Linee guida per il cloud del Garante UE

Il Regolamento sulla protezione dei dati personali, in inglese General Data Protection Regulation, ed in acronimo GDPR, è quella normativa europea che stabilisce le regole per la gestione dei dati personali degli individui all’interno dell’Unione Europea (UE). Il GDPR è entrato in vigore il 25 maggio 2018 e si applica a tutte le aziende che gestiscono i dati personali degli individui all’interno dell’UE, indipendentemente dalla loro sede.

Cosa tutela il Regolamento sulla protezione dei dati personali 

Il GDPR ha l’obiettivo di tutelare la privacy ei diritti degli individui e di garantire che i loro dati personali vengano gestiti in modo sicuro e responsabile. Il regolamento definisce i diritti degli individui in materia di protezione dei dati personali, tra cui il diritto di accesso, il diritto alla rettifica, il diritto alla cancellazione, il diritto alla portabilità dei dati e il diritto di opposizione. Il GDPR, nelle proprie funzioni di tutela della privacy e dei diritti dei soggetti che navigano in rete, richiede anche alle aziende di implementare misure di sicurezza adeguate al fine di proteggere i dati personali e di notificare tempestivamente le violazioni dei dati. Viene stabilito che le aziende che non rispettano il GDPR possono essere soggette a sanzioni severe, tra cui multe fino a 20 milioni di euro o al 4% del fatturato totale dell’azienda, a seconda di quale importo sia maggiore.

Il cloud in rapporto alla privacy 

Il cloud non è altro che un sistema che offre vastissime opportunità per archiviare, gestire e condividere i dati, ma può anche presentare rischi per la privacy. Quando i dati vengono archiviati o gestiti in un ambiente cloud, essi possono essere accessibili a molte persone, tra cui il provider di servizi cloud e altre terze parti. Per proteggere la privacy dei dati archiviati in un ambiente cloud, è importante considerare le politiche di sicurezza e privacy del provider di servizi cloud. Ad esempio, le aziende dovrebbero verificare se il provider di servizi cloud utilizza crittografie per proteggere i dati e se ha in atto misure per prevenire la perdita o il furto dei dati. Ancora, le aziende dovrebbero valutare la localizzazione dei dati archiviati in cloud e le leggi applicabili. Ad esempio, se i dati vengono archiviati in un paese con leggi sulle privacy più deboli, c’è un maggior rischio per la privacy dei dati. È bene ricordare che i dati che vengono archiviati in cloud possono essere accessibili a molte persone, tra cui il provider di servizi cloud e le autorità governative. Per questo motivo, le aziende dovrebbero valutare attentamente quali dati archiviare in cloud e limitare al minimo i dati sensibili.

Le Linee guida del Garante privacy europeo, l’EDPB

Il Comitato europeo per la protezione dei dati (EDPB) è un organismo europeo indipendente istituito dal Regolamento generale sulla protezione dei dati (GDPR) per garantire l’applicazione e l’interpretazione coerenti della normativa dell’UE sulla protezione dei dati. Le sue responsabilità comprendono la consulenza alla Commissione europea in materia di protezione dei dati e l’emissione di linee guida e migliori pratiche per gli Stati membri dell’UE. Invero, l’Edpb sottolinea che vi è una forte necessità per gli enti pubblici di operare nel pieno rispetto del Regolamento sulla protezione dei dati personali, come detto chiamato anche GDPR. È stato, per questa ragione, approvato il report della task force cookie banner tale per cui il consenso deve essere sempre espresso da un’azione positiva dell’utente Il Garante privacy europeo, poi, ha anche ribadito quali debbano essere le condizioni ed i requisiti dei servizi cloud, che come visto possono indurre in diversi pregiudizi per il soggetto che li utilizza, soprattutto in rapporto alle Pubbliche amministrazioni. L’Edpb ha così rimarcato quella necessità, ormai impellente, per tutti gli enti pubblici di operare in piena ottemperanza al Regolamento sulla protezione dei dati personali, includendo nel report le raccomandazioni per le Pa che usano prodotti e servizi basati sul cloud.

Ancora, si rende note come abbia partecipato alla riunione plenaria dell’Edpb anche il commissario per la giustizia Didier Reynders presentando il progetto per adeguare “l’Ue-Usa Data privacy framework al board”.