Centro per il Regolamento generale sulla protezione dei dati (GDPR)
Conformità al GDPR durante l'utilizzo dei servizi AWS
Il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea (UE) tutela il diritto fondamentale alla privacy e alla protezione dei dati personali di ogni individuo. Il GDPR include i rigorosi requisiti che definiscono e armonizzano gli standard in materia di protezione, sicurezza e conformità dei dati. Per ulteriori informazioni, consultare le nostre domande frequenti sul GDPR di seguito.
I clienti AWS possono utilizzare tutti i servizi AWS per elaborare i dati personali (come definiti nel GDPR) caricati nei servizi AWS nei propri account AWS (dati cliente) in conformità con il GDPR. Oltre a garantire la propria conformità, AWS si impegna a offrire servizi e risorse per consentire ai clienti di essere conformi ai requisiti del GDPR applicabili alle loro attività. Nuove funzionalità vengono rilasciate con regolarità: AWS offre oltre 500 funzionalità e servizi incentrati su sicurezza e conformità. Per ulteriori informazioni sulle attività di AWS, leggi il nostro post del blog dedicato a Come AWS aiuta i clienti dell'UE a orientarsi nella nuova normalità della protezione dei dati.
Focus
Controllo del cliente
I clienti hanno il controllo dei dati dei propri clienti. Con AWS, i clienti possono:
- Stabilire dove archiviare i dati del cliente, selezionando anche il tipo di archiviazione e la sua Regione geografica.
- Scegliere il livello di sicurezza dei dati dei loro clienti. Offriamo ai clienti una solida crittografia per i dati dei loro clienti sia in transito che inattivi, consentendo inoltre la possibilità di gestire le proprie chiavi di crittografia personali.
- Gestire l'accesso ai dati dei loro clienti e a servizi e risorse di AWS mediante utenti, gruppi, autorizzazioni e credenziali sotto il controllo dei clienti.
Trasferimenti al di fuori dello Spazio economico europeo (SEE)
I clienti AWS possono continuare a utilizzare i servizi AWS per trasferire i dati dei propri clienti dai Paesi SEE a non SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione Europea (compresi gli Stati Uniti) in conformità con il GDPR. In AWS, la nostra priorità principale è quella di mettere in sicurezza i dati dei clienti: per questa ragione, implementiamo rigorose misure tecniche e organizzative per proteggerne la riservatezza, l'integrità e la disponibilità a prescindere dalla Regione AWS selezionata dal cliente. Sappiamo che la trasparenza è importante per i nostri clienti. I servizi AWS che comportano un trasferimento dei dati dei clienti sono elencati nella nostra pagina Web Funzionalità di privacy.
Con l'evolversi del panorama normativo e legislativo, lavoreremo sempre per garantire che i nostri clienti possano continuare a usufruire dei vantaggi dei servizi AWS ovunque operino. Per ulteriori informazioni, consulta il nostro aggiornamento per i clienti sullo scudo UE-USA per la privacy e i nostri post del blog sull'addendum supplementare all'addendum sull'elaborazione dei dati di AWS e sul codice di condotta CISPE per la protezione dei dati.
Panoramica e nozioni di base sul GDPR
Apri tutto-
Il Regolamento generale sulla protezione dei dati (GDPR) è una legge europea sulla privacy entrata in vigore il 25 maggio 2018. Il GDPR ha sostituito la Direttiva UE sulla protezione dei dati, nota anche come Direttiva 95/46/CE, e il suo scopo è di armonizzare le leggi relative alla protezione dei dati in tutta l'Unione europea (UE) con l'applicazione di un'unica legge vincolante in ogni stato membro.
-
Il GDPR si applica a tutte le organizzazioni con sede nell'UE, nonché alle organizzazioni, sia con sede nell'UE che al di fuori di essa, che elaborano dati personali di soggetti dell'UE in relazione all'offerta di merci o servizi ai soggetti interessati all’interno dell'UE o al monitoraggio del comportamento nell'UE. I dati personali sono tutte le informazioni relative a una persona fisica identificata o identificabile, inclusi nomi, indirizzi e-mail e numeri di telefono.
