OVH e la protezione dei dati personali

Introduzione

Thumbnail

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è il quadro giuridico per il trattamento dei dati personali in Europa, che entrerà in vigore il 25 maggio 2018. Contrariamente alla direttiva 95/46/CE, che in precedenza disciplinava questi trattamenti, il GDPR ha un'applicazione diretta in tutta l'Unione Europea e non necessita di trasposizioni nazionali. In quanto tale, promuoverà l'armonizzazione dei regimi giuridici nell'ambito della protezione dei dati personali in Europa. Meglio ancora, il GDPR ha un principio di extraterritorialità che consente, in determinate circostanze, di estendere il suo perimetro di applicazione al di fuori dei confini europei.

Se nella tua struttura vengono trattati dati personali, ci sono buone probabilità che tu sia soggetto alle disposizioni del GDPR e pertanto dovrai adempiere ad alcuni obblighi. A questo proposito, dovrai rispettare determinati obblighi. Lo stesso vale per OVH che, vista la sua situazione, avrà obblighi diversi in qualità di responsabile del trattamento o incaricato del trattamento.

Definizioni

Comprendere un regolamento europeo non è sempre facile, specialmente quando contiene 99 articoli, ma è essenziale per evitare qualsiasi rischio derivante da un'errata interpretazione degli obblighi normativi. È importante comprendere alcuni termini definiti di seguito:

  • dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile. È considerata una persona fisica identificabile una persona fisica che può essere identificata, direttamente o indirettamente
  • trattamento: qualsiasi operazione o insieme di operazioni eseguite con o senza il supporto di processi automatizzati e applicate a dati o insiemi di dati personali (raccolta, registrazione, trasmissione, storage, conservazione, datamining, consultazione, utilizzo, interconnessione, ecc...)
  • responsabile del trattamento dei dati: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che, da solo o con altri soggetti, determina i mezzi e le finalità del trattamento
  • incaricato del trattamento dei dati: persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento

OVH come incaricato del trattamento dei dati

Thumbnail

Questo è certamente il caso in cui le tue aspettative su OVH sono più incisive.
OVH riveste il ruolo di "incaricato del trattamento" quando tratta dati personali per conto di un responsabile del trattamento. È la situazione che si verifica quando si utilizzano i servizi OVH e si archiviano i dati personali su un'infrastruttura OVH. Entro i limiti dei suoi vincoli tecnici, OVH tratterà i dati ospitati esclusivamente secondo le tue indicazioni, e per tuo conto.

L'impegno di OVH in qualità di incaricato del trattamento dei dati

Nel ruolo di incaricato del trattamento dei dati, OVH si impegna in particolare a eseguire le seguenti azioni:

  • trattare i dati personali esclusivamente ai fini della corretta esecuzione dei servizi: OVH non tratterà mai le tue informazioni per altre finalità (marketing, ecc...);
  • non trasferire i tuoi dati al di fuori dell'UE o al di fuori dei Paesi riconosciuti dalla Commissione Europea come aventi un adeguato livello di protezione: a condizione che tu non scelga un datacenter in un'area al di fuori dell'UE;
  • informarti di qualsiasi eventuale ricorso ad altri incaricati che potrebbero trattare i tuoi dati personali anche se, ad oggi, nessun servizio che preveda l'accesso ai contenuti archiviati dall'utente viene esternalizzato al di fuori di OVH
  • implementare standard elevati di sicurezza al fine di garantire un alto livello di sicurezza ai nostri servizi
  • assisterti nell'adempiere ai tuoi obblighi normativi fornendoti un'adeguata documentazione dei nostri servizi

Questi impegni sono stati inclusi nelle Condizioni Generali di Servizio (CGS) di OVH e, salvo condizioni particolari, sono opponibili da qualsiasi cliente nei confronti di OVH nel suo ruolo di incaricato al trattamento dei dati.

Le iniziative di OVH in Europa

Al fine di rafforzare i propri impegni, OVH è stata una delle società che ha sostenuto la creazione dell'associazione CISPE (Cloud Infrastructure Services Providers in Europe). Questa associazione ha redatto un codice di condotta, il cui scopo è promuovere la corretta applicazione del RGPD da parte dei fornitori di Infrastructure as a Service (IaaS). Attraverso la sua partecipazione attiva a questa iniziativa, OVH dimostra la sua volontà di armonizzare, con standard elevati di esigenza, le regole di protezione dei dati personali in Europa.

