Google Cloud e il Regolamento generale sulla protezione dei dati (GDPR)
Il Regolamento generale sulla protezione dei dati (GDPR) è una nuova legge sulla privacy che, in data 25 maggio 2018, ha sostituito la Direttiva 95/46/CE in materia di protezione dei dati del 24 ottobre 1995. Il GDPR stabilisce requisiti specifici per le attività e le organizzazioni con sede in Europa o che forniscono servizi agli utenti in Europa. Il GDPR:
- Regola il modo in cui le aziende possono raccogliere, utilizzare e archiviare i dati personali
- Si basa sulla documentazione attuale e sui requisiti di reporting per aumentare la responsabilizzazione
- Autorizza sanzioni per le imprese che non soddisfano i suoi requisiti
In Google Cloud sosteniamo le iniziative che danno priorità e apportano miglioramenti alle politiche di sicurezza e privacy dei dati personali e vogliamo che tu, in qualità di cliente di Google Cloud, possa utilizzare i nostri servizi in tutta tranquillità alla luce dei requisiti del GDPR. Se collabori con Google Cloud, supporteremo il tuo impegno per la conformità al GDPR:
- Impegnandoci nei nostri contratti a rispettare il GDPR in relazione al trattamento da parte nostra dei dati personali dei clienti in tutti i servizi Google Cloud e Google Workspace
- Offrendo funzionalità di sicurezza aggiuntive che possano aiutarti a proteggere meglio i dati personali più sensibili
- Fornendoti la documentazione e le risorse per assisterti nella valutazione della privacy dei nostri servizi
- Continuando a evolvere le nostre competenze di pari passo con il cambiamento del panorama normativo
Rispetto del regolamento GDPR in Google Workspace e Google Cloud
I titolari del trattamento dei dati devono utilizzare i responsabili del trattamento dei dati con misure tecniche e organizzative appropriate. Quando esegui la valutazione del GDPR di Google Cloud, considera quanto segue:
CONOSCENZE DEGLI ESPERTI, AFFIDABILITÀ E RISORSE
Competenze nella protezione dei dati
I professionisti di cui si avvale Google nel campo della sicurezza e della privacy comprendono alcuni dei massimi esperti mondiali in materia di sicurezza delle informazioni, delle applicazioni e delle reti. Questo team di esperti si occupa di gestire i sistemi di difesa dell'azienda, di sviluppare processi di controllo della sicurezza, di realizzare un'infrastruttura di sicurezza più solida e di implementare con precisione i criteri di sicurezza di Google.
Google si avvale inoltre di un ampio team di avvocati, esperti di conformità normativa e specialisti di norme pubbliche che si occupano per conto di Google Cloud della conformità alle norme sulla privacy e sulla sicurezza.
Questi team lavorano con clienti, parti interessate del settore e autorità di controllo per assicurare che i nostri servizi Google Workspace e Google Cloud possano aiutare i clienti a far fronte ai propri requisiti di conformità.
IMPEGNI SULLA PROTEZIONE DEI DATI
Contratti sul trattamento dei dati
I contratti sul trattamento dei dati per Google Workspace e Google Cloud descrivono chiaramente il nostro impegno per la privacy dei clienti. Nel corso degli anni abbiamo sviluppato questi termini in base ai feedback ricevuti dai nostri clienti e dagli enti normativi.
Abbiamo aggiornato questi termini appositamente per rispettare il GDPR e per facilitare ai nostri clienti la valutazione della conformità e della preparazione al regolamento GDPR durante l'uso dei servizi Google Cloud. Scopri di più sull'emendamento sul trattamento dei dati di Google Workspace, sulle clausole contrattuali tipo dell'UE per Google Workspace, sui termini per l'elaborazione e la sicurezza dei dati di Google Cloud e sulle clausole contrattuali tipo (SCC) dell'UE per Google Cloud.
I nostri clienti possono sottoscrivere questi termini aggiornati per il trattamento dei dati attraverso il processo di attivazione descritto per l'Emendamento sul trattamento dei dati di Google Workspace e per i Termini per il trattamento e la sicurezza dei dati di Google Cloud.
Trattamento nel rispetto delle istruzioni
Tutti i dati che un cliente e i suoi utenti inseriscono nei nostri sistemi saranno trattati nel rispetto delle istruzioni del cliente, come descritto nei nostri contratti sul trattamento dei dati aggiornati in conformità al GDPR.
Impegni alla riservatezza del personale
Tutti i dipendenti di Google sono tenuti a firmare un accordo di riservatezza e a completare la formazione obbligatoria sulla riservatezza e sulla privacy, nonché la formazione relativa al nostro codice di condotta. Il codice di condotta di Google identifica in modo specifico le responsabilità e il comportamento previsto in relazione alla protezione delle informazioni.
