L’ufficio per la protezione dei dati deve confrontarsi ripetutamente con la questione se e come i servizi cloud possano essere utilizzati in conformità con le normative sulla protezione dei dati, soprattutto se devono essere archiviati o elaborati anche dati personali.
Sebbene a queste domande sia possibile rispondere solo in relazione alla situazione specifica nei singoli casi, l’ufficio per la protezione dei dati ha ora messo insieme sul suo sito web le domande e i requisiti più importanti sulla protezione dei dati per i servizi cloud che devono essere presi in considerazione quando si valuta o si seleziona un particolare sistema. Inoltre, l’ufficio per la protezione dei dati sarà lieto di fornire consulenza su tutti gli aspetti di questa valutazione e su eventuali adeguamenti necessari ai sistemi.
Servizi cloud
L’ufficio per la protezione dei dati deve confrontarsi ripetutamente con la questione se e come i servizi cloud possano essere utilizzati in conformità con le normative sulla protezione dei dati, soprattutto se devono essere archiviati o elaborati anche dati personali.
Da un punto di vista legale , sia il Regolamento generale europeo sulla protezione dei dati (GDPR) che il Legge sulla protezione dei dati del Liechtenstein (DSG) sono generalmente formulati in modo neutro dal punto di vista tecnologico .
Ciò significa che le regole ivi contenute si applicano a qualsiasi trattamento sistematico o (parzialmente) automatizzato dei dati personali, indipendentemente dalla tecnologia utilizzata per farlo. Non ci sono quindi regole speciali per i servizi cloud. Al contrario, ciò significa che la legge sulla protezione dei dati non proibisce i servizi cloud, ma piuttosto stabilisce regole che devono essere osservate.
Da un punto di vista tecnico , va notato che esistono varie forme di servizi cloud (“Infrastructure as a Service” (IaaS), “Platform as a Service” (PaaS), “Software as a Service” (SaaS) ecc. .) e modelli (“Pubblico”, “Privato”, “Ibrido” ecc.). Inoltre, molti di questi sistemi possono essere configurati individualmente in termini di impostazioni e architettura (ad es. Posizioni dei server). Infine, i fornitori offrono un’ampia varietà di modelli di licenza e contratti di servizio.
A causa del quadro giuridico e tecnico menzionato, l’ufficio per la protezione dei dati non può rilasciare dichiarazioni o raccomandazioni generalmente applicabili su singoli sistemi, fornitori o modelli di licenza. Per valutare la conformità alla protezione dei dati di una soluzione specifica, è sempre necessario considerare la situazione specifica in ogni singolo caso. Pertanto, le domande e i requisiti più importanti sulla protezione dei dati per i servizi cloud che devono essere presi in considerazione durante la valutazione o la selezione di un particolare sistema dovrebbero essere riassunti di seguito.
1. Principi della legge sulla protezione dei dati (art. 5 GDPR)
I principi sulla protezione dei dati di cui all’articolo 5 GDPR devono essere rispettati ogni volta che vengono elaborati dati personali . Includono in particolare:
- Legalità del trattamento dei dati
- Elaborazione in buona fede
- Trasparenza del trattamento dei dati
- Predisposizione al trattamento dei dati
- Minimizzazione dei dati
- Correttezza dei dati
- Limite di archiviazione dei dati
- Dati l’integrità e la riservatezza
- Responsabilità del titolare del trattamento
Prima di qualsiasi trattamento dei dati, sia nel cloud che altrove, occorre quindi assicurarsi che i principi sopra menzionati siano rispettati o che siano state adottate misure tecniche e organizzative per garantirli.
2. Contratto di elaborazione ordini (art. 28 GDPR)
Nella maggior parte dei casi, i fornitori di servizi cloud si qualificano come processori ai sensi dell’art. 28 GDPR. È quindi necessario concludere con te un contratto di protezione dei dati.
3. Misure tecniche e organizzative (art. 32 GDPR)
I servizi cloud devono essere progettati e configurati in modo tale che la sicurezza dei dati personali ivi trattati sia adeguata al rischio per gli interessati , garantita in ogni momento e nella massima misura possibile. Ciò può essere fatto da un lato con misure organizzative e dall’altro con misure tecniche. Quando si scelgono misure adeguate, non solo lo stato dell’arte , i costi di implementazione , il tipo , l’ ambito , le circostanze e le finalità del trattamento dei dati pianificato dovrebbero essere presi in considerazione, ma anche la diversa probabilità di accadimento e la gravità del rischio per le persone colpite. Sia la persona responsabile ai sensi della legge sulla protezione dei dati che il responsabile del trattamento, in questo caso il fornitore di servizi cloud, sono obbligati a farlo.
Per quanto riguarda i servizi cloud, tali misure idonee possono includere, ad esempio:
- la pseudonimizzazione e la crittografia dei dati prima che vengano elaborati nel cloud,
- un trasferimento di dati crittografato al cloud (ad es. tramite VPN),
- la capacità del fornitore di garantire la riservatezza, l’integrità, la disponibilità e la resilienza del servizio cloud o dei dati trattati in esso a lungo termine,
- la capacità del fornitore di ripristinare rapidamente la disponibilità dei dati e di accedervi in caso di incidente fisico o tecnico,
- un controllo accessi e autorizzazioni ottimizzato (IAM) per l’accesso / accesso ai dati nel cloud,
- una gestione delle password ottimizzata,
- la corretta configurazione delle impostazioni rilevanti per la sicurezza,
- registrazione e monitoraggio della sicurezza ottimizzati,
- una procedura per il riesame, la valutazione e la valutazione periodica dell’efficacia di tali misure,
- Eccetera.
