure tra i servizi, comunicazioni sicure e private con i clienti in Internet e gestione sicura da parte degli amministratori. Google Workspace e Google Cloud Platform vengono eseguiti su questa infrastruttura.
Abbiamo progettato la sicurezza della nostra infrastruttura su più livelli che poggiano l'uno sopra l'altro, dalla sicurezza fisica dei data center ai sistemi di protezione di hardware e software, fino alle procedure adoperate a sostegno della sicurezza operativa. Questa protezione su più livelli crea solide fondamenta di sicurezza per tutte le nostre operazioni. Una discussione dettagliata sulla sicurezza della nostra infrastruttura è disponibile nel nostro white paper Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Disponibilità, integrità e resilienza
Google progetta i componenti della sua piattaforma per garantire un'elevata ridondanza. I data center di Google sono distribuiti geograficamente in modo da ridurre al minimo l'impatto di eventuali problemi a livello locale, ad esempio calamità naturali e interruzioni del servizio, sui prodotti globali. In caso di guasti all'hardware, al software o alla rete, i servizi vengono spostati automaticamente e immediatamente da una struttura all'altra, in modo che le operazioni possano continuare senza interruzioni. La nostra infrastruttura a elevata ridondanza aiuta i clienti a proteggersi dalla perdita di dati.
Test e sicurezza delle apparecchiature
Google utilizza codici a barre ed etichette asset per monitorare lo stato e la posizione delle apparecchiature dei data center dall'acquisizione all'installazione, al ritiro e alla distruzione. Se un componente non supera un test delle prestazioni in qualsiasi momento durante il suo ciclo di vita viene rimosso dall'inventario e ritirato. I dischi rigidi di Google utilizzano tecnologie come la crittografia dell'intero disco (FDE, Full Disk Encryption) e il blocco delle unità per proteggere i dati inattivi.
Test per il ripristino di emergenza
Google esegue annualmente una serie di test relativi al ripristino di emergenza per offrire ai team dell'infrastruttura e delle applicazioni un ambiente coordinato che consenta loro di testare piani di comunicazione, scenari di failover, transizioni operative e altre misure di risposta alle emergenze. Tutti i team che partecipano all'esercizio sul ripristino di emergenza sviluppano piani di test e post mortem che documentano i risultati e le lezioni apprese dai test.
Crittografia
Google utilizza la crittografia per proteggere i dati in transito e inattivi. I dati di Google Workspace in transito tra aree geografiche sono protetti mediante il protocollo HTTPS, attivato per impostazione predefinita per tutti gli utenti. I servizi di Google Workspace e Google Cloud Platform utilizzano uno o più meccanismi di crittografia per criptare i contenuti inattivi dei clienti, senza che sia richiesta alcuna azione da parte dei clienti. Una discussione dettagliata sulle modalità di crittografia dei dati da noi adottate è disponibile nel nostro white paper sulla crittografia.
Controlli di accesso
Per i dipendenti di Google, i livelli e i diritti di accesso sono basati sulla qualifica e sul ruolo professionale e, per abbinare i privilegi di accesso alle responsabilità definite, si fa ricorso ai principi di privilegio minimo e necessità di sapere (need-to-know). Le richieste di autorizzazioni supplementari di accesso devono seguire una procedura formale che prevede una richiesta e un'approvazione da parte del proprietario o del gestore dei dati o del sistema oppure di altri dirigenti, secondo quanto previsto dalle norme di sicurezza di Google. I data center che ospitano i sistemi e i componenti dell'infrastruttura di Google Cloud sono soggetti a restrizioni per l'accesso fisico e dotati di personale di sicurezza in loco 24 ore su 24, 7 giorni su 7, guardie di sicurezza, badge di accesso, meccanismi di identificazione biometrica, barriere fisiche e videocamere per monitorare l'interno e l'esterno della struttura.