RICORSO A SUBPROCESSORI
Le società del gruppo Google conducono direttamente la maggior parte delle attività di trattamento dei dati richieste per fornire i servizi Google Workspace e Google Cloud. Tuttavia, ci rivolgiamo anche ad alcuni fornitori di terze parti che ci aiutano a supportare questi servizi. Ogni fornitore deve superare una rigorosa procedura di selezione per dimostrare di possedere le competenze tecniche necessarie e di poter garantire un livello di sicurezza e privacy adeguato.
Mettiamo a disposizione le informazioni relative ai sub-responsabili del gruppo Google che supportano i servizi Google Workspace e Google Cloud nonché ai sub-responsabili di terze parti coinvolti in questi servizi. Leggi qui per i dettagli del sub-responsabile di Google Workspace e qui per i dettagli del sub-responsabile di Google Cloud. Includiamo inoltre l'impegno relativo ai sub-responsabili nei nostri contratti sul trattamento dei dati.
SICUREZZA DEI SERVIZI
Secondo il regolamento GDPR, devono essere implementate misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio.
Google gestisce un'infrastruttura globale progettata per fornire una sicurezza all'avanguardia durante tutto il ciclo di vita di trattamento delle informazioni. Questa infrastruttura è pensata per fornire deployment sicuro dei servizi, archiviazione sicura dei dati con misure di salvaguardia della privacy degli utenti finali, comunicazioni sicure tra i servizi, comunicazioni sicure e private con i clienti in Internet e gestione sicura da parte degli amministratori. Google Workspace e Google Cloud vengono eseguiti su questa infrastruttura.
Abbiamo progettato la sicurezza della nostra infrastruttura su più livelli che poggiano l'uno sopra l'altro, dalla sicurezza fisica dei data center ai sistemi di protezione di hardware e software, fino alle procedure adoperate a sostegno della sicurezza operativa. Questa protezione su più livelli crea solide fondamenta di sicurezza per tutte le nostre operazioni. Una discussione dettagliata sulla sicurezza della nostra infrastruttura è disponibile nel nostro white paper Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.
Disponibilità, integrità e resilienza
Google progetta i componenti della sua piattaforma per garantire un'elevata ridondanza. I data center di Google sono distribuiti geograficamente in modo da ridurre al minimo l'impatto di eventuali problemi a livello locale, ad esempio calamità naturali e interruzioni del servizio, sui prodotti globali. In caso di guasti all'hardware, al software o alla rete, i servizi vengono spostati automaticamente e immediatamente da una struttura all'altra, in modo che le operazioni possano continuare senza interruzioni. La nostra infrastruttura a elevata ridondanza aiuta i clienti a proteggersi dalla perdita di dati.
Test e sicurezza delle apparecchiature
Google utilizza codici a barre ed etichette asset per monitorare lo stato e la posizione delle apparecchiature dei data center dall'acquisizione all'installazione, al ritiro e alla distruzione. Se un componente non supera un test delle prestazioni in qualsiasi momento durante il suo ciclo di vita viene rimosso dall'inventario e ritirato. I dischi rigidi di Google utilizzano tecnologie come la crittografia dell'intero disco (FDE, Full Disk Encryption) e il blocco delle unità per proteggere i dati inattivi.
Test per il ripristino di emergenza
Google esegue annualmente una serie di test relativi al ripristino di emergenza per offrire ai team dell'infrastruttura e delle applicazioni un ambiente coordinato che consenta loro di testare piani di comunicazione, scenari di failover, transizioni operative e altre misure di risposta alle emergenze. Tutti i team che partecipano all'esercizio sul ripristino di emergenza sviluppano piani di test e post mortem che documentano i risultati e le lezioni apprese dai test.
Crittografia
Google utilizza la crittografia per proteggere i dati in transito e inattivi. I dati di Google Workspace in transito tra aree geografiche sono protetti mediante il protocollo HTTPS, attivato per impostazione predefinita per tutti gli utenti. I servizi di Google Workspace e Google Cloud utilizzano uno o più meccanismi di crittografia per criptare i contenuti inattivi dei clienti, senza che sia richiesta alcuna azione da parte dei clienti. Una discussione dettagliata su come criptiamo i dati è disponibile nelle seguenti risorse: White paper sulla crittografia di Workspace e crittografia dei dati in transito e at-rest di Google Cloud.