Thumbnail

La soluzione Private Cloud (IaaS) di OVH è nostro primo servizio a essere stato dichiarato conforme al codice di condotta CISPE.

FAQ: OVH in qualità di incaricato del trattamento dei dati

Chi è proprietario dei dati personali utilizzati e memorizzati dal cliente nell’ambito dei servizi?

I dati archiviati dal cliente che si avvale dei servizi OVH restano di proprietà del cliente.

OVH non accede a questi dati né li utilizza, se non quando è strettamente necessario e nei limiti dei propri vincoli tecnici.

OVH rispetta l'obbligo di non rivendere questi dati, né di utilizzarli per scopi personali (come datamining, profilazione o attività di direct marketing).

In quali casi OVH può accedere ai dati archiviati e utilizzati dal cliente nell'ambito dei nostri servizi?

OVH accede ai dati soltanto in due situazioni:

  • ai fini dell'esecuzione dei servizi e in particolare per ottimizzare l'assistenza ai clienti nel momento in cui contattano il Supporto OVH. In questo caso, gli accessi ai dati degli utenti rimangono controllati grazie ad autorizzazioni specifiche e particolari misure di controllo e sicurezza;
  • per adempiere agli obblighi legali nel contesto di richieste giudiziarie e/o amministrative, rigorosamente controllate. Queste richieste sono rigorosamente controllate.

Accesso in caso di intervento da parte del Supporto OVH:
Quando il cliente contatta il Supporto OVH, a seconda dell'oggetto dell'assistenza, è possibile accedere a due categorie di dati. Da un lato, per gestire al meglio la richiesta del cliente, il Supporto prende atto delle informazioni fornite dall'utente durante la creazione del proprio account OVH (cognome, nome, numero di telefono, indirizzo email, ecc...).
Dall'altro lato, soltanto su espressa richiesta del cliente, e fatti salvi i vincoli tecnici specifici di ciascun servizio, il Supporto può avere accesso ai dati archiviati dall'utente sui servizi OVH, al fine di identificare l'origine del problema riscontrato ed eventualmente poterlo risolvere.

Accesso in caso di una richiesta da parte delle autorità giudiziarie e/o amministrative:
Al fine di agire in conformità con le normative vigenti, OVH è tenuta a rispondere alle richieste delle autorità giudiziarie e/o amministrative. Poiché le domande di accesso sono soggette a un rigido regime legale, OVH le autorizza soltanto dopo averne verificato la validità. Le domande provenienti da un Paese terzo vengono trattate soltanto se basate su un accordo internazionale, come un trattato di reciproca assistenza giudiziaria, in vigore tra il Paese terzo richiedente e l'Unione Europea o uno Stato membro.

I dati dei clienti europei di OVH vengono trasferiti al di fuori dell'Unione Europea?

È importante distinguere due situazioni differenti a proposito di questo argomento. Queste possono dipendere molto dalle scelte fatte dal cliente in materia di scelta della localizzazione dei datacenter dove verranno memorizzati i suoi dati:

Nel primo caso, il cliente sceglie un servizio in cui vengono utilizzati uno o più datacenter nell'Unione Europea.
I dati del cliente non verranno mai trasferiti al di fuori di:

  • Paesi dell'Unione Europea
  • Paesi riconosciuti dalla Commissione Europea come aventi un livello sufficiente di protezione dei dati personali relativamente alla tutela della privacy, alla libertà e ai diritti fondamentali delle persone. L'elenco di questi Paesi può essere consultato in qualsiasi momento sul sito Web della Commissione Europea.

A seguito dell'annullamento dell'accordo Safe Harbor, e sebbene la Commissione Europea ritenga che le organizzazioni americane che fanno parte del Privacy Shield abbiano un livello di protezione sufficiente, OVH non trasferisce mai verso gli Stati Uniti d'America i dati dei clienti che hanno selezionato un datacenter nell'Unione Europea.

