Protezione e sicurezza dei dati con i fornitori di cloud

Sicurezza dei dati con i fornitori di cloud
Categorie:

Protezione e sicurezza dei dati con i fornitori di cloud

Cloud e protezione dei dati dopo "Schrems II": vanno ancora d'accordo? Sì, se si rispettano determinate regole, è ancora possibile. Questo post del blog illustra brevemente cosa bisogna considerare esattamente quando si tratta di fornitori di cloud per la protezione dei dati.

 

"Schrems II" e le nuove clausole contrattuali standard

 

Nella "sentenza Schrems II", la Corte di giustizia europea ha stabilito che il GDPR si applica anche nei casi in cui le autorità o i servizi di intelligence di un Paese possono ottenere l'accesso per motivi di sicurezza nazionale. Questo vale per gli Stati Uniti, paese di origine dei principali fornitori di cloud, ed è diametralmente opposto all'idea di base della protezione dei dati.

Un primo passo per risolvere il problema è quello di stipulare clausole contrattuali standard con l'importatore dei dati. In questo modo, la protezione dei dati, il cloud e il GDPR possono ancora essere riuniti. La Commissione UE ha pubblicato nuove clausole contrattuali standard in una decisione di attuazione del 4 giugno 2021 e ha stabilito che un livello di protezione efficace può essere stabilito attraverso misure aggiuntive come l'anonimizzazione o la crittografia, per cui la chiave dovrebbe essere l'esportatore dei dati.

 

Contenuto delle nuove clausole contrattuali standard

 

Le nuove clausole contrattuali standard combinano clausole generali con un approccio modulare. Il modulo 2 è particolarmente interessante per le aziende che tengono alla protezione e alla sicurezza dei dati nel cloud: dal responsabile del trattamento nell'UE agli incaricati del trattamento in un Paese terzo.

Oltre alle 18 clausole complessive, devono essere rispettati anche gli allegati I-III. Qui, tra l'altro, deve essere fornita una descrizione completa e specifica del trasferimento dei dati, devono essere descritte in modo specifico le misure tecniche e organizzative dell'importatore dei dati e devono essere elencati gli eventuali subelaboratori.
Nel Modulo 2, l'importatore di dati è tenuto a soddisfare i requisiti del GDPR. In linea con il suo ruolo di incaricato del trattamento, viene sottolineato il suo obbligo centrale nei confronti dell'esportatore di dati.

 

Valutazione dell'impatto del trasferimento

 

Una delle principali novità delle nuove clausole contrattuali standard si trova nella clausola 14: "Leggi e consuetudini locali che influiscono sul rispetto delle clausole". È ora previsto l'obbligo di effettuare una "valutazione dell'impatto del trasferimento", ossia una valutazione completa, caso per caso, dell'impatto sulla protezione dei dati. È necessario rispondere alla seguente domanda di controllo: il fornitore di cloud (importatore di dati) può e vuole effettivamente adempiere agli obblighi imposti dal contratto ai sensi del GDPR?

I criteri di valutazione comprendono

  • Le circostanze del trasferimento, i soggetti coinvolti, le categorie di dati personali trasferiti, i canali di trasmissione utilizzati e il luogo di conservazione.
  • Le disposizioni e le prassi giuridiche pertinenti del paese terzo, in particolare le norme che consentono la divulgazione dei dati alle autorità e ai servizi di intelligence o il loro accesso ai dati personali.
  • Secondo il considerando 19, frase 2, della decisione di esecuzione, una norma di un Paese terzo contraria alle clausole contrattuali standard non costituisce di per sé un requisito che impedisce il trasferimento. Questo malus può essere "sanato" dalla crittografia o dall'anonimizzazione.

 

E ora?

Entro il 27 dicembre 2022, tutti i trasferimenti di dati verso un Paese terzo dovranno essere convertiti alle nuove clausole contrattuali standard e alle misure supplementari e aggiuntive, a meno che non si applichi una decisione di adeguatezza o una deroga. 2B Advice è lieta di supportarvi in questa sfida. Vi aiutiamo a conformarvi in modo coerente al GDPR. Vi aiutiamo a garantire la protezione e la sicurezza dei dati in ogni momento, anche nel cloud.

Tag:
Condividi questo post :
it_ITItalian