Gestione degli incidenti
Google ha un team dedicato alla sicurezza incaricato di occuparsi della sicurezza e della privacy dei dati dei clienti e di gestire la sicurezza 24 ore su 24, 7 giorni su 7, in tutto il mondo. I membri di questo team ricevono le notifiche relative agli incidenti e si occupano di aiutare a risolvere le emergenze 24 ore su 24, 7 giorni su 7. Sono attivi criteri di risposta agli incidenti ed è disponibile documentazione sulle procedure per risolvere gli incidenti critici. Le informazioni derivanti da questi eventi vengono utilizzate per prevenire incidenti futuri e possono essere utilizzate come esempi per i training sulla sicurezza delle informazioni. I processi di gestione degli incidenti e i flussi di lavoro di risposta di Google sono documentati. I processi di gestione degli incidenti di Google sono sottoposti a test regolarmente, nell'ambito dei nostri programmi ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS1, SOC 2 e FedRAMP per fornire ai clienti e agli enti regolatori verifiche indipendenti dei nostri controlli di sicurezza, privacy e conformità. Altre informazioni sul nostro processo di risposta agli incidenti sono disponibili nel nostro white paper sul processo di risposta agli incidenti relativi ai dati.
Gestione delle vulnerabilità
Analizziamo le vulnerabilità del software utilizzando una combinazione di strumenti disponibili in commercio e strumenti interni appositamente progettati, test di penetrazione intensivi automatizzati e manuali, processi di controllo della qualità, revisioni della sicurezza del software e audit esterni. Ci affidiamo anche alla più ampia comunità di esperti della sicurezza, il cui aiuto è estremamente utile per identificare eventuali vulnerabilità in Google Workspace, Google Cloud Platform e altri prodotti Google. Il nostro Vulnerability Reward Program incoraggia i ricercatori a segnalare i problemi di progettazione e implementazione che potrebbero mettere a rischio i dati dei clienti.
Sicurezza del prodotto: Google Workspace
I clienti di Google Workspace possono avvalersi di funzionalità e configurazioni dei prodotti per proteggere ulteriormente i dati personali da trattamenti illeciti o non autorizzati:
- I servizi principali di Google Workspace, tra cui Gmail, la Console di amministrazione Google, Calendar, Drive, Documenti, Keep, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search e Google Gruppi, offrono impostazioni configurabili per garantire che la protezione, l'utilizzo e l'accesso ai dati della tua organizzazione avvengano in base alle tue esigenze specifiche.
- La verifica in due passaggi riduce il rischio di accessi non autorizzati, poiché richiede agli utenti di fornire un'ulteriore prova della loro identità al momento dell'accesso. L'applicazione dei token di sicurezza offre un ulteriore livello di sicurezza per gli account utente richiedendo l'utilizzo di un token fisico. Il programma di protezione avanzata è la nostra protezione più efficace per gli utenti a rischio di attacchi mirati online.
- Il monitoraggio degli accessi sospetti rileva gli accessi sospetti attraverso solide funzionalità di machine learning.
- La sicurezza avanzata delle email impone la firma e la crittografia delle email mediante le estensioni Secure/Multipurpose Internet Mail (S/MIME).
- Crittografia: i dati dei clienti di Google Workspace sono criptati quando sono su disco, archiviati su supporti di backup, trasferiti attraverso Internet o spostati da un data center all'altro.
- La prevenzione della perdita di dati protegge le informazioni sensibili in Gmail e Drive dalla condivisione non autorizzata.
- La protezione da phishing e malware avanzata protegge da allegati e script sospetti provenienti da mittenti non attendibili, nonché da immagini e link dannosi.
- La gestione dei diritti sulle informazioni in Drive consente di disabilitare il download, la stampa e la copia dei file dal menu di condivisione avanzata, nonché di impostare date di scadenza per l'accesso ai file.
- La gestione degli endpoint offre un monitoraggio continuo del sistema e genera avvisi in caso di attività sospette dei dispositivi.
- Il Centro avvisi è un luogo in cui visualizzare notifiche, avvisi e azioni importanti per tutti i servizi di Google Workspace. Le informazioni su questi potenziali avvisi possono essere utili agli amministratori per valutare l'esposizione della loro organizzazione a problemi di sicurezza.
- Nel Centro sicurezza sono disponibili dati e analisi sulla sicurezza, suggerimenti basati sulle best practice e funzionalità di correzione integrate che ti permettono di proteggere i dati, i dispositivi e gli utenti della tua organizzazione. Fornisce visibilità sulla condivisione di file esterna e su spam e malware indirizzati agli utenti della tua organizzazione, oltre a fornirti rimedi integrati tramite lo strumento di indagine.
- L'accesso sensibile al contesto permette di applicare controlli di accesso granulari alle app di Google Workspace basati sull'identità dell'utente e sul contesto della richiesta di accesso.
