OVH E LA PROTEZIONE DEI DATI PERSONALI

Transcript

1 OVH E LA PROTEZIONE DEI DATI PERSONALI

2 Creata nel 1999, OVH è oggi uno dei maggiori attori del Cloud con una presenza in 18 Paesi nel mondo. La soddisfazione di oltre un milione di clienti e la sicurezza dei loro dati personali ci sta particolarmente a cuore. Nel momento in cui decidi di esternalizzare in OVH tutti o una parte dei dati trattati nell ambito della tua attività, scegli di affidarci informazioni molto riservate. Siamo consapevoli dei possibili disagi che questo outsourcing può causare alla tua struttura, specialmente in termini di conformità normativa, ed è per questo motivo che OVH mette a disposizione informazioni complete sulle problematiche relative alla protezione dei dati personali. 1 L IMPORTANZA DI SCEGLIERE IL CLOUD PROVIDER 3 2 GLI OBBLIGHI DI OVH IN QUALITÀ DI INCARICATO DEL TRATTAMENTO DI DATI PERSONALI 4 3 GLI OBBLIGHI DI OVH IN MATERIA DI SICUREZZA 7

3 1 L IMPORTANZA DI SCEGLIERE IL CLOUD PROVIDER 1.1. Un criterio di conformità La scelta di un fornitore di soluzioni Cloud non può dipendere soltanto da esigenze tecniche. La necessità di normative sempre più vincolanti, come il regolamento europeo 2016/679, detto regolamento generale sulla protezione dei dati (GDPR), così come la presa di coscienza delle sfide etiche ed economiche legate alla localizzazione dei dati di un soggetto, spingono ciascun attore a guardare aldilà delle capacità tecnologiche. Oltre a proporre servizi performanti e sicuri, OVH si impegna affinché queste soluzioni funzionino in maniera conforme e trasparente. Tutto ciò è cruciale per l insieme dei soggetti che desiderano esternalizzare i propri sistemi informativi: la loro conformità è condizionata da quella degli incaricati al trattamento dei dati. È anche grazie agli impegni assunti da OVH che i clienti saranno in grado di rispettare gli obblighi normativi. Questa esigenza è presente, in particolare, nell articolo 28 del GDPR, in cui viene indicato che un «titolare del trattamento ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento 1». La Commissione nazionale dell informatica e delle libertà (CNIL), autorità francese incaricata di far rispettare le disposizioni relative alla tutela dei dati personali, raccomanda peraltro «che un azienda [...] che ha intenzione di ricorrere a un servizio di Cloud computing effettui un analisi dei rischi e sia molto rigorosa nella scelta del provider. In particolare, l azienda dovrà prendere in considerazione le garanzie offerte da un provider in materia di protezione dei dati personale e assicurarsi che quest ultimo fornisca tutte le garanzie necessarie al rispetto dei suoi obblighi nei confronti della legge 2» Un criterio d intelligenza economica OVH è un pure player che esercita un attività unica: l erogazione di infrastrutture IT e, in particolare, Cloud. Noi non disponiamo, direttamente o attraverso altri soggetti o filiali, di attività concorrenti a quelle dei nostri clienti, sia che si tratti di vendita online o software. Infatti, riteniamo che alcune organizzazioni finanzino, attraverso il loro provider Cloud, un competitor per diversificare le proprie attività. 1 Articolo 28 del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche relativamente al trattamento dei dati personali e la libera circolazione degli stessi: eu/legal-content/it/txt/?uri=celex%3a32016r CNIL, suggerimenti per le aziende che intendono sottoscrivere servizi di Cloud computing: fr/sites/default/files/typo/document/recommendations_for_ companies_planning_to_use_cloud_computing_services.pdf 3

4 2 GLI OBBLIGHI DI OVH IN QUALITÀ DI INCARICATO DEL TRATTAMENTO DI DATI PERSONALI OVH è considerata come «incaricato del trattamento di dati personali» per conto di un responsabile. È così nel momento in cui archivi delle informazioni di carattere personale sulle nostre infrastrutture. Obbligo n 1: il non-riutilizzo dei dati ospitati sui nostri servizi OVH si impegna a trattare i dati personali del cliente per la buona esecuzione dei servizi e nel rispetto delle proprie regole. Le informazioni ospitate nell ambito dei nostri servizi restano di proprietà del cliente. OVH vieta ogni tipo di rivendita di dati e ogni utilizzo a fini commerciali (ad esempio profiling o di direct marketing). Obbligo n 2: consentire la reversibilità dei dati La reversibilità delle informazioni, in termini di migrazione o ripristino, non è consentita da tutte le offerte Cloud presenti sul mercato, o quantomeno risulterebbe complessa per via di ostacoli tecnici. Per le aziende il Cloud è diventato un fattore strategico. Troppo strategico per correre rischi o impegnarsi a vita con un solo provider. Difendere un Cloud «aperto» significa impedire che un attore dominante imponga le proprie regole semplicemente perché controlla una fetta di mercato. Per questo le soluzioni Cloud di OVH si basano su standard tecnologici, per la maggior parte open source. È possibile recuperare facilmente i propri dati grazie alla reversibilità e l interoperabilità. 4