-
Ai sensi del GDPR, AWS funge sia da responsabile che da titolare del trattamento dei dati.
-
Le SCC rappresentano un meccanismo di trasferimento dei dati pre-approvato ai sensi del GDPR, applicabile in tutti gli Stati membri dell'UE, che permette il trasferimento legale di dati personali ai paesi al di fuori dello Spazio economico europeo che non hanno ricevuto una decisione di adeguatezza dalla Commissione europea (paesi terzi).
-
I Termini di servizio di AWS comprendono le clausole contrattuali standard (SCC) adottate dalla Commissione europea (CE) nel giugno 2021 e il DPA di AWS conferma che le SCC vengono applicate automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire dati dei clienti a paesi al di fuori dello Spazio economico europeo che non hanno ricevuto una decisione di adeguatezza dalla CE (paesi terzi). In quanto parte dei Termini di servizio di AWS, le nuove SCC vengono applicate automaticamente nel momento in cui un cliente utilizza i servizi AWS per trasferire i dati dei clienti a paesi terzi. I pochi clienti che hanno firmato un DPA di AWS possono continuare a fare affidamento su di esso, in quanto le nuove SCC nei Termini di servizio AWS sostituiscono la versione precedente delle SCC. I clienti possono quindi confidare nel fatto che qualsiasi dato del cliente trasferito a paesi terzi utilizzando i servizi AWS gode dello stesso livello elevato di protezione dei dati dei clienti trasferiti all'interno del SEE. Per ulteriori informazioni, consulta il post del blog sull'implementazione delle nuove clausole contrattuali standard.
Conformità AWS e GDPR in base alla sentenza Schrems II e alle raccomandazioni dell'EDPB
Apri tutto-
Il 16 luglio 2020, la Corte di giustizia dell'Unione europea (CGUE) ha emesso una sentenza in merito al trasferimento dei dati personali di persone dell'UE al di fuori del SEE (Schrems II). Con la sentenza Schrems II, la CGUE ha stabilito che lo scudo UE-USA per la privacy non rappresentava più un meccanismo valido per il trasferimento dei dati personali dal SEE agli Stati Uniti. Tuttavia, nella stessa sentenza, la CGUE ha confermato che le società possono (previa attuazione di misure integrative, se necessarie) continuare a utilizzare le clausole contrattuali standard come meccanismo valido per il trasferimento dei dati personali al di fuori del SEE. Il Comitato europeo per la protezione dei dati (EDPB), un organismo europeo composto da rappresentanti delle autorità nazionali per la protezione dei dati, ha fornito da allora un elenco non esaustivo di misure supplementari nelle sue “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire la conformità con il livello UE di protezione dei dati personali” (raccomandazioni EDPB).
-
Sì, i clienti AWS possono continuare a utilizzare i servizi AWS per trasferire i dati dei clienti dall'Europa a paesi al di fuori del SEE che non hanno ricevuto una decisione di adeguatezza dalla Commissione Europea. La decisione Schrems II ha convalidato l'uso delle clausole contrattuali standard (SCC, Standard Contractual Clauses) come meccanismo per il trasferimento dei dati dei clienti al di fuori del SEE e i clienti AWS possono continuare a fare affidamento sulle SCC per qualsiasi trasferimento dei dati dei clienti al di fuori del SEE in conformità con il GDPR.
-
Sì, AWS può utilizzare tre tipi di sub-responsabili: (1) entità AWS che forniscono l'infrastruttura su cui vengono eseguiti i servizi AWS; (2) entità AWS che supportano servizi AWS specifici che possono richiedere l'elaborazione di dati dei clienti da parte di tali entità; (3) terze parti con cui AWS ha concordato di fornire processi di elaborazione per servizi AWS specifici. La pagina web sui sub-responsabili di AWS fornisce ulteriori informazioni sui sub-responsabili che AWS coinvolge in conformità con il DPA di AWS, al fine di fornire attività di elaborazione sui dati dei clienti per loro conto. I sub-responsabili relativi a un singolo cliente dipenderanno dalla Regione AWS selezionata dal cliente e dai particolari servizi AWS utilizzati dal cliente.