- Google Vault ti consente di conservare, archiviare, eseguire ricerche ed esportare le email, i contenuti dei file di Google Drive e le chat salvate nel registro della tua organizzazione per esigenze di eDiscovery e conformità.
- Il controllo dell'accesso delle app regola l'accesso ai servizi di Google Workspace tramite OAuth 2.0. Le organizzazioni possono stabilire quali app di terze parti e interne possono accedere ai dati di Google Workspace e trovare informazioni dettagliate sulle app di terze parti già in uso.
- Le aree geografiche dati ti consentono di archiviare i dati coperti in una posizione geografica specifica utilizzando un criterio dell'area geografica dati.
- La funzionalità Access Transparency consente di esaminare i log delle azioni effettuate dal personale Google quando accede ai contenuti degli utenti.
Per ulteriori informazioni, visita https://workspace.google.com/security.
Sicurezza del prodotto: GCP
I clienti di GCP possono avvalersi di funzionalità e configurazioni dei prodotti per proteggere ulteriormente i dati personali da trattamenti illeciti o non autorizzati:
- La crittografia in transito tra aree geografiche viene applicata per impostazione predefinita a GCP per criptare le richieste prima della trasmissione e per proteggere i dati non elaborati mediante il protocollo TLS (Transport Layer Security). Una volta che i dati vengono trasferiti in GCP per l'archiviazione, GCP applica la crittografia dei dati inattivi per impostazione predefinita.
- La verifica in due passaggi riduce il rischio di accessi non autorizzati, poiché richiede agli utenti di fornire un'ulteriore prova della loro identità al momento dell'accesso. L'applicazione dei token di sicurezza offre un ulteriore livello di sicurezza per gli account utente richiedendo l'utilizzo di un token fisico.
- Cloud Identity and Access Management (Cloud IAM) consente di creare e gestire autorizzazioni specifiche di accesso e modifica per le risorse di Google Cloud Platform.
- L'API Data Loss Prevention consente di identificare e monitorare il trattamento di categorie particolari di dati personali per implementare controlli adeguati.
- Cloud Logging e Cloud Monitoring integrano sistemi di logging, monitoraggio, generazione di avvisi e rilevamento di anomalie in Google Cloud Platform.
- Cloud Identity-Aware Proxy (Cloud IAP) controlla l'accesso alle applicazioni cloud in esecuzione su Google Cloud Platform.
- Cloud Security Scanner effettua la scansione e il rilevamento delle vulnerabilità comuni nelle applicazioni di Google App Engine.
- I Controlli di servizio VPC offrono protezione perimetrale per i servizi che archiviano dati molto sensibili per consentire la segmentazione dei dati a livello di servizio.
- Cloud KMS e HSM consentono la gestione delle chiavi di crittografia e delle operazioni crittografiche dall'interno di un cluster di moduli di sicurezza hardware (HSM) certificati FIPS 140-2 livello 3. KMS consente ai clienti di utilizzare le chiavi di crittografia gestite da Google o gestite dal cliente come richiesto per soddisfare i requisiti di conformità.
- Cloud Security Command Center consente ai clienti di visualizzare e monitorare un inventario dei loro asset cloud, effettuare la scansione dei sistemi di archiviazione per individuare dati sensibili, rilevare le vulnerabilità web comuni e controllare i diritti di accesso alle risorse critiche, il tutto da un'unica dashboard centralizzata.
- La funzionalità Access Approval richiede che gli amministratori Google richiedano esplicitamente l'approvazione del cliente prima di poter accedere ai dati. Prevede l'invio al cliente di un'email e/o di un messaggio Cloud Pub/Sub con una richiesta di accesso che il cliente può approvare. Utilizzando le informazioni presenti nel messaggio, i clienti possono utilizzare la console di GCP o l'API Access Approval per approvare l'accesso.
Per ulteriori informazioni, visita https://cloud.google.com/security/
1Solo per Google Cloud Platform.
La funzionalità dei servizi Google Workspace o Google Cloud Platform (consulta la documentazione di Google Cloud Platform per ulteriori informazioni) consente agli amministratori di esportare i dati dei clienti in qualsiasi momento nel periodo di validità del contratto. Abbiamo già da anni incluso gli impegni di esportazione dei dati nei nostri termini per il trattamento dei dati e continueremo a impegnarci per migliorare le nostre funzionalità di esportazione dei dati, semplificando ulteriormente per te il download di una copia dei tuoi dati del cliente dai servizi Google Workspace e Google Cloud Platform.