Controlli di accesso
Per i dipendenti di Google, i livelli e i diritti di accesso sono basati sulla qualifica e sul ruolo professionale e, per abbinare i privilegi di accesso alle responsabilità definite, si fa ricorso ai principi di privilegio minimo e necessità di sapere (need-to-know). Le richieste di autorizzazioni supplementari di accesso devono seguire una procedura formale che prevede una richiesta e un'approvazione da parte del proprietario o del gestore dei dati o del sistema oppure di altri dirigenti, secondo quanto previsto dalle norme di sicurezza di Google. I data center che ospitano i sistemi e i componenti dell'infrastruttura di Google Cloud sono soggetti a restrizioni per l'accesso fisico e dotati di personale di sicurezza in loco 24 ore su 24, 7 giorni su 7, guardie di sicurezza, badge di accesso, meccanismi di identificazione biometrica, barriere fisiche e videocamere per monitorare l'interno e l'esterno della struttura.
Gestione degli incidenti
Google ha un team dedicato alla sicurezza incaricato di occuparsi della sicurezza e della privacy dei dati dei clienti e di gestire la sicurezza 24 ore su 24, 7 giorni su 7, in tutto il mondo. I membri di questo team ricevono le notifiche relative agli incidenti e si occupano di aiutare a risolvere le emergenze 24 ore su 24, 7 giorni su 7. Sono attivi criteri di risposta agli incidenti ed è disponibile documentazione sulle procedure per risolvere gli incidenti critici. Le informazioni derivanti da questi eventi vengono utilizzate per prevenire incidenti futuri e possono essere utilizzate come esempi per i training sulla sicurezza delle informazioni. I processi di gestione degli incidenti e i flussi di lavoro di risposta di Google sono documentati. I processi di gestione degli incidenti di Google sono sottoposti a test regolarmente, nell'ambito dei nostri programmi ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27001, PCI-DSS,1 SOC 2 e FedRAMP per fornire ai clienti e agli enti regolatori verifiche indipendenti dei nostri controlli di sicurezza, privacy e conformità. Altre informazioni sul nostro processo di risposta agli incidenti sono disponibili nel nostro white paper sul processo di risposta agli incidenti relativi ai dati.
Gestione delle vulnerabilità
Analizziamo le vulnerabilità del software utilizzando una combinazione di strumenti disponibili in commercio e strumenti interni appositamente progettati, test di penetrazione intensivi automatizzati e manuali, processi di controllo della qualità, revisioni della sicurezza del software e audit esterni. Ci affidiamo anche alla più ampia comunità di esperti della sicurezza, il cui aiuto è estremamente utile per identificare eventuali vulnerabilità in Google Workspace, Google Cloud e altri prodotti Google. Il nostro Vulnerability Reward Program incoraggia i ricercatori a segnalare i problemi di progettazione e implementazione che potrebbero mettere a rischio i dati dei clienti.
Sicurezza del prodotto: Google Workspace
I clienti di Google Workspace possono avvalersi di funzionalità e configurazioni dei prodotti per proteggere ulteriormente i dati personali da trattamenti illeciti o non autorizzati:
I servizi principali di Google Workspace, tra cui Gmail, la Console di amministrazione Google, Calendar, Drive, Documenti, Keep, Sites, Jamboard, Hangouts, Chat, Meet, Cloud Search e Google Gruppi, offrono impostazioni configurabili per garantire che la protezione, l'utilizzo e l'accesso ai dati della tua organizzazione avvengano in base alle tue esigenze specifiche. La verifica in due passaggi riduce il rischio di accessi non autorizzati, poiché richiede agli utenti di fornire un'ulteriore prova della loro identità al momento dell'accesso. L'applicazione dei token di sicurezza offre un ulteriore livello di sicurezza per gli account utente richiedendo l'utilizzo di un token fisico. Il programma di protezione avanzata è la nostra protezione più efficace per gli utenti a rischio di attacchi mirati online. Il monitoraggio degli accessi sospetti rileva gli accessi sospetti attraverso solide funzionalità di machine learning. La sicurezza avanzata delle email impone la firma e la crittografia delle email mediante le estensioni Secure/Multipurpose Internet Mail (S/MIME). Crittografia: i dati dei clienti di Google Workspace sono criptati quando sono su disco, archiviati su supporti di backup, trasferiti attraverso Internet o spostati da un data center all'altro. La prevenzione della perdita di dati protegge le informazioni sensibili in Gmail e Drive dalla condivisione non autorizzata. La protezione da phishing e malware avanzata protegge da allegati e script sospetti provenienti da mittenti non attendibili, nonché da immagini e link dannosi. La gestione dei diritti sulle informazioni in Drive consente di disabilitare il download, la stampa e la copia dei file dal menu di condivisione avanzata, nonché di impostare date di