OVH e la protezione dei dati personali

Il nostro esperto risponde alle tue domande

 

Il Regolamento Generale sulla Protezione dei Dati (GDPR, dall’inglese General Data Protection Regulation) che entrerà in vigore il 25 maggio 2018, avrà importanti effetti sui sistemi informativi di tutte le aziende. Questo regolamento, infatti, impone a numerose aziende il rispetto delle disposizioni dell’Unione Europea nell’ambito della protezione dei dati personali.

Florent Gastaud, DPO (Data Protection Officer) di OVH, risponde alle domande più frequenti sull’impatto che questo nuovo regolamento avrà per le aziende e le relative misure da adottare.

Cos’è il GDPR?

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è un regolamento europeo adottato il 27 aprile 2016 dal Parlamento europeo e dal Consiglio, le cui disposizioni sono direttamente applicabili in tutti gli Stati membri dell'Unione europea. Anche se è entrato in vigore nel 2016, sarà applicato solo a partire dal 25 maggio 2018. In questo modo tutti gli enti pubblici e privati hanno avuto un periodo di 2 anni per poter essere conformi alle disposizioni di questo testo.

Il GDPR mira a proteggere le persone fisiche con riguardo al trattamento dei dati personali e prevede diritti ed obblighi applicabili a tutti i soggetti coinvolti nel trattamento di tali dati.

Questo regolamento riguarda tutti gli enti pubblici e le aziende che trattano dati di carattere personale.

Cosa significa GDPR?
Cosa comporta la violazione di dati a carattere personale?

Il concetto di violazione dei dati personali ricorda immediatamente una fuga di dati personali a beneficio di terze parti non autorizzate (es. la pirateria informatica). Ma la definizione di GDPR è ben più ampia. Il “Gruppo di lavoro ex articolo 29” (organismo europeo incaricato dell’applicazione del GDPR a partire dal 25 maggio 2018) definisce il concetto di violazione dei dati personali come segue:

 

  • perdita della disponibilità dei dati personali,
  • perdita dell'integrità dei dati personali,
  • perdita della confidenzialità dei dati personali.

 

La violazione dei dati, quindi, può consistere non solo in una fuga di dati, ma anche nella perdita permanente dei dati.

Il GDPR impone nuovi obblighi per i responsabili e gli incaricati del trattamento dei dati in caso di una violazione di dati.

 

Quali sono le leggi che regolano la protezione dei dati personali?

Esistono diversi testi che regolano la protezione dei dati personali, di portata generale o più specifici.

 

  • A livello internazionale: Convenzione 108 sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali, un trattato vincolante a cui possono aderire anche Stati non membri del Consiglio d'Europa.
  • A livello europeo: Regolamento (UE) 2016/79, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR); Direttiva (UE) 2016/680, relativa alla protezione delle persone fisiche con riferimento al trattamento dei dati da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
  • A livello nazionale: molti Paesi hanno adottato regolamenti nazionali relativi alla protezione dei dati personali, come ad esempio tutti i Paesi membri dell’Unione Europea.
Qual è la definizione di "dati a carattere personale" secondo il GDPR?

In base all'articolo n° 4 del GDPR, si considera un dato a carattere personale "(...)qualsiasi informazione riguardante una persona fisica identificata o identificabile (...) direttamente o indirettamente (...)"

In altre parole, un dato personale è un dato o un insieme di dati che consentono di identificare un individuo, con qualsiasi mezzo.

Un dato è indirettamente identificativo quando la sua sola lettura non consente a priori di identificare un individuo (ma solo effettuando ulteriori ricerche), come ad esempio un indirizzo email.

Cosa sono i dati personali sensibili?

Il concetto di "dati sensibili" si riferisce a "particolari categorie del trattamento di dati personali" del GDPR. Questi dati sono regolati da determinate leggi, in quanto il loro trattamento è vietato per principio,

e riguardano principalmente i seguenti ambiti:

  • salute o vita sessuale di un individuo,
  • origine razziale o etnica di un individuo,
  • opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche.

Esistono eccezioni che consentono il trattamento di questi dati.

 

Avvalersi dei servizi di OVH consente di rispettare gli obblighi previsti dal GDPR?

Sì, ma in una certa misura. Uno degli obblighi di un responsabile del trattamento dei dati è la selezione degli incaricati del trattamento che possano offrire le garanzie sufficienti affinché i dati personali vengano trattati in conformità ai regolamenti.
In altre parole, le garanzie offerte da OVH nel suo ruolo di incaricato del trattamento dei dati consentono ai propri di adempiere ad alcuni dei loro obblighi normativi. Tra queste garanzie vi sono in particolare le nostre misure di sicurezza, gli impegni presi in termini di localizzazione del trattamento dei tuoi dati, ecc...

