La gestione dei dati personali sul lavoro si moltiplica e si complica per mano della tecnologia, lasciando al titolare del trattamento la responsabilità di valutare l’adeguatezza delle soluzioni tecnologiche adottate rispetto ai requisiti del GDPR. Questo può richiedere competenze specialistiche, a meno che i fornitori di servizi non scelgano di rendere la conformità al GDPR un loro requisito, come nel caso dei cloud provider europei che hanno proposto il Codice di condotta CISPE.
Cloud Infrastructure Services Providers in Europe
Una trentina di compagnie europee che forniscono servizi in cloud ( archiviazione, applicazioni, infrastruttura o piattaforma) si sono riunite in un’associazione senza fini di lucro con l’obiettivo di promuovere la comprensione, la conoscenza e l’utilizzo dei servizi in cloud, fondando così CISPE (Cloud Infrastructure Services Providers in Europe).
Tra le iniziative dell’associazione, la definizione di un codice di condotta che consenta ai provider di dimostrare la conformità ai requisiti del GDPR, e ai loro clienti di essere sereni rispetto alla sicurezza dei dati nel momento in cui li dovessero scegliere come fornitori.
Il Codice di condotta CISPE
Il 20 maggio scorso (2021) l’European Data Protection Board (EDPB), che comprende le Autorità europee per la protezione dei dati (ex. per l’Italia, il Garante per la protezione dei dati personali), ha espresso un parere favorevole rispetto al Codice di condotta CISPE.
Il Codice di condotta fornisce ai cloud provider metodi approvati dai soggetti controllori per dimostrare che le proprie procedure di gestione e conservazione dei dati sono conformi ai requisiti del GDPR. L’altra faccia della medaglia è che i clienti, scegliendo i provider che si dichiarano rispettosi del Codice di condotta CISPE, hanno garanzia di utilizzare infrastrutture cloud strettamente conformi alla normativa in materia di sicurezza dei dati.
I provider che dichiarano di rispettare il Codice di condotta CISPE, per esempio, garantiscono di accedere o utilizzare i dati del cliente solo per mantenere o fornire il servizio e non per scopi commerciali o pubblicitari, e che il trattamento dei dati avviene esclusivamente all’interno dell’Unione Europea.
Il rispetto del Codice di condotta non è autocertificato ma deriva dalla verifica effettuata da personale indipendente, accreditato dalle Autorità europee per la protezione dei dati.
Quindi, nella scelta di un cloud provider, puoi verificare se espone il marchio CISPE per valutare preventivamente in modo rapido la sua adeguatezza come tuo fornitore.