scadenza per l'accesso ai file. La gestione degli endpoint offre un monitoraggio continuo del sistema e genera avvisi in caso di attività sospette dei dispositivi. Il Centro avvisi è un luogo in cui visualizzare notifiche, avvisi e azioni importanti per tutti i servizi di Google Workspace. Gli insight su questi potenziali avvisi possono essere utili agli amministratori per valutare l'esposizione della loro organizzazione a problemi di sicurezza. Nel Centro sicurezza sono disponibili dati e analisi sulla sicurezza, suggerimenti basati sulle best practice e funzionalità di correzione integrate che ti permettono di proteggere i dati, i dispositivi e gli utenti della tua organizzazione. Fornisce visibilità sulla condivisione di file esterna e su spam e malware indirizzati agli utenti della tua organizzazione, oltre a fornirti rimedi integrati tramite lo strumento di indagine. L'accesso sensibile al contesto permette di applicare controlli di accesso granulari alle app di Google Workspace basati sull'identità dell'utente e sul contesto della richiesta di accesso. Google Vault ti consente di conservare, archiviare, eseguire ricerche ed esportare le email, i contenuti dei file di Google Drive e le chat salvate nel registro della tua organizzazione per esigenze di eDiscovery e conformità. La funzionalità Controllo accesso app regola l'accesso ai servizi Google Workspace tramite OAuth 2.0. Le organizzazioni possono stabilire quali app di terze parti e interne possono accedere ai dati di Google Workspace e trovare informazioni dettagliate sulle app di terze parti già in uso. Le regioni di dati ti consentono di archiviare i dati coperti in una posizione geografica specifica utilizzando un criterio dell'area geografica dati. La funzionalità Access Transparency consente di esaminare i log delle azioni effettuate dal personale Google quando accede ai contenuti degli utenti.
Per saperne di più, visita https://workspace.google.com/security
Sicurezza del prodotto: Google Cloud
I clienti Google Cloud possono avvalersi di funzionalità e configurazioni dei prodotti per proteggere ulteriormente i dati personali da trattamenti illeciti o non autorizzati:
La crittografia in transito tra aree geografiche viene applicata per impostazione predefinita a Google Cloud per criptare le richieste prima della trasmissione e per proteggere i dati non elaborati mediante il protocollo TLS (Transport Layer Security). Una volta che i dati vengono trasferiti in Google Cloud per l'archiviazione, Google Cloud applica la crittografia at-rest per impostazione predefinita. La verifica in due passaggi riduce il rischio di accessi non autorizzati, poiché richiede agli utenti di fornire un'ulteriore prova della loro identità al momento dell'accesso. L'applicazione dei token di sicurezza offre un ulteriore livello di sicurezza per gli account utente richiedendo una chiave fisica. Cloud Identity and Access Management (Cloud IAM) consente di creare e gestire autorizzazioni specifiche di accesso e modifica per le risorse Google Cloud. L'API Data Loss Prevention consente di identificare e monitorare il trattamento di categorie particolari di dati personali per implementare controlli adeguati. Cloud Logging e Cloud Monitoring integrano sistemi di logging, monitoraggio, generazione di avvisi e rilevamento di anomalie in Google Cloud. Cloud Identity-Aware Proxy (Cloud IAP) controlla l'accesso alle applicazioni cloud in esecuzione su Google Cloud Platform. Cloud Security Scanner effettua la scansione e il rilevamento delle vulnerabilità comuni nelle applicazioni di Google App Engine. I Controlli di servizio VPC offrono protezione perimetrale per i servizi che archiviano dati molto sensibili per consentire la segmentazione dei dati a livello di servizio. Cloud KMS eHSM consentono la gestione delle chiavi di crittografia e delle operazioni crittografiche dall'interno di un cluster di moduli di sicurezza hardware (HSM) certificati FIPS 140-2 livello 3. KMS consente ai clienti di utilizzare le chiavi di crittografia gestite da Google o gestite dal cliente come richiesto per soddisfare i requisiti di conformità. Cloud Security Command Center consente ai clienti di visualizzare e monitorare un inventario dei loro asset cloud, effettuare la scansione dei sistemi di archiviazione per individuare dati sensibili, rilevare le vulnerabilità web comuni e controllare i diritti di accesso alle risorse critiche, il tutto da un'unica dashboard centralizzata. La funzionalità Access Approval richiede che gli amministratori Google richiedano esplicitamente l'approvazione del cliente prima di poter accedere ai dati. Prevede l'invio al cliente di un'email e/o di un messaggio Cloud Pub/Sub con una richiesta di accesso che il cliente può approvare. Utilizzando le informazioni presenti nel messaggio, i clienti possono utilizzare la console Google Cloud o l'API Access Approval per approvare l'accesso.