5 Obbligo n 3: sapere esattamente dove sono archiviati e trattati i tuoi dati Quando selezioni un servizio che permette di archiviare contenuti e, specialmente, dati personali, la localizzazione o la zona geografica dei datacenter sono visibili sul nostro sito Internet. E se sono disponibili più localizzazioni o zone geografiche, è possibile effettuare una scelta al momento dell ordine. Tuttavia l «archiviazione dei dati» non è sinonimo di «trattamento dei dati». Il GDPR stabilisce infatti regole applicabili in materia di «trattamento» e non di semplice «archiviazione». È pertanto opportuno essere particolarmente cauti nell utilizzo di questi due termini. Nel selezionare un luogo di archiviazione nell Unione Europea, OVH ti garantisce di non trattare le tue informazioni al di fuori dell UE o di qualsiasi altro Paese riconosciuto dalla Commissione Europea, poiché dispone di un livello sufficiente di protezione dei dati sensibili, ad esempio tutela della vita privata, delle libertà e dei diritti fondamentali delle persone, cosi come nei confronti dell esercizio dei diritti corrispondenti, ovvero la decisione di adeguatezza. Inoltre ci impegniamo a non trattare mai i tuoi dati negli Stati Uniti. Obbligo n 4: garantire una totale trasparenza in materia di ricorso ad altri incaricati del trattamento dei dati OVH controlla tutta la catena dell hosting, dalla costruzione dei server alla gestione dei datacenter. Ad eccezione delle filiali del gruppo, nessun altra azienda può visualizzare o accedere ai dati dei nostri clienti. La lista delle filiali OVH è disponibile sul nostro sito internet o può essere richiesta al nostro team di Supporto. Si tratta sostanzialmente di filiali del gruppo con sede all estero: OVH Germania, OVH Spagna, ecc... Nell ambito della massima protezione dei dati sensibili dei nostri clienti, OVH US non è considerata al pari di una filiale. La sede americana di OVH è un entità legalmente separata dalle filiali europee. In caso di accesso ai dati da parte di una filiale, informeremo il cliente con un preavviso di 30 giorni. Pertanto, qualora OVH dovesse avvalersi di un altro incaricato del trattamento dei dati, la procedura sarebbe subordinata all accordo con i propri clienti. 5

6 Obbligo n 5: informare i clienti in caso di violazione dei dati OVH applica importanti misure in materia di sicurezza e prevede i possibili scenari futuri, tra cui la violazione delle informazioni. In questo caso, OVH si impegna a informare nel più breve tempo possibile i clienti interessati, comunicando la natura dell incidente, le possibili conseguenze e le misure per contenere o risolvere la violazione. Obbligo n 6: fornire una documentazione completa sui nostri servizi È fondamentale che il Cloud provider offra adeguate garanzie, vista l importanza del trattamento delle informazioni, per assicurare ai clienti la conformità alle normative relative alla protezione dei dati. Per essere in grado di effettuare questa scelta e motivarla alle autorità competenti, è necessario disporre di una documentazione completa sui servizi offerti dagli incaricati al trattamento dei dati. Per questo motivo OVH si impegna a comunicare tutte le informazioni: descrizione delle misure di sicurezza applicate ai servizi, certificato di localizzazione dello storage dei dati, ecc... Obbligo n 7: garantire gli obblighi in sede contrattuale Gli obblighi di OVH sono molto più di semplici promesse: sono inseriti contrattualmente nel Data Processing Agreement (DPA). Questo documento è un allegato dei nostri contratti ed è disponibile su richiesta per tutti i nostri clienti. 6

7 3 GLI OBBLIGHI DI OVH IN MATERIA DI SICUREZZA OVH adotta tutte le misure necessarie per preservare la sicurezza e la privacy dei dati personali, con l obiettivo principale di evitare danni o violazioni da parte di terzi non autorizzati all accesso Distinzione delle azioni di sicurezza È essenziale distinguere tra la sicurezza dei dati ospitati dal cliente e la sicurezza delle infrastrutture che ospitano questi dati. Sicurezza dei dati ospitati: il cliente è l unico responsabile della messa in sicurezza delle risorse e dei software applicativi di cui si avvale, nell utilizzo dei nostri servizi. OVH mette tuttavia a disposizione strumenti utili alla messa in sicurezza dei dati. Sicurezza delle infrastrutture: OVH si impegna a mettere in sicurezza le proprie infrastrutture in modo ottimale. In particolare, OVH ha messo a punto una politica di sicurezza dei sistemi informativi (PSSI) per essere conformi alle molteplici norme e certificazioni: certificazione PCI-DSS, ISO/IEC 27001, attestazioni SOC 1 tipo 2 e SOC 2 tipo 2, ecc 3.2. Le misure di sicurezza garantite da OVH Le misure di sicurezza garantite da OVH sono correlate ai servizi sottoscritti. Per ogni soluzione OVH si impegna a fornire tutta la relativa documentazione. Ciò permette ai clienti di stabilire se una soluzione è conforme al trattamento dei dati personali. Per ogni servizio erogato OVH si impegna a mettere in atto: misure di sicurezza fisica per impedire a persone non autorizzate di accedere alle infrastrutture sulle quali sono archiviati i dati del cliente; personale di sicurezza incaricato di garantire la sicurezza fisica dei locali OVH 24 ore su 24, 7 giorni su 7; un sistema di gestione delle autorizzazioni per permettere di accedere ai locali e ai dati soltanto alle persone che ne hanno necessità nell ambito della loro attività; un sistema fisico e/o logico per mantenere separati i clienti tra di loro, a seconda dei servizi); rigorosi processi di autenticazione per utenti e amministratori, grazie a una severa politica di gestione delle password e all implementazione di alcune misure di doppia autenticazione come l utilizzo di YubiKey; processi e dispositivi per tracciare tutte le azioni eseguite sul proprio sistema informativo e, in conformità alle norme vigenti, segnalare eventuali incidenti che riguardino i dati dei clienti. 7

8