I trasferimenti di dati verso Paesi riconosciuti dalla Commissione Europea con un livello sufficiente di protezione, possono verificarsi nel caso di un intervento da parte del Supporto OVH. Per i nostri datacenter con sede nell'Unione Europea, i team di Supporto che vengono chiamati a intervenire possono infatti essere situati nell'Unione Europea ma anche in Canada, in quanto riconosciuto dalla Commissione Europea come un Paese con adeguato livello di protezione dei dati personali. OVH si riserva inoltre il diritto di affidare alcuni servizi di Supporto che potrebbero richiedere l'accesso remoto ai dati del cliente, ad altre entità del gruppo OVH situate in Paesi riconosciuti dalla Commissione Europea con un livello di protezione sufficiente (esclusi gli Stati Uniti).

Grazie alle garanzie offerte da OVH in termini di trasferimento dei dati, il cliente è in grado di adempiere ai propri obblighi normativi. L'articolo 45 del GDPR, che determina i casi di "trasferimenti sulla base di una decisione di adeguatezza", stabilisce che il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale è ammesso se la Commissione ha deciso che il Paese terzo, un territorio o uno o più settori specifici all'interno del Paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Nel secondo caso, il cliente sceglie un servizio in cui viene utilizzato un datacenter al di fuori dell'Unione Europea.
È evidente che i dati vengano trasferiti al di fuori dell'Unione Europea. La localizzazione o l'area geografica dei datacenter utilizzati nel servizio, sono comunicate nel nostro sito Web. Quando sono disponibili più localizzazioni, il cliente seleziona quella che preferisce. A OVH non è consentito modificare, senza l'accordo del cliente, la localizzazione o la zona geografica concordata durante l'ordine.

Per supportare i clienti che intendono trattare dati personali presso datacenter situati al di fuori dell'Unione Europea, in un Paese che non fornisce un livello adeguato di protezione, OVH può, su richiesta, discutere l'applicazione delle garanzie che consentono il trasferimento di questi dati come previsto dall'articolo 46 del GDPR "Trasferimenti soggetti a garanzie adeguate".

OVH come responsabile del trattamento dei dati

Thumbnail

OVH riveste il ruolo di "responsabile del trattamento dei dati" quando determina i mezzi e le finalità del "proprio" trattamento di dati personali.

È il caso in cui OVH raccoglie i dati per fatturazione, miglioramento del servizio e delle prestazioni, operazioni di vendita, gestione commerciale, ecc..., ma anche quando OVH tratta i dati personali dei propri dipendenti.

In questo caso, i "tuoi" dati, che memorizzi sui servizi OVH, non sono interessati. D'altro canto, alcune informazioni che ti riguardano o relative ai tuoi dipendenti (identità e dati del contatto OVH nell’ambito di una richiesta di assistenza tecnica, ad esempio) possono esserlo. Ecco perché OVH tiene a farti comprendere le garanzie implementate per garantire la protezione di questi dati personali.

  • limitare la raccolta dei dati a quelli strettamente necessari: così facendo, quando si ordina un servizio si inseriscono soltanto i dati richiesti da OVH per fornire prestazioni relative alla fatturazione, all'assistenza o adempiere agli obblighi legali nell'ambito della conservazione dei dati.
  • non utilizzare i dati personali per scopi diversi da quelli per cui sono stati originariamente raccolti
  • conservare i dati personali per un periodo limitato. Ad esempio, i dati trattati per scopi relativi alla gestione delle relazioni tra i clienti e OVH (cognome, nome, indirizzo, email, ecc...), sono conservati dall'azienda per l'intera durata del contratto e i successivi 36 mesi. Alla fine di questo periodo, vengono definitivamente cancellati da tutti i supporti e backup
  • non trasferire questi dati a terzi che non facciano parte delle società collegate a OVH che sono coinvolte nell'esecuzione del contratto. Durante le migrazioni all'interno del Gruppo, alcuni dati possono essere trasferiti al di fuori dell'Unione Europea sulla base delle regole aziendali implementate dal Gruppo OVH
  • implementare adeguate misure tecniche e organizzative al fine di garantire un alto livello di sicurezza