Per saperne di più, visita https://cloud.google.com/security/
1 Solo per Google Cloud.
CONSERVAZIONE ED ELIMINAZIONE DEI DATI
La funzionalità dei servizi Google Workspace o Google Cloud (consulta la documentazione di Google Cloud per ulteriori informazioni) consente agli amministratori di esportare i dati dei clienti in qualsiasi momento nel periodo di validità del contratto. Abbiamo già da anni incluso gli impegni di esportazione dei dati nei nostri termini per il trattamento dei dati e continueremo a impegnarci per migliorare le nostre funzionalità di esportazione dei dati, semplificando ulteriormente per te il download di una copia dei tuoi dati del cliente dai servizi Google Workspace e Google Cloud.
La funzionalità dei servizi Google Workspace o Google Cloud consente inoltre di eliminare i dati del cliente in qualsiasi momento. Quando Google riceve un'istruzione di eliminazione definitiva (come nel caso di un'email eliminata che non può più essere recuperata dal Cestino), eliminerà i dati pertinenti del cliente da tutti i suoi sistemi entro 180 giorni, a meno che non siano applicabili specifici obblighi di conservazione.
ASSISTENZA AL TITOLARE DEL TRATTAMENTO DEI DATI
Diritti dell'interessato
I titolari del trattamento dei dati possono utilizzare la funzionalità dei servizi e delle console di amministrazione di Google Workspace and Google Cloud per facilitare l'accesso ai dati nonché rettificare, limitare il trattamento o eliminare i dati che loro stessi o gli utenti inseriscono nei nostri sistemi. Questa funzionalità consentirà loro di adempiere agli obblighi di risposta alle richieste degli interessati di esercitare i propri diritti ai sensi del GDPR.
Team di protezione dei dati
Google ha designato un RPD per Google LLC e le sue consociate, per coprire il trattamento dei dati soggetti al GDPR, anche come parte dei nostri prodotti e servizi Cloud. Kristie Chon Flynn è il responsabile della protezione dei dati di Google. Kristie Chon Flynn risiede a Sunnyvale negli Stati Uniti.
Ove richiesto, i prodotti Google Cloud hanno team designati per rispondere alle richieste dei clienti in relazione alla protezione dei dati. Il modo per contattare questi team è descritto nel contratto pertinente. Per Google Workspace, gli amministratori del cliente possono contattare il team dedicato alla protezione dei dati cloud all'indirizzo https://support.google.com/a/contact/googlecloud_dpr (quando è stato eseguito l'accesso al proprio account amministratore) e/o rivolgendosi direttamente a Google come descritto nel contratto vigente. Per Google Cloud, il team può essere contattato all'indirizzo https://support.google.com/cloud/contact/dpo.
Notifiche degli incidenti
Google Workspace e Google Cloud prevedono da molti anni impegni contrattuali in materia di notifica degli incidenti. Continueremo a informare tempestivamente i nostri clienti di eventuali incidenti che dovessero coinvolgere i loro dati, secondo quanto delineato nei termini dei contratti stipulati con Google.
TRASFERIMENTI INTERNAZIONALI DEI DATI
Il regolamento GDPR prevede vari meccanismi per facilitare il trasferimento dei dati personali al di fuori dell'UE. Questi meccanismi sono mirati a fornire un livello adeguato di protezione o ad assicurare l'implementazione di misure di salvaguardia appropriate al momento del trasferimento dei dati personali in un paese terzo.
L'adeguato livello di protezione può essere confermato da decisioni di adeguatezza come quelle che supportano la legge giapponese sulla protezione dei dati personali (APPI, Act on the Protection of Personal Information) e la legge federale svizzera sulla protezione dei dati (LPD).
Nel caso in cui i dati personali vengano trasferiti fuori dall'UE in paesi terzi non coperti da decisioni di adeguatezza, ci impegniamo a fronte dei nostri contratti per il trattamento dei dati a mantenere un meccanismo che faciliti questi trasferimenti secondo quanto stabilito dal GDPR. Nel 2017, le autorità europee competenti per la protezione dei dati personali hanno confermato la conformità delle nostre clausole contrattuali tipo, dichiarando che i nostri impegni contrattuali per Google Workspace e Google Cloud rispettano i requisiti previsti per inquadrare giuridicamente il trasferimento dei dati personali dall'UE a paesi terzi che non forniscono protezione adeguata.
STANDARD E CERTIFICAZIONI
I nostri clienti e le autorità di regolamentazione si aspettano verifiche indipendenti relative ai controlli di sicurezza, privacy e conformità. Per rispondere a queste aspettative, Google Workspace e Google Cloud si sottopongono a diversi controlli periodici indipendenti eseguiti da terze parti.
ISO/IEC 27001 (Gestione della sicurezza delle informazioni)
ISO/IEC 27001 è uno degli standard di sicurezza indipendenti più ampiamente riconosciuti e accettati a livello internazionale. Google ha ottenuto la certificazione ISO/IEC 27001 per i sistemi, le applicazioni, le persone, le tecnologie, i processi e i data center che formano la nostra infrastruttura comune condivisa, oltre che per i prodotti Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei report di conformità.