La funzionalità dei servizi Google Workspace o Google Cloud Platform consente inoltre di eliminare i dati del cliente in qualsiasi momento. Quando Google riceve un'istruzione di eliminazione definitiva (come nel caso di un'email eliminata che non può più essere recuperata dal Cestino), eliminerà i dati pertinenti del cliente da tutti i suoi sistemi entro 180 giorni, a meno che non siano applicabili specifici obblighi di conservazione.
Diritti dell'interessato
I titolari del trattamento dei dati possono utilizzare la funzionalità dei servizi e delle console di amministrazione di Google Workspace e Google Cloud Platform per facilitare l'accesso ai dati nonché rettificare, limitare il trattamento o eliminare i dati che loro stessi o gli utenti inseriscono nei nostri sistemi. Questa funzionalità consentirà loro di adempiere agli obblighi di risposta alle richieste degli interessati di esercitare i propri diritti ai sensi del GDPR.
Team di protezione dei dati
Google ha designato un RPD per Google LLC e le sue consociate, per coprire il trattamento dei dati soggetti al GDPR, compresi i prodotti aziendali di Google Ireland Limited. Emil Ochotta è il responsabile della protezione dei dati di Google. Ochotta risiede a Sunnyvale negli Stati Uniti.
Ove richiesto, i prodotti aziendali di Google hanno team designati per rispondere alle richieste dei clienti in relazione alla protezione dei dati. Il modo per contattare questi team è descritto nel contratto pertinente. Per Google Workspace, gli amministratori del cliente possono contattare il team dedicato alla protezione dei dati cloud all'indirizzo https://support.google.com/a/contact/googlecloud_dpr (quando è stato eseguito l'accesso al proprio account amministratore) e/o rivolgendosi direttamente a Google come descritto nel contratto vigente. Per Google Cloud Platform, il team può essere contattato dalla pagina https://support.google.com/cloud/contact/dpo.
Notifiche degli incidenti
Google Workspace e Google Cloud Platform prevedono da molti anni impegni contrattuali in materia di notifica degli incidenti. Continueremo a informare tempestivamente i nostri clienti di eventuali incidenti che dovessero coinvolgere i loro dati, secondo quanto delineato nei termini dei contratti stipulati con Google.
Il regolamento GDPR prevede vari meccanismi per facilitare il trasferimento dei dati personali al di fuori dell'UE. Questi meccanismi sono mirati a fornire un livello adeguato di protezione o ad assicurare l'implementazione di misure di salvaguardia appropriate al momento del trasferimento dei dati personali in un paese terzo.
L'adeguato livello di protezione può essere confermato da decisioni di adeguatezza come quelle che supportano la legge giapponese sulla protezione dei dati personali (APPI, Act on the Protection of Personal Information) e la legge federale svizzera sulla protezione dei dati (LPD).
Nel caso in cui i dati personali vengano trasferiti fuori dall'UE in paesi terzi non coperti da decisioni di adeguatezza, ci impegniamo a fronte dei nostri contratti per il trattamento dei dati a mantenere un meccanismo che faciliti questi trasferimenti secondo quanto stabilito dal GDPR. Nel 2017, le autorità europee competenti per la protezione dei dati personali hanno confermato la conformità delle nostre clausole contrattuali tipo, dichiarando che i nostri impegni contrattuali per Google Workspace e Google Cloud Platform rispettano i requisiti previsti per inquadrare giuridicamente il trasferimento dei dati personali dall'UE a paesi terzi che non forniscono protezione adeguata.
I nostri clienti e le autorità di regolamentazione si aspettano che conduciamo verifiche indipendenti dei controlli di sicurezza, privacy e conformità. A tale scopo, Google Workspace e Google Cloud Platform sono sottoposti regolarmente a numerosi audit di terze parti indipendenti.
ISO/IEC 27001 (Gestione della sicurezza delle informazioni)
ISO/IEC 27001 è uno degli standard di sicurezza indipendenti più ampiamente riconosciuti e accettati a livello internazionale. Google ha ottenuto la certificazione ISO/IEC 27001 per i sistemi, le applicazioni, le persone, le tecnologie, i processi e i data center che formano la nostra infrastruttura comune condivisa, oltre che per i prodotti Google Workspace e Google Cloud Platform. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.
