GDPR - Le risposte alle tue domande

RGPD (più comunemente noto come GDPR, dall’acronimo inglese) significa letteralmente Regolamento Generale sulla Protezione dei Dati.

Il concetto di GDPR fa riferimento al Regolamento n°2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento Generale sulla Protezione dei Dati personali).

Esistono diversi testi che regolano la protezione dei dati personali, di portata generale o più specifici.

• A livello internazionale: Convenzione 108 sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali, un trattato vincolante a cui possono aderire anche Stati non membri del Consiglio d'Europa.
• A livello europeo: Regolamento (UE) 2016/79, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR); Direttiva (UE) 2016/680, relativa alla protezione delle persone fisiche con riferimento al trattamento dei dati da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
• A livello nazionale: molti Paesi hanno adottato regolamenti nazionali relativi alla protezione dei dati personali, come ad esempio tutti i Paesi membri dell’Unione Europea.

In base all'articolo n° 4 del GDPR, si considera un dato a carattere personale "(...)qualsiasi informazione riguardante una persona fisica identificata o identificabile (...) direttamente o indirettamente (...)"

In altre parole, un dato personale è un dato o un insieme di dati che consentono di identificare un individuo, con qualsiasi mezzo.

Un dato è indirettamente identificabile, quando la sua semplice lettura non permette a priori di identificare un individuo, ma la cui ricerca complementare lo consente. È il caso, ad esempio, di un indirizzo email.

Sì, ma in una certa misura. Uno degli obblighi di un responsabile del trattamento dei dati è la selezione degli incaricati del trattamento che possano offrire le garanzie sufficienti affinché i dati personali vengano trattati in conformità ai regolamenti.
In altre parole, le garanzie offerte da OVH nel suo ruolo di incaricato del trattamento dei dati consentono ai propri di adempiere ad alcuni dei loro obblighi normativi. Tra queste garanzie vi sono in particolare le nostre misure di sicurezza, gli impegni presi in termini di localizzazione del trattamento dei tuoi dati, ecc...

Gli obblighi di un responsabile del trattamento dei dati non si limitano tuttavia alla selezione di un provider adeguato, ma vanno ben oltre il raggio d’intervento di OVH in qualità di incaricato del trattamento dei dati. In qualità di responsabile del trattamento, non è possibile rivendicare la piena conformità al GDPR limitandosi alla selezione di un incaricato del trattamento. È infatti necessario rispettare i propri obblighi, come il rispetto dei diritti delle persone o la conduzione di valutazioni di impatto sulla privacy.

Nel ruolo di fornitore di servizi Cloud, OVH si colloca in una posizione di incaricato del trattamento dei dati. A tale scopo, OVH si impegna a:

1. Non riutilizzare i dati ospitati sui propri servizi: OVH si impegna a trattare i dati personali del cliente per garantire la corretta esecuzione dei servizi offerti, soltanto secondo le sue istruzioni.
2. Consentire la reversibilità dei tuoi dati: in OVH, il 100% dei servizi Cloud si basa in gran parte su tecnologie open source. È possibile recuperare facilmente i propri dati grazie alla reversibilità e l’interoperabilità.
3. Indicare con precisione dove sono archiviati e trattati i tuoi dati.
4. Garantire una totale trasparenza nell’ambito del ricorso a incaricati del trattamento dei dati.
5. Inviare una notifica in caso di violazione dei tuoi dati.
6. Creare una documentazione completa su tutti i servizi: OVH si impegna a comunicare ai propri clienti tutte le informazioni necessarie, come la descrizione delle misure di sicurezza applicate ai tuoi servizi, un certificato di localizzazione dello storage dei tuoi dati, ecc...
7. Garantire i propri obblighi a livello contrattuale: gli impegni presi da OVH non sono solo belle promesse. Sono consultabili all’interno nel DPA (Data Processing Agreement), un documento allegato ai nostri contratti e disponibile su richiesta per tutti i nostri clienti.

Quando selezioni un servizio che permette di archiviare contenuti e, soprattutto, dati personali, la localizzazione o la zona geografica dei datacenter sono visibili sul nostro sito Internet. Se sono disponibili più localizzazioni o zone geografiche, è possibile effettuare una scelta al momento dell’ordine.

Tuttavia lo «storage dei dati» non è sinonimo di «trattamento dei dati.» Il GDPR stabilisce infatti regole applicabili in materia di «trattamento» e non di semplice «storage». È pertanto opportuno essere particolarmente cauti nell’utilizzo di questi due termini.

Nel selezionare un luogo di archiviazione nell’Unione Europea, OVH ti garantisce di non trattare le tue informazioni al di fuori dell’UE o di qualsiasi altro Paese riconosciuto dalla Commissione Europea, poiché dispone di un livello sufficiente di protezione dei dati sensibili (es. tutela della vita privata, delle libertà e dei diritti fondamentali delle persone, cosi come nei confronti dell’esercizio dei diritti corrispondenti [decisione di adeguatezza]). Inoltre ci impegniamo a non trattare mai i tuoi dati negli Stati Uniti.

OVH si impegna a trattare i dati personali del cliente per garantire la corretta esecuzione dei servizi offerti, soltanto secondo sue indicazioni.

I dati ospitati dai clienti nell’ambito dei nostri servizi restano di loro proprietà.

OVH vieta ogni tipo di rivendita di dati e ogni utilizzo a fini commerciali (es. profiling o di direct marketing).

Affinché gli impegni di OVH consentano di rispettare i tuoi obblighi, questi devono essere compresi in un contratto o in un altro atto legale che preveda il nostro impegno nei tuoi confronti.

OVH ti assicura questa opponibilità per due motivi:

• Le Condizioni Generali di Servizio che regolano l'utilizzo di tutti i servizi OVH includono clausole sulla protezione dei dati personali;
• Su richiesta, OVH mette a disposizione uno specifico emendamento al tuo contratto da firmare, denominato Data Processing Agreement (DPA). Quest'ultimo è interamente dedicato alle garanzie offerte da OVH nell’ambito del trattamento dei dati personali.