-
Il whitepaper AWS Navigazione nella conformità ai requisiti di trasferimento dei dati dell'UE fornisce informazioni sui servizi e le risorse che AWS offre ai clienti per aiutarli a effettuare valutazioni sul trasferimento dei dati alla luce della sentenza Schrems II e alle seguenti raccomandazioni del Comitato europeo per la protezione dei dati. Il whitepaper descrive anche le misure supplementari principali adottate e rese disponibili da AWS per proteggere i dati dei clienti.
-
AWS offre ai clienti informazioni utili, tra cui diversi report di conformità eseguiti da enti di controllo terzi, che hanno verificato lo stato di conformità secondo diversi standard e normative di sicurezza informatica, per documentare gli elevati livelli di conformità mantenuti da AWS per la propria infrastruttura. Questi report mostrano ai nostri clienti che proteggiamo i dati personali che scelgono di elaborare in AWS. A titolo di esempio, possiamo citare la conformità di AWS con le norme ISO 27001, 27017 e 27018. La norma ISO 27018 contiene controlli di sicurezza volti alla protezione dei dati dei clienti.
Sì. Il registro pubblico del Codice di condotta per la protezione dei dati del Cloud Infrastructure Services Providers in Europe (CISPE) include un elenco di servizi AWS aderenti. Il CISPE è una coalizione di leader del cloud computing che servono milioni di clienti europei. Il Codice di condotta CISPE per la protezione dei dati (Codice CISPE) è il primo codice di condotta pan-europeo per la protezione dei dati incentrato sui provider di servizi di infrastruttura cloud. Il Codice CISPE è stato approvato dal Comitato europeo per la protezione dei dati, che agisce per conto di 27 autorità in materia di protezione dei dati in tutta Europa, ed è stato adottato formalmente dall'Autorità francese per la protezione dai dati (CNIL), che opera in qualità di principale autorità di vigilanza. Nel 2017 AWS ha annunciato la sua conformità con una versione precedente del Codice CISPE.
Misure tecniche e organizzative
Apri tutto-
Il GDPR non comporta una modifica del Modello di responsabilità condivisa AWS, che mantiene la sua rilevanza per i clienti. Il modello di responsabilità condivisa rappresenta un approccio utile per illustrare le diverse responsabilità di AWS (in qualità di responsabile o sub-responsabile del trattamento dei dati) e dei clienti (come titolari o responsabili del trattamento dei dati) secondo il GDPR.
-
Sì, è possibile cercare “GDPR” nello Strumento di ricerca di soluzioni dei partner AWS per trovare i partner ISV, MSP e SI che forniscono prodotti e servizi utili per la conformità con il GDPR. I clienti possono anche cercare soluzioni “GDPR” su AWS Marketplace.
-
Sì, il team di AWS Security Assurance Services dispone di una serie di attività per aiutare i clienti nel loro percorso verso la conformità al GDPR. Questo team di professionisti certificati nel settore della conformità aiuta i clienti a raggiungere, mantenere e automatizzare la conformità nel cloud collegando gli standard di conformità applicabili alle caratteristiche e funzionalità specifiche del servizio AWS. Ulteriori dettagli su come i consulenti di AWS Professional Services stanno aiutando i clienti sono disponibili qui.
-
I clienti possono utilizzare Supporto AWS per ricevere indicazioni tecniche che li aiutino nel loro percorso verso la conformità con il GDPR. Nell'ambito di questa attività sono disponibili team di tecnici di supporto cloud e Technical Account Manager (TAM) formati per aiutare a identificare e mitigare i rischi di conformità. Il livello di assistenza fornito da AWS dipende dal piano Supporto AWS scelto dai clienti. I clienti che desiderano scoprire i vantaggi offerti dal Supporto AWS Premium possono trovare ulteriori informazioni nel Centro di supporto AWS, disponibile attraverso la Console di gestione AWS, usando i dettagli di contatto specificati nel Contratto di supporto Enterprise stipulato con AWS o visitando la pagina Web del Supporto AWS. In caso di domande sul GDPR, i clienti con il livello di supporto Enterprise dovranno contattare il loro Technical Account Manager.
