EU Cloud Code of Conduct

Privacy, il primo codice di condotta transnazionale è sul cloud: perché è importante

EU Cloud Code of Conduct è il primo codice di condotta transnazionale come previsto dal Gdpr. Sono strumenti utili, offrendo agli operatori un sistema consolidato e certificato che permetta di comprovare gli sforzi nella tutela dei dati personali

27 Mag 2021
Anna Cataleta

Avvocato, Senior Partner P4I

Andrea Grillo

Senior Legal Consultant – Partners4Innvovation

Risultati immagini per cloud security threat

Il 20 maggio è stato approvato dall’EDPB il primo codice di condotta transnazionale ai sensi degli artt. 40 e 41 GDPR. L’EU Cloud Code of Conduct (Eu Cloud CoC) rappresenta il primo codice di condotta avente un carattere ed un’applicazione – volontaria – che prescinde dai confini nazionali.

Il primo codice di condotta transnazionale: sul cloud

Il codice di condotta, redatto e promosso dall’Autorità privacy belga, ha lo scopo di aiutare i buyer IT nell’individuare servizi cloud che offrano adeguate garanzie in termini di sicurezza e, quindi, promuovere l’adozione di servizi o piattaforme fornite da cloud provider che si uniformano a queste “best practices” riconosciute da parte delle principali istituzioni comunitarie.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Codici di condotta, post GDPR: contenuti e benefici di questi strumenti di auto-regolamentazione

Seguendo la procedura descritta dall’art. 64 del GDPR, l’European Data Protection Board (EDPB) nella seduta plenaria di giovedì scorso ha espresso un parere positivo sul progetto di codice di condotta presentato dall’autorità belga, così dando il proprio nulla osta all’applicazione transnazionale del Codice. Il presidente dell’EDPB, Andrea Jelinek, ha dichiarato: “Accogliamo con favore gli sforzi compiuti per elaborare codici di condotta, i quali sono strumenti pratici, trasparenti e potenzialmente “cost-effective”, volti a garantire una maggiore coerenza all’interno di un determinato settore e promuovere la compliance nella protezione dei dati personali”.

 Che dice il primo codice sul cloud: obblighi, requisiti

Il Codice copre tutte le categorie di offerte cloud – SaaS, IaaS, PaaS – e presenta una serie di requisiti e caratteristiche che i fornitori di servizi cloud devono soddisfare per dimostrare la loro capacità di conformarsi al GDPR. I Cloud Service Provider aderenti dovranno, ad esempio, dotarsi di un Information Security Management System secondo i canoni già previsti dalla normativa ISO 27001/27002 o di solidi sistemi di crittografia. Nell’EU Cloud CoC è presente una sezione sulla governance che disciplina le modalità di adesione, attuazione e controllo nell’applicazione del Codice.

Nel Codice è ben specificato che l’adesione al Codice non esime il Cloud Service Provider – o il fruitore – dal porre in essere gli adempimenti necessari per risultare compliant con il GDPR. Il Codice precisa, infatti, che sarà in ogni caso necessario sottoscrivere un contratto o una nomina a responsabile del trattamento (art. 28 GDPR) tra il CSP e il fruitore del servizio cloud, nel quale vengono compiutamente disciplinati gli oneri delle parti, ivi incluse le misure di sicurezza. Nelle parti iniziali del Codice si legge infatti: “The Customer remains responsible for complying with its obligations and duties under GDPR. Notably, the Customer remains responsible for verifying whether the CSP Cloud Services comply with the Customer’s obligations under the GDPR, especially noting Customer’s own compliance requirements”.

Il codice di Condotta specifica poi che l’adesione al CoC non si presta quale condizione per il trasferimento dei dati personali verso un Paese extra-UE. Anche in questo caso sarà necessario prevedere gli adempimenti “canonici” per poter trasferire i dati personali in un Paese extra-UE, attenendosi ai dettami del Regolamento (artt. 45 e ss.) ed alle recenti indicazioni dell’EDPB e della Corte di Giustizia UE.

L’EU Cloud CoC, in armonia con quanto previsto dall’art 28 GDPR, riconosce e garantisce un diritto di audit per il Consumatore, al quale il Cloud Service Provider è tenuto a fornire l’accesso – anche attraverso ispezioni – a tutte le informazioni necessarie per dimostrare la conformità con i requisiti normativi. In virtù del riparto di responsabilità previsto dal GDPR, il CSP dovrà cooperare in buona fede con il Consumatore affinché questo rispetti, in particolare, gli obblighi previsti dal Capo IV del GDPR.

L’EU Cloud CoC prevede l’obbligo per i Cloud Provider aderenti di nominare un punto di contatto privacy, nei casi in cui non sia stato nominato un Data Protection Officer (DPO). Il Point of Contact o il DPO, i quali possono entrambi essere una persona fisica o un team, dovranno essere disponibili per tutto il periodo di aderenza al CoC del CSP.

Il codice prevede al suo interno un organismo di monitoraggio indipendente, individuato nell’organizzazione Scope Europe, volto a garantire e vigilare sulla conformità dei soggetti aderenti a quanto statuito nel codice. L’organismo di monitoraggio è un organo previsto dal GDPR e che deve svolgere le sue funzioni in un regime di terzietà e trasparenza. Questo è chiamato a verificare i requisiti dei soggetti aderenti al codice mediante un assessment iniziale, delle valutazioni a cadenza annuale e delle verifiche ispettive. All’Organismo di Monitoraggio è altresì possibile presentare un reclamo, nel caso in cui si ravvedano delle irregolarità da parte dei soggetti aderenti.

L’importanza dei codici di condotta ex GDPR

I codici di condotta previsti dall’art. 40 del GDPR si prestano ad essere un utile strumento di ermeneutica ed armonizzazione normativa, offrendo agli operatori un sistema consolidato e certificato che permetta di comprovare gli sforzi nella tutela dei dati personali.

In un’architettura normativa imperniata sul principio di accountability, i Codici di Condotta rappresentano uno strumento di regolamentazione fondamentale, grazie ai quali è possibile dimostrare il rispetto degli obblighi della normativa e degli standard di sicurezza nel trattamento dei dati personali da parte dei Titolari e dei fornitori di cui essi si avvalgono (nel caso di specie, i Cloud Service Provider).

Molti importantissimi Cloud Provider, già impegnati come promotori del Codice stesso, hanno dichiarato di essere pronti ad uniformarsi ai principi ed ai dettami del Codice. Tra questi veri e propri “Over The Top” quali Microsoft, Oracle, IBM e Alibaba.

“Questo è un momento molto importante, perché è il primo strumento in Europa che non solo può dimostrare la conformità, ma anche fornire una prova di tale conformità per utenti e fornitori di cloud in tutta Europa. È anche molto importante perché è la prima volta che un organismo di controllo indipendente viene accreditato: è assolutamente unico. La combinazione di questi due fattori rende il Cloud Code of Conduct uno strumento unico e robusto per tutti gli utenti e fornitori di cloud in Europa“, ha dichiarato Agnieszka Bruyere, vice presidente di IBM Cloud EMEA.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 3