A pochi giorni dall’entrata in vigore del GDPR, AWScondivide alcune considerazioni importanti per prendere i giusti provvedimenti e garantire la compliance. Per aiutare i clienti a soddisfare le proprie esigenze di conformità, i servizi AWS sono già conformi al GDPR. Ciò significa che, oltre a beneficiare di tutte le misure già adottate da AWS per mantenere la sicurezza dei servizi, i clienti possono implementare i servizi AWS come parte fondamentale dei propri piani di conformità GDPR
Il GDPR nasce con lo scopo di armonizzare le leggi relative alla protezione dei dati personali in tutta l’Unione Europea grazie all’applicazione di un’unica legge vincolante in ogni stato membro, che garantirà quindi l’elaborazione, l’utilizzo e lo scambio dei dati in modo sicuro. Prima, però, è fondamentale che le aziende abbiano chiaro che per “dati personali” si intende qualsiasi informazione relativa a una persona identificata o identificabile.
A chi si applica il GDPR? A tutte le organizzazioni con sede nell’UE e alle organizzazioni (con sede o no nell’UE) che elaborano dati di persone interessate dell’Unione Europea, in relazione all’offerta di merci e servizi o al monitoraggio del comportamento nell’UE.
Cosa cambierà per le aziende dell’Unione Europea? Le organizzazioni dovranno dimostrare su base continuativa la sicurezza dei dati da esse elaborati, nonché la loro conformità al GDPR. Se necessario, dovranno quindi implementare e riesaminare regolarmente le loro misure tecniche e organizzative.
Cosa si può fare per prepararsi al GDPR in modo appropriato? Le aziende che adottano abitualmente norme rigorose di conformità, sicurezza e privacy dei dati non riscontreranno particolari problematiche del processo di adeguamento al GDPR. Per chi invece affronta tali argomenti per la prima volta, è bene non rimandare ulteriormente l’analisi dei processi di sicurezza, conformità e protezione dei dati, così da riuscire a portare a termine la transizione senza problemi durante il mese di maggio.
In particolare, esistono alcuni punti chiave da prendere in considerazione:
– Copertura del territorio. Prima di tutto, è necessario accertarsi di rientrare nella casistica coinvolta dalla nuova regolamentazione. – Diritti sui dati da parte degli interessati. Grazie al GDPR, le persone avranno maggiori diritti sui propri dati (potranno, per esempio, opporsi alla loro elaborazione e avranno il diritto alla portabilità). Bisognerà quindi essere certi di potersi conformare a tali rinnovati diritti. – Notifiche di violazione dei dati. Chi è parte di un’entità di controllo dei dati avrà l’obbligo di denunciare immediatamente le violazioni della sicurezza dei dati alle autorità competenti. L’adozione di strumenti come quelli di AWS consente di monitorare le violazioni di privacy nel proprio ambiente e di notificare i regolatori e le persone interessate come previsto dal GDPR. – Responsabile della sicurezza dei dati (Data Protection Officer o DPO). Potrebbe essere necessario designare un DPO per gestire la sicurezza dei dati e altre problematiche relative al trattamento dei dati personali. – Valutazione impatto protezione dati (Data Protection Impact Assessment o DPIA). Potrebbe rendersi obbligatorio presentare alle autorità di controllo una valutazione sulle attività di trattamento dei dati, che elenchi le procedure e i processi di gestione dei dati e i controlli in funzione per proteggere i dati personali. – Contratto sul trattamento dei dati (Data Processing Agreement o DPA). Soprattutto nel caso in cui i dati personali vengano trasferiti all’esterno dello Spazio economico europeo, potrebbe essere necessario disporre di un DPA che soddisfi i requisiti del GDPR.
I servizi AWS, che includono servizi per i controlli degli accessi, il monitoraggio, la registrazione di log e la crittografia sono 100% compliant con la nuova regolamentazione e possiedono certificazioni riconosciute a livello internazionale tra cui ISO 27001, ISO 27018, ISO 9001, SOC 1, SOC 2, SOC 3, PCI DSS Livello 1 e molti altri, che garantiscono la conformità e danno ai clienti la massima serenità nella scelta del cloud.
Non solo: AWS ha anche aderito al Codice di Condotta CISPE (Cloud Infrastructure Services Providers in Europe), nato proprio per garantire che i clienti ottengano tutto il necessario dai loro fornitori IaaS per conformarsi al nuovo regolamento EU General Data Protection Regulation. Tra i vantaggi offerti da Codice di Condotta, c’è soprattutto quello di offrire chiarezza, spiegando il ruolo dei provider e quello dei clienti secondo il GDPR: se da un lato fornisce ai clienti informazioni relative alla protezione e alla sicurezza dei dati di cui hanno bisogno per prendere decisioni relative alla conformità, dall’altro richiede ai fornitori di essere trasparenti sulle misure di sicurezza intraprese.