ISO/IEC 27017 (Sicurezza nel cloud)
ISO/IEC 27017 è uno standard internazionale che definisce le prassi per i controlli della sicurezza delle informazioni, basato su ISO/IEC 27002 e specifico per i servizi cloud. Google ha ottenuto la certificazione di conformità ISO/IEC 27017 per Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei report di conformità.
ISO/IEC 27018 (Privacy nel cloud)
ISO/IEC 27018 è uno standard internazionale che definisce le prassi per la protezione delle informazioni che consentono l'identificazione personale (PII) degli utenti nei servizi cloud pubblici. Google ha ottenuto la certificazione di conformità ISO/IEC 27018 per Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei report di conformità.
ISO/IEC 27701 (Gestione delle informazioni sulla privacy)
ISO/IEC 27701 è il primo standard globale sulla privacy incentrato sulla raccolta e sul trattamento delle informazioni che consentono l'identificazione personale (PII). Questo standard estende i requisiti degli standard ISO/IEC 27001 e ISO/IEC 27002 per includere la privacy dei dati. Abbiamo ricevuto la certificazione ISO/IEC 27701 accreditata come responsabili del trattamento delle informazioni che consentono l'identificazione personale sia per Google Workspace che per Google Cloud. Puoi accedere a questi certificati tramite Gestione dei report di conformità.
SSAE18/ISAE 3402 (SOC 2/3)
Il framework di audit SOC 2 (Service Organization Controls) e SOC 3 dell'American Institute of Certified Public Accountants (AICPA) definisce i criteri e i principi di fiducia relativi a sicurezza, disponibilità, integrità del trattamento e riservatezza. Google ha conseguito entrambi i rapporti SOC 2 e SOC 3 per Google Workspace e Google Cloud. Puoi accedere a questi certificati tramite Gestione dei report di conformità.
Valutazione di Google Cloud ai sensi dell'Articolo 28
L'Articolo 28 del regolamento GDPR stabilisce i requisiti di un responsabile del trattamento dei dati che elabora i dati per conto del titolare del trattamento dei dati. Scopri come i nostri termini rispecchiano tali requisiti.
Ricorso a sub-responsabili
Google Cloud - Termini per il trattamento e la sicurezza dei dati (DPST)
Definizioni | Sezione 2.1
Sicurezza dei dati | Sezione 7.1.2
Sicurezza dei dati | Sezione 7.3.1 (b)
Trasferimenti di dati | Sezione 10.1
Sub-responsabili | Sezione 11
Beneficiari terzi | Sezione 14
Google Cloud - Clausole contrattuali tipo (SCC) dell'UE
SCC (da titolare a responsabile nell'Unione Europea) | Allegato II, Allegato III
SCC (da responsabile a titolare nell'Unione Europea) | N/D
SCC (da responsabile a responsabile nell'Unione Europea) | Allegato II, Allegato III
SCC (da responsabile a responsabile nell'Unione Europea, esportatore Google) | Allegato II, Allegato III
SCC (da titolare a responsabile nel Regno Unito) | Clausola 1, Clausola 3.3, Clausola 4 (g) e (i), Clausola 5 (i) e (j), Clausola 6, Clausola 8, Clausola 11, Clausola 12, Appendice 1, Appendice 2.5
Contenuti correlati: Sub-responsabili per Google Cloud
GOOGLE WORKSPACE - Termini per il trattamento dei dati
Definizioni | Sezione 2.1
Sicurezza dei dati | Sezione 7.1.2
Sicurezza dei dati | Sezione 7.3.1 (b)
Trasferimenti di dati | Sezione 10.1
Sub-responsabili | Sezione 11
Beneficiari terzi | Sezione 14
Misure di sicurezza | Appendice 2.1–2.5
GOOGLE WORKSPACE - Clausole contrattuali tipo (SCC) dell'UE
SCC (da titolare a responsabile nell'Unione Europea) | Allegato II, Allegato III
SCC (da responsabile a titolare nell'Unione Europea) | N/D
SCC (da responsabile a responsabile nell'Unione Europea) | Allegato II, Allegato III
SCC (da responsabile a responsabile nell'Unione Europea, esportatore Google) | Allegato II, Allegato III
SCC (da titolare a responsabile nel Regno Unito) | Clausola 1, Clausola 3.3, Clausola 4 (g) e (i), Clausola 5 (i) e (j), Clausola 6, Clausola 8, Clausola 11, Clausola 12, Appendice 1, Appendice 2.5
Contenuti correlati: Contratto con i subprocessori per Google Workspace
Contratto generale in forma scritta
Google Cloud - Termini per il trattamento e la sicurezza dei dati (DPST)