-
AWS dispone di un processo di monitoraggio degli incidenti di sicurezza e di notifica delle violazioni dei dati e notificherà ai clienti le violazioni della sicurezza di AWS senza ritardi ingiustificati e in conformità con il DPA di AWS. Inoltre, AWS offre ai clienti numerosi strumenti per controllare chi ha eseguito l'accesso alle risorse, quando e da dove. Uno di tali strumenti è AWS CloudTrail, che offre funzionalità di governance, conformità, audit operativi e dei rischi di un account AWS. Con AWS CloudTrail è possibile registrare, monitorare in modo continuo e conservare le informazioni correlate alle attività dell'account all'interno dell'infrastruttura AWS. Ciò consente alle organizzazioni di avere un quadro completo di ciò che accade nell'infrastruttura AWS e rispondere tempestivamente in caso di attività sospette. Per ulteriori informazioni su altri strumenti di sicurezza che AWS offre ai clienti per soddisfare gli obblighi in qualità di titolari del trattamento ai sensi del GDPR, visita la pagina Web Sicurezza in AWS Cloud.
-
AWS offre a clienti e Partner APN numerosi strumenti con cui mettere in sicurezza i dati dei clienti e proteggerli dagli attacchi informatici. Uno di tali strumenti è AWS Shield. Si tratta di un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge siti Web e applicazioni in AWS. AWS Shield Standard è disponibile senza alcun costo aggiuntivo e fornisce rilevamento sempre attivo e mitigazione automatizzata, con cui è possibile ridurre al minimo tempi di inattività e latenza. Per ottenere un livello di protezione maggiore dagli attacchi alle applicazioni Web in esecuzione in AWS e che utilizzano risorse di ELB, Amazon CloudFront e Amazon Route 53, i clienti e i partner APN posso iscriversi a AWS Shield Avanzato. AWS, inoltre, pubblica e aggiorna regolarmente il documento Best practice di AWS per la resilienza agli attacchi DDoS, che aiuta i clienti a utilizzare AWS per creare applicazioni resilienti agli attacchi di tipo DDoS.
-
Amazon Macie è un servizio completamente gestito per la sicurezza e la privacy dei dati che utilizza il machine learning e il pattern matching per individuare e proteggere i dati personali in AWS. Poiché le organizzazioni gestiscono volumi di dati sempre maggiori, l'identificazione e la tutela dei dati personali su vasta scala possono rivelarsi operazioni alquanto complesse e dispendiose in termini di tempo e risorse economiche. Amazon Macie automatizza l’individuazione dei dati personali su scala e riduce i costi relativi alla protezione dei tuoi dati. Macie fornisce automaticamente un inventario dei bucket di Amazon S3 tra cui un elenco di bucket non criptati, bucket pubblicamente accessibili e bucket condivisi con account AWS diversi da quelli definiti in AWS Organizations. Successivamente, Macie applica tecniche di machine learning e pattern matching ai bucket selezionati avvisandoti una volta individuati i dati personali.
- I servizi AWS sono stati progettati per garantire di default la massima protezione. Se viene applicata la configurazione predefinita, l'accesso alle risorse è limitato solo al proprietario dell'account e all'amministratore dell'account root.
- AWS Identity and Access Management (IAM) consente di gestire in sicurezza l'accesso ai servizi e alle risorse AWS. Grazie a IAM, è possibile creare e gestire utenti e gruppi AWS e applicare autorizzazioni per concedere o negare l'accesso alle risorse AWS. IAM è una caratteristica disponibile nell'account AWS senza costi aggiuntivi.
- Autenticazione a più fattori AWS (AWS MFA) aggiunge un ulteriore livello di protezione a nome utente e password di un account AWS. AWS offre ai clienti dispositivi MFA virtuali e hardware.
- Servizio di directory AWS permette ai clienti di integrare e creare federazioni con directory aziendali per ridurre le spese amministrative e migliorare l'esperienza dell'utente finale.
