GDPR 2018: AWS aderisce al Codice di Condotta CISPE
Come ormai tutti sanno, il 25 maggio entrerà in vigore il GDPR, il più grande cambiamento nella legislazione sulla protezione dei dati in Europa dall’introduzione nel 1995 della direttiva sulla protezione dei dati nell’Unione europea. La nuova legge mira a rafforzare la sicurezza e la protezione dei dati personali nell’UE, sostituendo la direttiva e tutte le leggi locali relativo ad esso.
È ormai importante per le aziende prepararsi, prendendo provvedimenti adeguati a garantire la conformità alla nuova normativa. Per aiutare i clienti a soddisfare le proprie esigenze di conformità, i servizi AWS sono già conformi al GDPR. Ciò significa che, oltre a beneficiare di tutte le misure già adottate da AWS per mantenere la sicurezza dei servizi, i clienti possono implementare i servizi AWS come parte fondamentale dei propri piani di conformità GDPR.
Perché il GDPR?
Il GDPR nasce con lo scopo di armonizzare le leggi relative alla protezione dei dati personali in tutta l’Unione Europea grazie all’applicazione di un’unica legge vincolante in ogni stato membro, che garantirà quindi l’elaborazione, l’utilizzo e lo scambio dei dati in modo sicuro. Prima, però, è fondamentale che le aziende abbiano chiaro che per “dati personali” si intende qualsiasi informazione relativa a una persona identificata o identificabile.
A chi si applica il GDPR?
A tutte le organizzazioni con sede nell’UE e alle organizzazioni (con sede o no nell’UE) che elaborano dati di persone interessate dell’Unione Europea, in relazione all’offerta di merci e servizi o al monitoraggio del comportamento nell’UE.
Cosa cambierà per le aziende dell’Unione Europea?
Le organizzazioni dovranno dimostrare su base continuativa la sicurezza dei dati da esse elaborati, nonché la loro conformità al GDPR. Se necessario, dovranno quindi implementare e riesaminare regolarmente le loro misure tecniche e organizzative.
Cosa si può fare per prepararsi al GDPR in modo appropriato?
Le aziende che adottano abitualmente norme rigorose di conformità, sicurezza e privacy dei dati non riscontreranno particolari problematiche del processo di adeguamento al GDPR. Per chi invece affronta tali argomenti per la prima volta, è bene non rimandare ulteriormente l’analisi dei processi di sicurezza, conformità e protezione dei dati, così da riuscire a portare a termine la transizione senza problemi durante il mese di maggio.
In particolare, esistono alcuni punti chiave da prendere in considerazione:
- Copertura del territorio. Prima di tutto, è necessario accertarsi di rientrare nella casistica coinvolta dalla nuova regolamentazione.
- Diritti sui dati da parte degli interessati. Grazie al GDPR, le persone avranno maggiori diritti sui propri dati (potranno, per esempio, opporsi alla loro elaborazione e avranno il diritto alla portabilità). Bisognerà quindi essere certi di potersi conformare a tali rinnovati diritti.
- Notifiche di violazione dei dati. Chi è parte di un’entità di controllo dei dati avrà l’obbligo di denunciare immediatamente le violazioni della sicurezza dei dati alle autorità competenti. L’adozione di strumenti come quelli di AWS consente di monitorare le violazioni di privacy nel proprio ambiente e di notificare i regolatori e le persone interessate come previsto dal GDPR.
- Responsabile della sicurezza dei dati (Data Protection Officer o DPO). Potrebbe essere necessario designare un DPO per gestire la sicurezza dei dati e altre problematiche relative al trattamento dei dati personali.
- Valutazione impatto protezione dati (Data Protection Impact Assessment o DPIA). Potrebbe rendersi obbligatorio presentare alle autorità di controllo una valutazione sulle attività di trattamento dei dati, che elenchi le procedure e i processi di gestione dei dati e i controlli in funzione per proteggere i dati personali.
- Contratto sul trattamento dei dati (Data Processing Agreement o DPA). Soprattutto nel caso in cui i dati personali vengano trasferiti all’esterno dello Spazio economico europeo, potrebbe essere necessario disporre di un DPA che soddisfi i requisiti del GDPR.
Amazon Web Services
I servizi AWS, che includono servizi per i controlli degli accessi, il monitoraggio, la registrazione di log e la crittografia, sono 100% compliant con la nuova regolamentazione e possiedono certificazioni riconosciute a livello internazionale tra cui ISO 27001, ISO 27018, ISO 9001, SOC 1, SOC 2, SOC 3, PCI DSS Livello 1 e molti altri, che garantiscono la conformità e danno ai clienti la massima serenità nella scelta del cloud.
Non solo: AWS ha anche aderito al Codice di Condotta CISPE (Cloud Infrastructure Services Providers in Europe), nato proprio per garantire che i clienti ottengano tutto il necessario dai loro fornitori IaaS per conformarsi al nuovo regolamento EU General Data Protection Regulation.
Tra i vantaggi offerti dal Codice di Condotta, c’è soprattutto quello di offrire chiarezza, spiegando il ruolo dei provider e quello dei clienti secondo il GDPR: se da un lato fornisce ai clienti informazioni relative alla protezione e alla sicurezza dei dati di cui hanno bisogno per prendere decisioni relative alla conformità, dall’altro richiede ai fornitori di essere trasparenti sulle misure di sicurezza intraprese.
“La conformità dei nostri servizi al GDPR è solo una parte della storia: la priorità per AWS è infatti quella di lavorare fianco a fianco con i clienti e con la rete di partner del nostro AWS Partner Network (APN) per garantire che la transizione avvenga nel modo più fluido possibile”, spiega Danilo Poccia, Technical Evangelist di AWS. “La nuova regolamentazione alza l’asticella in ambito protezione dei dati e sicurezza: imponendo alle aziende di rispettare controlli più stringenti, contribuirà infatti a elevare i livelli di sicurezza di tutti.”
Per andare incontro alle esigenze di chi si deve conformare ai requisiti del GDPR, AWS ha messo a punto un Data Processing Agreement (DPA) e una pagina dedicata in cui approfondire le tematiche relative alla protezione dei dati nell’Unione Europea. L’AWS GDPR Center verrà aggiornato costantemente.