Gli obblighi di un responsabile del trattamento dei dati non si limitano tuttavia alla selezione di un provider adeguato, ma vanno ben oltre il raggio d’intervento di OVH in qualità di incaricato del trattamento dei dati. In qualità di responsabile del trattamento, non è possibile rivendicare la piena conformità al GDPR limitandosi alla selezione di un incaricato del trattamento. È infatti necessario rispettare i propri obblighi, come il rispetto dei diritti delle persone o la conduzione di valutazioni di impatto sulla privacy.

Quali sono gli impegni di OVH nel suo ruolo di Cloud provider?

Nel ruolo di fornitore di servizi Cloud, OVH si colloca in una posizione di incaricato del trattamento dei dati. A tale scopo, OVH si impegna a:

  1. Non riutilizzare i dati ospitati sui propri servizi: OVH si impegna a trattare i dati personali del cliente per garantire la corretta esecuzione dei servizi offerti, soltanto secondo le sue istruzioni.
  2. Consentire la reversibilità dei tuoi dati: in OVH, il 100% dei servizi Cloud si basa in gran parte su tecnologie open source. È possibile recuperare facilmente i propri dati grazie alla reversibilità e l’interoperabilità.
  3. Indicare con precisione dove sono archiviati e trattati i tuoi dati.
  4. Garantire una totale trasparenza nell’ambito del ricorso a incaricati del trattamento dei dati.
  5. Inviare una notifica in caso di violazione dei tuoi dati.
  6. Creare una documentazione completa su tutti i servizi: OVH si impegna a comunicare ai propri clienti tutte le informazioni necessarie, come la descrizione delle misure di sicurezza applicate ai tuoi servizi, un certificato di localizzazione dello storage dei tuoi dati, ecc...
  7. Garantire i propri obblighi a livello contrattuale: gli impegni presi da OVH non sono solo belle promesse. Sono consultabili all’interno nel DPA (Data Processing Agreement), un documento allegato ai nostri contratti e disponibile su richiesta per tutti i nostri clienti.
Quali sono gli impegni di OVH in materia di localizzazione dei dati?

Quando selezioni un servizio che permette di archiviare contenuti e, soprattutto, dati personali, la localizzazione o la zona geografica dei datacenter sono visibili sul nostro sito Internet. Se sono disponibili più localizzazioni o zone geografiche, è possibile effettuare una scelta al momento dell’ordine.

Tuttavia lo «storage dei dati» non è sinonimo di «trattamento dei dati.» Il GDPR stabilisce infatti regole applicabili in materia di «trattamento» e non di semplice «storage». È pertanto opportuno essere particolarmente cauti nell’utilizzo di questi due termini.

Nel selezionare un luogo di archiviazione nell’Unione Europea, OVH ti garantisce di non trattare le tue informazioni al di fuori dell’UE o di qualsiasi altro Paese riconosciuto dalla Commissione Europea, poiché dispone di un livello sufficiente di protezione dei dati sensibili (es. tutela della vita privata, delle libertà e dei diritti fondamentali delle persone, cosi come nei confronti dell’esercizio dei diritti corrispondenti [decisione di adeguatezza]). Inoltre ci impegniamo a non trattare mai i tuoi dati negli Stati Uniti.

OVH può riutilizzare i dati dei clienti?

OVH si impegna a trattare i dati personali del cliente per garantire la corretta esecuzione dei servizi offerti, soltanto secondo sue indicazioni.

I dati ospitati dai clienti nell’ambito dei nostri servizi restano di loro proprietà.

OVH vieta ogni tipo di rivendita di dati e ogni utilizzo a fini commerciali (es. profiling o di direct marketing).

In che modo OVH garantisce il rispetto degli impegni assunti?

Affinché gli impegni di OVH consentano di rispettare i tuoi obblighi, questi devono essere compresi in un contratto o in un altro atto legale che preveda il nostro impegno nei tuoi confronti.

OVH ti assicura questa opponibilità per due motivi:

  • Le Condizioni Generali di Servizio che regolano l'utilizzo di tutti i servizi OVH includono clausole sulla protezione dei dati personali;
  • Su richiesta, OVH mette a disposizione uno specifico emendamento al tuo contratto da firmare, denominato Data Processing Agreement (DPA). Quest'ultimo è interamente dedicato alle garanzie offerte da OVH nell’ambito del trattamento dei dati personali.