ISO/IEC 27017 (Sicurezza nel cloud)
ISO/IEC 27017 è uno standard internazionale che definisce le prassi per i controlli della sicurezza delle informazioni basato su ISO/IEC 27002 e specifico per i servizi cloud. Google ha ottenuto la certificazione di conformità ISO/IEC 27017 per Google Workspace e Google Cloud Platform. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.
ISO/IEC 27018 (Privacy nel cloud)
ISO/IEC 27018 è uno standard internazionale che definisce le prassi per la protezione delle informazioni che consentono l'identificazione personale (PII) degli utenti nei servizi cloud pubblici. Google ha ottenuto la certificazione di conformità ISO/IEC 27018 per Google Workspace e Google Cloud Platform. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.
ISO/IEC 27701 (Gestione delle informazioni sulla privacy)
ISO/IEC 27701 è il primo standard globale sulla privacy incentrato sulla raccolta e sul trattamento delle informazioni che consentono l'identificazione personale (PII). Questo standard estende i requisiti degli standard ISO/IEC 27001 e ISO/IEC 27002 per includere la privacy dei dati. Abbiamo ricevuto la certificazione ISO/IEC 27701 accreditata come responsabili del trattamento delle informazioni che consentono l'identificazione personale sia per Google Workspace che per Google Cloud Platform. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.
SSAE18/ISAE 3402 (SOC 2/3)
Il framework di audit SOC 2 (Service Organization Controls) e SOC 3 dell'American Institute of Certified Public Accountants (AICPA) definisce i criteri e i principi di fiducia relativi a sicurezza, disponibilità, integrità del trattamento e riservatezza. Google ha conseguito entrambi i rapporti SOC 2 e SOC 3 per Google Workspace e Google Cloud Platform. Puoi accedere a questi certificati tramite Gestione dei rapporti di conformità.
Cosa puoi fare
Quali sono le tue responsabilità in qualità di cliente?
I clienti che utilizzano Google Workspace1 e Google Cloud Platform operano in genere come titolari del trattamento dei dati per tutti i contenuti personali che forniscono a Google attraverso l'utilizzo dei servizi Google Cloud. Il titolare del trattamento dei dati determina gli scopi e i mezzi per il trattamento dei dati personali. Poi c'è il responsabile del trattamento dei dati. Solitamente siamo noi. In qualità di responsabile del trattamento dei dati, Google Cloud gestisce i dati personali per conto del titolare del trattamento dei dati, quando quest'ultimo utilizza Google Workspace o Google Cloud Platform.
Quali sono le funzioni del titolare del trattamento dei dati?
I titolari del trattamento dei dati, insieme ai responsabili del trattamento dei dati, devono implementare misure tecniche e organizzative adeguate per garantire che l'elaborazione dei dati venga eseguita in conformità al regolamento GDPR. Gli obblighi dei titolari del trattamento dei dati riguardano vari aspetti quali legittimità, correttezza, trasparenza, limitazione delle finalità, riduzione al minimo dei dati, accuratezza e rispetto dei diritti degli interessati in relazione ai propri dati.
Puoi trovare informazioni utili riguardo alle tue responsabilità ai sensi del regolamento GDPR controllando regolarmente i siti web dell'autorità nazionale o capofila competente per la protezione dei dati e le pubblicazioni di associazioni che si occupano della privacy dei dati, come l'International Association of Privacy Professionals (IAPP). Garantiremo inoltre che questa pagina relativa al regolamento GDPR e il nostro Centro risorse GDPR includano sempre le ultime notizie e nuovi aggiornamenti.
Questo sito ha lo scopo di aiutare i nostri clienti a comprendere meglio la posizione di Google Cloud nei confronti del regolamento GDPR. Ti consigliamo di consultare un legale per ottenere indicazioni sui requisiti specifici applicabili alla tua organizzazione, in quanto questo sito non costituisce una consulenza legale.
Da dove iniziare
Se ad esempio sei un cliente Google Cloud residente nello Spazio economico europeo o nel Regno Unito, o sei responsabile del trattamento dei dati relativi a interessati residenti nello Spazio economico europeo o nel Regno Unito, il regolamento GDPR dovrebbe far parte della tua strategia di conformità per la protezione dei dati. Prendi in considerazione questi suggerimenti:
- Familiarizza con le disposizioni del regolamento GDPR.