Versione completa dei termini per il trattamento e la sicurezza dei dati
GOOGLE WORKSPACE - Termini per il trattamento dei dati
Versione completa dei termini per il trattamento dei dati
Trattamento ai sensi delle istruzioni documentate
Google Cloud - Termini per il trattamento e la sicurezza dei dati (DPST)
Trattamento dei dati | Sezione 5.2
Google Cloud - Clausole contrattuali tipo (SCC) dell'UE
GOOGLE WORKSPACE - Termini per il trattamento dei dati
Sezione 5.2 | Trattamento dei dati
GOOGLE WORKSPACE - Clausole contrattuali tipo (SCC) dell'UE
Clausola 5 (a) e (b) | Obblighi dell'importatore di dati
Trattamento nel rispetto degli obblighi di riservatezza
Google Cloud - Termini di servizio di Google Cloud
Informazioni riservate | Sezione 7
Google Cloud - Termini per il trattamento e la sicurezza dei dati (DPST)
Sicurezza dei dati | Sezione 7.1.2
Sicurezza dei dati | Sezione 7.5.3
Sicurezza del personale | Appendice 2.4
Google Cloud - Clausole contrattuali tipo (SCC) dell'UE
Obblighi dell'importatore di dati | Clausola 5
GOOGLE WORKSPACE - Contratto Google Workspace
Informazioni riservate | Sezione 6
GOOGLE WORKSPACE - Termini per il trattamento dei dati
Sicurezza dei dati | Sezione 7.1.2
Sicurezza dei dati | Sezione 7.5.3
Sicurezza del personale | Appendice 2.4
GOOGLE WORKSPACE - Clausole contrattuali tipo (SCC) dell'UE
Misure di sicurezza
Google Cloud - Termini per il trattamento e la sicurezza dei dati (DPST)
Sicurezza dei dati | Sezione 7
Misure di sicurezza | Appendice 2
Google Cloud - Clausole contrattuali tipo (SCC) dell'UE
GOOGLE WORKSPACE - Termini per il trattamento dei dati
Sicurezza dei dati | Sezione 7
Misure di sicurezza | Appendice 2
GOOGLE WORKSPACE - Clausole contrattuali tipo (SCC) dell'UE
Contenuti correlati: White paper su sicurezza e conformità di Google Cloud
Assistenza al titolare del trattamento dati
Eliminazione e restituzione dei dati
Google Cloud - Termini per il trattamento e la sicurezza dei dati (DPST)
Eliminazione dei dati | Sezione 6
Diritti dell'interessato; esportazione dei dati | Sezione 9.1
Google Cloud - Clausole contrattuali tipo (SCC) dell'UE
GOOGLE WORKSPACE - Termini per il trattamento dei dati
Eliminazione dei dati | Sezione 6
Diritti dell'interessato; esportazione dei dati | Sezione 9.1
GOOGLE WORKSPACE - Clausole contrattuali tipo (SCC) dell'UE
Dimostrazione della conformità
Google Cloud - Termini per il trattamento e la sicurezza dei dati (DPST)
Sicurezza dei dati | Sezione 7.4
Contenuti correlati: Conformità di Google Cloud
GOOGLE WORKSPACE - Termini per il trattamento dei dati
Sicurezza dei dati | Sezione 7.4
Contenuti correlati: Conformità di Google Cloud
White paper pertinenti
Leggi i nostri white paper pertinenti per i clienti Google Cloud soggetti al GDPR
Domande frequenti
Risposte alle domande frequenti su Google Cloud e sul GDPR
Il regolamento GDPR prevede l'archiviazione dei dati personali nell'UE?
No. Analogamente alla Direttiva 95/46/CE in materia di protezione dei dati, il regolamento GDPR prevede determinate condizioni per il trasferimento dei dati personali al di fuori dell'UE. Tali condizioni possono essere rispettate attraverso meccanismi specifici come le clausole contrattuali tipo.
In che modo i vostri termini riflettono i requisiti del regolamento GDPR?
Per molti anni, Google Cloud ha offerto Termini per il trattamento dei dati che esprimono chiaramente il nostro impegno nei confronti della privacy e della sicurezza dei clienti, che abbiamo evoluto in modo tale da riflettere il GDPR. I nostri termini aggiornati al GDPR riflettono in particolare le disposizioni dell'articolo 28 del GDPR, che disciplinano il ricorso a un responsabile del trattamento dei dati da parte di un titolare del trattamento dei dati.
Il regolamento GDPR dà diritto ai clienti di svolgere attività di audit su Google Cloud?
Secondo il regolamento GDPR, i diritti di audit devono essere concessi ai titolari del trattamento dei dati nei contratti sottoscritti con i responsabili del trattamento dei dati. I nostri contratti aggiornati per il trattamento dei dati comprendono i diritti di audit a favore dei nostri clienti soggetti al GDPR.