- AWS Config consente ai clienti di abilitare regole preconfezionate che aiutano a garantire la corretta configurazione e la conformità delle loro risorse AWS.
- AWS CloudTrail permette ai clienti di registrare log, eseguire un monitoraggio continuo e mantenere le informazioni relative alle attività dell'account nell'infrastruttura AWS e semplifica così analisi della sicurezza, monitoraggio delle modifiche alle risorse e risoluzione dei problemi (AWS CloudTrail è attivato per impostazione predefinita su tutti gli account AWS).
- Amazon Macie usa il machine learning per aiutare i clienti a prevenire la perdita di dati mediante operazioni automatiche di rilevamento, classificazione e protezione dei dati sensibili in AWS. Questo servizio completamente gestito monitora in modo continuo le attività di accesso ai dati in cerca di anomalie e genera avvisi dettagliati ogni volta che individua accessi non autorizzati o divulgazioni accidentali di informazioni, ad esempio quando un utente rende accessibili pubblicamente dati sensibili che dovrebbero rimanere riservati.
Per aiutare i clienti a soddisfare i requisiti del GDPR, AWS offre una serie di strumenti che consentono di controllare gli accessi ai dati personali archiviati in AWS. Di seguito sono elencati alcuni di questi strumenti.
- Funzionalità di crittografia dei dati disponibili in servizi di database e archiviazione AWS quali Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, RDS per SQL Server e Redshift
- Opzioni flessibili di gestione delle chiavi, tra cui Servizio AWS di gestione delle chiavi (AWS KMS), che consentono di scegliere se demandare la gestione delle chiavi di crittografia ad AWS oppure affidare ai clienti il controllo completo delle chiavi
- Code di messaggi con crittografia per la trasmissione di dati sensibili attraverso la crittografia lato server (SSE) per Amazon SQS
- Archiviazione di chiavi crittografiche dedicata e basata su hardware con AWS CloudHSM, che consente ai clienti di soddisfare i requisiti di conformità
AWS offre a clienti e Partner APN la possibilità di aggiungere un ulteriore livello di sicurezza ai dati a riposo dei clienti nel cloud per soddisfare gli obblighi in materia di sicurezza del trattamento in qualità di titolari del trattamento ai sensi del GDPR. Gli strumenti di crittografia disponibili su AWS includono:
Inoltre, AWS fornisce, a clienti e Partner APN, API che consentono di integrare la crittografia e la protezione dei dati con i servizi aziendali sviluppati o distribuiti nell'ambiente AWS.
- Autenticazione a più fattori (MFA)
- Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
- Autenticazione delle richieste API
- Restrizioni geografiche
- Token di accesso temporaneo attraverso il Servizio di token di sicurezza AWS (AWS STS)
- Gestione e configurazione delle risorse con AWS Config
- Audit di conformità e analisi della sicurezza con AWS CloudTrail
- Identificazione dei problemi di configurazione attraverso AWS Trusted Advisor
- Registrazione di log di accesso agli oggetti Amazon S3 a granularità fine
- Informazioni dettagliate sui flussi nella rete attraverso i log dei flussi di Amazon VPC
- Controlli e azioni di configurazione basati su regole con Regole AWS Config
- Applicazione di filtri e monitoraggio dell'accesso HTTP alle applicazioni con funzioni AWS WAF in AWS CloudFront
- Crittografia dei tuoi dati a riposo con AES256 (EBS/S3/Glacier/RDS)
- Key Management gestito in modo centralizzato (per regione AWS)
- Tunnel IPsec in AWS con i gateway VPN
- Moduli HSM dedicati nel cloud con AWS CloudHSM
- ISO 27001 per le misure tecniche
- ISO 27017 per la sicurezza nel cloud
- ISO 27018 per la privacy del cloud
- SOC 1, SOC 2 e SOC 3, PCI DSS di livello 1,
- Catalogo dei controlli comuni per il cloud computing di BSI (C5)
- ENS High
AWS fornisce caratteristiche e servizi specifici che consentono ai clienti di soddisfare i requisiti del GDPR:
Controllo degli accessi: solo le applicazioni, gli utenti e gli amministratori autorizzati possono accedere alle risorse AWS
Monitoraggio e registrazione di log: ottieni una panoramica delle attività sulle risorse AWS
Crittografia: crittografia dei dati su AWS
Quadro di conformità e standard di sicurezza rigorosi: dimostriamo la conformità con rigorosi standard internazionali, quali:
AWS e il GDPR nel Regno Unito
Apri tutto-
Il GDPR è un regolamento dell'UE e, in seguito alla Brexit, non è più valido per il Regno Unito. Il governo del Regno Unito ha incorporato i requisiti del GDPR nella legge del Regno Unito come "GDPR del Regno Unito".
