Codice di Condotta in materia di trattamento dei dati personali in cloud computing ISO/IEC 27018

Il Codice di Condotta ISO/IEC 27018 riguarda il trattamento dei dati personali in cloud computing.

Si basa sullo standard ISO/IEC 27002 relativo alla sicurezza delle informazioni e fornisce indicazioni per l'implementazione dei controlli ISO/IEC 27002 che si applicano alle informazioni di carattere personale (Personally Identifiable Information o PII) nel cloud.

Il Codice prevede una serie di controlli aggiuntivi e di indicazioni, finalizzate al soddisfacimento dei requisiti relativi alle informazioni di carattere personale nel cloud, non previsti dal gruppo di controlli dello standard ISO/IEC 27002 esistente.

Il Codice si concentra su una serie di principi fondamentali per il trattamento dei dati personali, tra cui trasparenza, consenso, controllo dell'utente, sicurezza, integrità dei dati e responsabilità. Sono presenti, inoltre, indicazioni dettagliate sulla gestione dei dati personali, includendo aspetti come la conservazione dei dati, la crittografia, il trasferimento dei dati, la notifica delle violazioni e la cooperazione con le autorità competenti.

L'obiettivo principale del Codice di Condotta ISO/IEC 27018 adottato da AVVALE è quello di garantire che i dati personali degli utenti siano trattati in modo sicuro e rispettoso della loro privacy, anche quando vengono archiviati e elaborati in ambienti cloud. Ciò contribuisce a promuovere la fiducia dei propri utenti nei servizi cloud e garantendo che i servizi erogati da AVVALE rispettino gli standard più elevati in materia di protezione dei dati personali.

L’adozione di questo Codice documenta che AVVALE dispone di un sistema di controlli rivolto specificatamente a proteggere la privacy dei contenuti affidati dai clienti. La conformità di AVVALE a questo codice di condotta riconosciuto a livello internazionale, comprovata da una valutazione indipendente di terze parti, dimostra l'impegno nei confronti della privacy e della protezione dei contenuti dei clienti.

In particolare gli aspetti principali che il Codice di Condotta ISO/IEC 27018 adottato affronta sono:

Trasparenza e Controllo dell'Utente: Il codice sottolinea l'importanza della trasparenza da parte dei fornitori di servizi cloud riguardo alle pratiche di trattamento dei dati personali. Questo include fornire informazioni chiare e complete agli utenti su come vengono raccolti, utilizzati e archiviati i loro dati personali. Inoltre, va garantito agli utenti un adeguato controllo sui propri dati, consentendo loro di accedere, correggere o cancellare le proprie informazioni personali.

Sicurezza dei Dati: Il codice richiede ai fornitori di adottare misure di sicurezza adeguate per proteggere i dati personali dagli accessi non autorizzati, dalla divulgazione, dalla modifica o dalla distruzione. Questo può includere l'implementazione di controlli tecnici e organizzativi come la crittografia dei dati, l'accesso basato su ruoli e la gestione delle chiavi di crittografia.

Integrità dei Dati e Conservazione: I fornitori di servizi cloud devono garantire l'integrità dei dati personali degli utenti durante tutto il ciclo di vita dei dati, dalla raccolta alla conservazione e alla distruzione. Ciò implica adottare procedure e controlli per prevenire la perdita o la corruzione dei dati, nonché garantire che i dati personali siano conservati solo per il tempo necessario e in conformità alle leggi applicabili sulla privacy.

Trasferimento dei Dati: Il codice fornisce linee guida per il trasferimento sicuro dei dati personali tra giurisdizioni, assicurando che tale trasferimento avvenga in conformità alle leggi sulla privacy e che vengano adottate misure aggiuntive di sicurezza quando necessario.

Notifica delle Violazioni: I fornitori di servizi cloud sono tenuti a notificare tempestivamente gli utenti in caso di violazioni della sicurezza che potrebbero compromettere i loro dati personali. Questo consente agli utenti di adottare misure adeguate per proteggere le proprie informazioni e può includere anche la notifica alle autorità competenti secondo le normative locali.

Cooperazione con le Autorità Competenti: Il codice sottolinea l'importanza della cooperazione tra i fornitori di servizi cloud e le autorità competenti nel contesto di indagini su violazioni della privacy o altre questioni legate al trattamento dei dati personali.