Qual è il ruolo delle certificazioni ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701 e dei rapporti SOC 2/3 di terze parti per quel che riguarda la conformità al regolamento GDPR?
I clienti possono utilizzare le nostre certificazioni ISO/IEC e i nostri rapporti di controllo SOC 2/3 di terze parti per valutare meglio i rischi e determinare se vengono implementate misure tecniche e organizzative adeguate. La nostra certificazione ISO/IEC 27701 offre maggiore chiarezza su ruoli e responsabilità correlati alla privacy, il che può facilitare gli sforzi per conformarsi alle normative in materia di privacy, incluso il regolamento GDPR.
In che modo Google Cloud supporta i trasferimenti internazionali di dati nel cloud?
Il regolamento GDPR prevede vari meccanismi per facilitare il trasferimento dei dati personali al di fuori dell'UE. Questi meccanismi sono mirati a fornire un livello adeguato di protezione o ad assicurare l'implementazione di misure di salvaguardia appropriate al momento del trasferimento dei dati personali in un paese terzo.
L'adeguato livello di protezione può essere confermato da decisioni di adeguatezza come quelle che supportano la legge giapponese sulla protezione dei dati personali (APPI, Act on the Protection of Personal Information) e la legge federale svizzera sulla protezione dei dati (LPD).
Nel caso in cui i dati personali vengano trasferiti fuori dall'UE in paesi terzi non coperti da decisioni di adeguatezza, ci impegniamo a fronte dei nostri contratti per il trattamento dei dati a mantenere un meccanismo che faciliti questi trasferimenti secondo quanto stabilito dal GDPR. Nel 2017, le autorità europee competenti per la protezione dei dati personali hanno confermato la conformità delle nostre clausole contrattuali tipo, dichiarando che i nostri impegni contrattuali per Google Workspace e Google Cloud rispettano i requisiti previsti per inquadrare giuridicamente il trasferimento dei dati personali dall'UE a paesi terzi che non forniscono protezione adeguata.
Ora che Privacy Shield (scudo per la privacy) non è più valido, posso ancora utilizzare Google Cloud e soddisfare i requisiti del regolamento GDPR se tratto dati personali dell'Unione europea?
Google continuerà a esaminare l'impatto del caso C-311/18 della Corte di giustizia dell'Unione europea, ma resta invariato il suo impegno ad adottare le misure appropriate per garantire un elevato livello di protezione della privacy per i cittadini dell'Unione europea.
Google Cloud offre ai clienti clausole contrattuali tipo, che verranno automaticamente considerate applicabili in assenza di soluzioni di trasferimento alternative messe a disposizione da Google. Indipendentemente dalla posizione dei dati, la protezione dei dati resta una priorità per Google. Per ulteriori informazioni, consulta il white paper Salvaguardie per i trasferimenti internazionali di dati con Google Cloud.
Siamo certificati in base a standard internazionali riconosciuti come ISO/IEC 27001, ISO/IEC 27018 e ISO/IEC 27017. L'elenco completo delle offerte di conformità di Google è disponibile nel Centro risorse per la conformità.
Quali altre informazioni e risorse ha fornito Google sul regolamento GDPR?
Consulta il Centro risorse per la privacy e il sito web per aziende e dati di Google.
Dove posso trovare altre risorse europee relative alla privacy?
Consulta le nostre offerte relative alla conformità per l'Europa e il Centro risorse per la privacy di Google Cloud.
Disclaimer: i contenuti del presente documento sono aggiornati ad agosto 2021 e rappresentano lo status quo del momento in cui sono stati redatti. Criteri e sistemi di sicurezza di Google potranno variare in futuro, di pari passo con il nostro impegno al costante miglioramento della protezione dei clienti. Quando facciamo riferimento a Google Workspace, ci riferiamo anche a Google Workspace for Education. Nei prossimi mesi porteremo Google Workspace ai nostri clienti nei settori dell'istruzione e delle organizzazioni non profit.
Fai un passo avanti
Inizia a creare su Google Cloud con 300 $ di crediti gratuiti e oltre 20 prodotti Always Free.
Fai un passo avanti
Inizia il tuo prossimo progetto, esplora tutorial interattivi e gestisci il tuo account.
-
Hai bisogno di aiuto per iniziare?Contatta il team di vendita
-
Collabora con un partner di fiduciaTrova un partner
-
Continua la navigazioneVisualizza tutti i prodotti
-
Hai bisogno di aiuto per iniziare?Contatta il team di vendita
-
Collabora con un partner di fiduciaTrova un partner
-
Scopri suggerimenti e best practiceVedi i tutorial