-
AWS offre un Addendum al GDPR del Regno Unito conforme con il GDPR per il DPA di AWS che incorpora gli impegni di AWS in qualità di responsabile del trattamento dei dati ai sensi del GDPR del Regno Unito. Tale Addendum al GDPR del Regno Unito fa parte dei Termini di servizio di AWS e si applica automaticamente a tutti i clienti che richiedono un contratto di elaborazione dei dati per conformarsi con il GDPR del Regno Unito.
L'Addendum al GDPR del Regno Unito, che fa parte dei Termini di servizio di AWS, include le SCC adottate dalla Commissione europea (CE) e l'addendum sul trasferimento internazionale dei dati (IDTA) emesso dall'autorità di regolamentazione della protezione dei dati del Regno Unito (Information Commissioners Office). L'IDTA modifica le SCC per garantire che costituiscano una protezione appropriata ai sensi del GDPR del Regno Unito per i trasferimenti internazionali di dati verso paesi al di fuori del Regno Unito che non sono stati riconosciuti come fornitori di un livello adeguato di protezione dei dati personali (paesi terzi del Regno Unito). L'Addendum al GDPR del Regno Unito conferma che le SCC (come modificate dall'IDTA) vengono applicate automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire i dati dei clienti soggetti al GDPR del Regno Unito (dati clienti Regno Unito) a paesi terzi rispetto a quest'ultimo. Nell'ambito dell'Addendum al GDPR del Regno Unito all'interno dei Termini di servizio di AWS, le SCC (come modificate dall'IDTA) vengono applicate automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire i dati dei clienti del Regno Unito a paesi terzi rispetto al Regno Unito.
AWS e la legge federale svizzera sulla protezione dei dati
Apri tutto-
AWS offre un Addendum svizzero all'Addendum sull'elaborazione dei dati AWS (l'“Addendum svizzero”) che incorpora gli impegni di AWS in qualità di responsabile del trattamento dei dati ai sensi della Legge federale svizzera sulla protezione dei dati (“FDPA”). L'Addendum svizzero fa parte dei Termini di servizio di AWS (vedi Sezione 1.14.4) e viene applicato automaticamente quando l'FDPA copre l'uso dei servizi AWS da parte di un cliente per elaborare i dati dei clienti.
-
L'Addendum svizzero all'Addendum sul trattamento dei dati di AWS, che fa parte dei Termini di servizio di AWS (vedi Sezione 1.14.4), include le clausole contrattuali standard (le “SCC”) adottate dalla Commissione europea e modificate come richiesto dal Commissario federale svizzero per la protezione dei dati e l'informazione. L'Addendum svizzero conferma che le SCC (come modificate dall'Addendum svizzero) si applicheranno automaticamente ogni volta che un cliente utilizza i servizi AWS per trasferire i dati dei clienti soggetti all'FDPA a paesi terzi.
Contatti
Apri tutto-
In caso di domande sul GDPR, consigliamo ai clienti di contattare per prima cosa il proprio Account manager di AWS. Se i clienti sono registrati al supporto Enterprise, possono anche contattare il proprio Technical Account Manager (TAM). Quest'ultimo collabora con i solutions architect per aiutare i clienti e identificare i potenziali rischi e le relative mitigazioni. I team dedicati all'account e al TAM, possono indirizzare clienti e partner APN verso specifiche risorse in base al proprio ambiente e alle proprie esigenze.