Altre considerazioni che nascono da un punto di vista tecnico e organizzativo nella selezione e configurazione di un determinato servizio cloud sono la progettazione specifica della licenza e del contratto di servizio , la scelta dell’ubicazione del server , gli aspetti del trasferimento internazionale dei dati (vedi punto 5) 1 ecc.
Nota: l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha pubblicato una guida alla sicurezza del cloud per le piccole e medie imprese. La linea guida spiega sia le opportunità che i rischi rilevanti per la sicurezza e suggerisce le possibili misure per ridurre i rischi.
Cloud_Security_Guide_for_SMEs (1)1 Esistono anche aree del diritto che prevedono il trattamento e l’archiviazione dei dati esclusivamente in Germania, ad esempio l’articolo 27 let. d Legge sul dovere di diligenza. In ogni caso, qui deve essere evitato il trasferimento internazionale dei dati tramite cloud con un server situato all’estero.
4. Valutazione d’impatto sulla protezione dei dati (art. 35 GDPR)
Se è probabile che il trattamento dei dati personali in un servizio cloud comporti un rischio elevato per gli interessati a causa del tipo , della portata , delle circostanze e delle finalità del trattamento , deve essere eseguita prima una valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 GDPR.
Ciò vale anche se, ad esempio, categorie speciali di dati personali ai sensi dell’articolo 9 GDPR o quelle relative a condanne penali e reati ai sensi dell’articolo 10 GDPR devono essere elaborate in larga misura nel cloud.
5. Trasferimento internazionale dei dati (art. 44 ss. GDPR)
Se il server su cui è in esecuzione il servizio cloud selezionato si trova in uno stato membro dell’UE / SEE, il trasferimento dei dati lì è in gran parte senza problemi. Tuttavia, se si trova in un paese terzo al di fuori dell’area UE / SEE, devono essere osservate anche le regole di cui all’articolo 44 e seguenti GDPR.
In un paese terzo per il quale la Commissione UE ha emesso una decisione di adeguatezza ai sensi dell’articolo 45 del GDPR (ad esempio la Svizzera), il trasferimento dei dati è in gran parte innocuo. Per tutti gli altri casi, devono essere assicurate adeguate garanzie ai sensi dell’articolo 46 f. GDPR per garantire un livello di protezione dei dati equivalente alle norme applicabili in questo paese. In ogni caso, gli interessati devono essere preventivamente informati del conferimento dei dati e della relativa decisione di adeguatezza o delle garanzie idonee prescelte .
Nota: con la sentenza della Corte di giustizia europea Schrems II del 16 luglio 2020, la decisione di adeguatezza con gli Stati Uniti, lo scudo per la privacy UE-USA, è stata dichiarata non valida. Un trasferimento di dati negli Stati Uniti non è quindi più facilmente possibile, cosa che dovrebbe essere presa in considerazione quando si sceglie la posizione del server, soprattutto da fornitori americani.
Trasferimento internazionale dei dati
I dati personali non sono solo all’interno dell’area UE / SEE, ma anche di paesi terzi o organizzazioni internazionali 1vengono trasmessi, si applicano regole severe in conformità con il Regolamento generale sulla protezione dei dati (GDPR).
Solo in questo modo l’elevato livello di protezione non può essere effettivamente minato trasferendo i dati in un paese terzo non soggetto al GDPR. Pertanto, i dati personali possono essere trasmessi a un destinatario in un paese terzo solo se – oltre al rispetto di tutte le altre disposizioni del GDPR – il paese terzo o lo stesso destinatario garantisce un livello di protezione dei dati comparabile a quello dell’UE / Area SEE (art. 44 GDPR).
Per garantire ciò, sono richiesti un certificato di adeguatezza della Commissione UE (“paesi terzi sicuri”) o altre garanzie adeguate per la protezione dei dati e i diritti delle persone interessate (altri “paesi terzi non sicuri”). Gli strumenti di questo tipo più famosi sono:
- Decisione di adeguatezza della Commissione UE (art. 45 GDPR )
- Scudo UE-USA per la privacy (un m 07/16/2020 spiegato dalla Corte di giustizia come non valido)
- Clausole standard sulla protezione dei dati dell’UE (art. 46 GDPR )
- Regole vincolanti d’impresa (BCR) (art. 47 GDPR )
Inoltre, l’art. 46 GDPR elenca altre garanzie adeguate (es. Regole di condotta approvate, certificazioni), che, tuttavia, sono diventate finora meno importanti nella pratica.
Infine, il GDPR riconosce alcune eccezioni per alcuni casi di trasferimento di dati a paesi terzi se non esistono né una decisione di adeguatezza né altre garanzie adeguate. Ad esempio, un trasferimento limitato a un caso individuale può comunque avvenire in determinate circostanze e condizioni, ad esempio se l’interessato ha prestato il consenso, se è necessario per l’esecuzione di un contratto, se esiste un interesse pubblico importante o se è necessario far valere diritti legali (art. 49 GDPR).
Le disposizioni del GDPR per i trasferimenti di dati verso paesi terzi si applicano ad ogni trasferimento di dati personali, indipendentemente dal fatto che sia effettuato da un titolare del trattamento o da un incaricato del trattamento, dal fatto che il destinatario sia un ente statale o privato e indipendentemente dal fatto che trasmissione effettiva o solo divulgazione dei dati tramite diritti di accesso, e le regole si applicano anche a qualsiasi ulteriore trasferimento di dati personali da parte del destinatario a un altro paese terzo.