Obiettivo: supportare i clienti nel raggiungimento dei propri obiettivi di conformità

Google Cloud offre controlli tecnici avanzati, contratti e trasparenza continua per supportare i propri clienti nel soddisfare i rigorosi requisiti di protezione dei dati e per sostenere le loro valutazioni di rischio ed esigenze di conformità. Il 21 giugno 2021 lo European Data Protection Board (EDPB) ha pubblicato le raccomandazioni finali circa le misure supplementari da adottare a seguito della sentenza della Corte di Giustizia dell’Unione Europea che ha invalidato l’EU-US Privacy Shield e confermato la validità delle EU Standard Contractual Clauses (SCC). La direttiva dell’EDPB è importante per aiutare le organizzazioni ad affrontare i trasferimenti internazionali di dati. Molte delle raccomandazioni del Board sono in linea con le practice consolidate di Google Cloud.

Alla luce di quanto sopra, Google Cloud riconferma il proprio impegno verso la GDPR compliance e nel supportare i clienti nel raggiungimento dei propri obiettivi di conformità, rispetto dei requisiti normativi e delle raccomandazioni EDPB attraverso svariati asset.

Le informazioni complete sono disponibili all’interno di un blogpost a firma di Marc Crandall, Director and Global Head of Privacy, Google Cloud e Nathaly Rey, Head of EMEA Data Governance, Google Cloud. Di seguito un riassunto:

  • Una piattaforma Cloud Customer-Controlled. I clienti Google Cloud sono proprietari dei propri dati ed è essenziale che abbiano i più ampi livelli di controllo e visibilità su quelli archiviati nel cloud. Con le funzionalità offerte, i clienti Google Cloud Platform possono di archiviare i dati nella Region europea, con la sicurezza che questi non vengano spostati al di fuori dell’Europa e impedendo l’accesso a utenti e amministratori al di fuori del contesto europeo. Possono inoltre esercitare il controllo su chi accede ai loro dati gestendo le proprie chiavi di crittografia, assicurandosi che le chiavi stesse siano conservate in una Region europea, e archiviandole al di fuori dell’infrastruttura Google Cloud. (I clienti possono anche richiedere giustificazione dettagliata e approvazione ogni volta che una chiave viene richiesta per decifrare i dati utilizzando External Key Manager, e negare a Google la capacità di decifrare i loro dati per qualsiasi motivo utilizzando Key Access Justifications). Google Cloud è stato il primo ed è attualmente l’unico cloud provider a offrire la possibilità ai clienti di archiviare e gestire le chiavi di crittografia per i dati residenti nel cloud al di fuori dell’infrastruttura del provider, con un controllo programmatico sulla decrittografia in base a giustificazioni specifiche, tra cui rientrano anche le richieste di accesso da parte dei governi.
  • Nuove clausole contrattuali standard (SCC). Google Cloud intende implementare le nuove SCC per aiutare a proteggere i dati dei propri clienti, soddisfando i requisiti in termini di legislazione europea sulla privacy.
  • Trasparenza nel supporto di valutazioni risk-based. Le raccomandazioni dell’EDPB introducono un approccio basato sul rischio secondo il quale gli esportatori di dati dovrebbero valutare il livello di rischio in funzione dei diritti fondamentali che un determinato trasferimento comporterebbe in concreto. Il Transparency Report rivela il numero di richieste provenienti da forze dell’ordine o enti governativi in merito a informazioni sui clienti Enterprise Cloud. Google Cloud è fortemente impegnata nel supportare i propri clienti a condurre un’efficace valutazione, illustrando in modo chiaro e dettagliato i propri processi, per rispondere alle richieste governative circa i dati dei clienti nelle rare occasioni che si presentano.
  • Maggiori responsabilità e supporto ai clienti. Google Cloud ha annunciato la propria adesione al Codice di Condotta GDPR dell’UE, che l’azienda ritiene rappresenti una base solida per la creazione di uno strumento internazionale di data transfer per servizi cloud e continuerà a sostenere gli sforzi del settore in tal senso. I codici di condotta sono strumenti di collaborazione efficaci tra i player del settore e le autorità di protezione dei dati, attraverso cui practice industriali all’avanguardia possono essere adattate per soddisfare i rigorosi requisiti in materia di protezione dei dati.
  • Advocacy Policy. Google Cloud continuerà a sostenere i princìpi che crede debbano guidare le richieste di accesso ai dati aziendali da parte delle autorità governative, ovunque nel mondo. L’impegno dei governi a livello bilaterale e multilaterale è fondamentale per modernizzare le leggi e stabilire regole per la produzione di evidenze elettroniche nel rispetto di normative internazionali e risolvere potenziali conflitti legislativi. Google sostiene da tempo questi sforzi, incluso l’impegno per trovare un “successore” allo US-E.U. Privacy Shield, per ripristinare la certezza giuridica circa i flussi di dati personali trans-atlantici e sviluppare, a livello della Organisation for Economic Co-operation and Development (OECD), prìncipi globali comuni sull’accesso dei governi ai dati.