- Crea un inventario aggiornato dei dati personali che gestisci. Puoi utilizzare alcuni dei nostri strumenti per facilitare l'identificazione e la classificazione dei dati.
- Rivedi i controlli, criteri e processi attuali per la gestione e la protezione dei dati in modo da verificarne la conformità ai requisiti del GDPR. Trova le lacune e crea un piano per affrontarle.
- Cerca di capire in che modo puoi sfruttare le funzionalità esistenti di Google Cloud per la protezione dei dati nell'ambito del processo di adeguamento al quadro normativo. Esamina i materiali di certificazione e audit di Google Workspace o Google Cloud Platform da parte di terzi per iniziare.
- Rivedi e accetta (se necessario) i nostri termini aggiornati per il trattamento dei dati attraverso il processo di attivazione descritto qui per l'Emendamento sul trattamento dei dati di Google Workspace e qui per i Termini per il trattamento e la sicurezza dei dati di GCP.

Domande frequenti
- Cos'è il regolamento GDPR?
- Il Regolamento generale sulla protezione dei dati (GDPR) è una nuova legge sulla privacy che, in data 25 maggio 2018, ha sostituito la Direttiva 95/46/CE in materia di protezione dei dati del 24 ottobre 1995.
- Il regolamento GDPR prevede l'archiviazione dei dati personali nell'UE?
- No. Analogamente alla Direttiva 95/46/CE in materia di protezione dei dati, il regolamento GDPR prevede determinate condizioni per il trasferimento dei dati personali al di fuori dell'UE. Tali condizioni possono essere rispettate attraverso meccanismi specifici come le clausole contrattuali tipo.
- In che modo i vostri termini riflettono i requisiti del regolamento GDPR?
- Per molti anni, Google Cloud ha offerto Termini per il trattamento dei dati che esprimono chiaramente il nostro impegno nei confronti della privacy e della sicurezza dei clienti, che abbiamo evoluto in modo tale da riflettere il GDPR. I nostri termini aggiornati al GDPR riflettono in particolare le disposizioni dell'articolo 28 del GDPR, che disciplinano il ricorso a un responsabile del trattamento dei dati da parte di un titolare del trattamento dei dati.
- Il regolamento GDPR dà diritto ai clienti di svolgere attività di audit su Google Cloud?
- Secondo il regolamento GDPR, i diritti di audit devono essere concessi ai titolari del trattamento dei dati nei contratti sottoscritti con i responsabili del trattamento dei dati. I nostri contratti aggiornati per il trattamento dei dati comprendono i diritti di audit a favore dei nostri clienti soggetti al GDPR.
- Qual è il ruolo delle certificazioni ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 e dei rapporti SOC 2/3 di terze parti per quel che riguarda la conformità al regolamento GDPR?
- I clienti possono utilizzare le nostre certificazioni ISO/IEC e i nostri rapporti di audit SOC 2/3 di terze parti per valutare meglio i rischi e determinare se vengono implementate misure tecniche e organizzative adeguate. La nostra certificazione ISO/IEC 27701 offre maggiore chiarezza su ruoli e responsabilità correlati alla privacy, il che può facilitare gli sforzi per conformarsi alle normative in materia di privacy, incluso il regolamento GDPR.
- Ora che Privacy Shield (scudo per la privacy) non è più valido, posso ancora utilizzare Google Cloud e soddisfare i requisiti del regolamento GDPR se tratto dati personali dell'Unione europea?
- Google continuerà a esaminare l'impatto del caso C-311/18 della Corte di giustizia dell'Unione europea, ma resta invariato il suo impegno ad adottare le misure appropriate per garantire un elevato livello di protezione della privacy per i cittadini dell'Unione europea.
- Google Cloud offre ai clienti clausole contrattuali tipo, che verranno automaticamente considerate applicabili in assenza di soluzioni di trasferimento alternative messe a disposizione da Google.
- Indipendentemente dalla posizione dei dati, la protezione dei dati resta una priorità per Google. Siamo certificati in base a standard internazionali riconosciuti come ISO/IEC 27001, ISO/IEC 27018 e ISO/IEC 27017. L'elenco completo delle offerte di conformità di Google è disponibile nel Centro risorse per la conformità.
- Quali altre informazioni e risorse ha fornito Google sul regolamento GDPR?
- Visita il sito web Aziende e dati di Google e il nostro Centro risorse GDPR