Introduzione

La DPIA è un processo documentato eseguito da un titolare del trattamento dei dati il cui scopo è descrivere, valutare e gestire i rischi per la privacy o la protezione dei dati di un progetto e dimostrare la conformità agli obblighi in materia di privacy o protezione dei dati. In questo contesto, il termine "progetto" può riferirsi, ad esempio, a un outsourcing da parte di un'organizzazione che prevede l'uso di Google Workspace o di Google Workspace for Education per supportare l'insegnamento, l'apprendimento e la collaborazione.

Le organizzazioni potrebbero essere tenute a completare una DPIA in relazione ai dati personali che trattano in qualità di "titolari". Questo termine, come definito nel GDPR, descrive essenzialmente un'organizzazione che determina autonomamente come e per quali scopi saranno trattati i dati personali. Siamo consapevoli che alcuni dei nostri clienti potrebbero essere loro stessi responsabili del trattamento dei dati, agendo per conto di altri. Tuttavia, questo Centro risorse è destinato principalmente alle organizzazioni che utilizzano i Servizi Cloud in qualità di titolari del trattamento dei dati. 

La DPIA deve descrivere:

• Come e perché l'organizzazione tratterà i dati personali e un'indicazione dei fondamenti giuridici ai sensi del GDPR per questo trattamento.

• La valutazione della necessità e della proporzionalità del trattamento (perché l'organizzazione deve trattare i dati personali per raggiungere lo scopo prefisso). Questo comprende i responsabili del trattamento dei dati, come Google, impiegati a supporto del trattamento.

• Eventuali rischi potenziali identificati e le misure che saranno adottate per affrontarli e mitigarli. La DPIA può essere un modo efficace per valutare e dimostrare la conformità del progetto ai principi vigenti in materia di protezione dei dati. 

All'avvio di un nuovo progetto che prevede il trattamento di dati personali, è importante decidere in anticipo se la tua organizzazione ha bisogno di una DPIA e acquisire familiarità con il processo. Una DPIA anticipata può anche aiutare a identificare meglio le eventuali modifiche da apportare a un progetto. Se si ritiene che sia necessaria una DPIA, il GDPR impone di completarla prima dell'inizio del trattamento dei dati personali. Consultare la sezione È necessaria una DPIA?.

Inoltre, una DPIA deve essere rivista periodicamente. In caso di modifiche significative nelle modalità di trattamento dei dati personali (ad esempio, se si decide di utilizzare i Servizi Cloud per nuovi carichi di lavoro o di elaborare set di dati differenti), è necessario rivalutare i rischi e determinare se possono essere necessarie misure aggiuntive per risolverli.

Se la tua organizzazione è titolare del trattamento dei dati soggetta al GDPR, deve stabilire se è necessaria una DPIA e in tal caso prepararla. 

Se presente all'interno dell'organizzazione, durante l'esecuzione di una DPIA è importante chiedere l'opinione del responsabile della protezione dei dati (RPD). Inoltre, può essere opportuno coinvolgere altri team o persone dell'organizzazione con competenze ed esperienze utili per supportare la procedura (ad esempio team IT, responsabili della conformità o ufficio legale).

Una DPIA può essere completata internamente o assegnata a un consulente esterno, ma la responsabilità rimane dell'organizzazione.

Se la tua organizzazione è titolare del trattamento dei dati soggetta al GDPR, dovrà eseguire una DPIA se il trattamento dei dati personali coinvolto nel progetto può comportare un "rischio elevato" per i diritti e le libertà dei privati. Alcuni tipi di trattamento sono sempre considerati "a rischio elevato" e richiedono sempre una DPIA ai sensi del GDPR. Per altri tipi di trattamento, la tua organizzazione dovrà effettuare una valutazione obiettiva dei rischi coinvolti. 

Il Comitato europeo per la Protezione dei Dati ha individuato l'utilizzo delle nuove tecnologie come uno dei fattori che possono indicare un "rischio elevato" ai sensi del GDPR e ha pubblicato indicazioni secondo cui molte operazioni di trattamento dei dati del settore pubblico che fanno affidamento sui Servizi Cloud possono necessitare di una DPIA.

Per ulteriori informazioni, consultare la sezione "Come è possibile decidere se il trattamento soddisfa l'attivatore di una DPIA?" di seguito.

Le informazioni riportate di seguito possono essere utili durante una valutazione iniziale dell'eventuale necessità da parte della tua organizzazione di condurre una DPIA. Tuttavia, consigliamo di consultare comunque le indicazioni fornite dall'autorità competente per la protezione dei dati personali del proprio paese e di richiedere una consulenza legale indipendente.  

Se la tua organizzazione agisce solo in qualità di responsabile del trattamento dei dati soggetta al GDPR, il GDPR non richiede che la tua organizzazione completi una DPIA, anche se può essere comunque un esercizio utile per la conformità. 

Se si applica il GDPR, alcune attività di trattamento richiedono sempre una DPIA. Ciò si verifica quando il progetto prevede uno dei seguenti elementi:

• Trattamento automatizzato dei dati personali che comporta una valutazione sistematica ed esaustiva degli aspetti personali delle persone (inclusa la loro eventuale profilazione), ove questo trattamento consenta di prendere decisioni che producono effetti legali (o di analoga pertinenza) su queste persone.

Ad esempio, probabilmente sarà necessaria una DPIA ai sensi del GDPR se la tua organizzazione utilizza i Servizi Cloud per analizzare in modo automatizzato (ad es. senza intervento umano) i dati personali relativi ai dipendenti (ad esempio le prestazioni lavorative) e ciò può influire sulle condizioni di impiego o retributive individuali.

• Trattamento su larga scala di categorie speciali di dati o di dati relativi a condanne o reati. .

Ad esempio, probabilmente sarà necessaria una DPIA ai sensi del GDPR se la tua organizzazione utilizza lo spazio di archiviazione sul cloud per archiviare grandi set di dati relativi alla salute delle persone, come cartelle cliniche o risultati di test clinici.

• Monitoraggio sistematico di aree accessibili al pubblico su larga scala. In questo contesto, per area accessibile al pubblico si intende qualsiasi area aperta a qualsiasi membro del pubblico.

Ad esempio, probabilmente sarà necessaria una DPIA ai sensi del GDPR se l'organizzazione intende integrare il proprio sistema TVCC con i Servizi Cloud, come l'archiviazione sul cloud di filmati TVCC dei propri uffici.

Nota: ogni autorità europea competente per la protezione dei dati ha definito altri tipi di trattamento che richiedono sempre una DPIA ai sensi del GDPR. Pertanto, è necessario consultare i requisiti aggiuntivi nel proprio Paese. 

Il trattamento descritto nella sezione precedente necessiterà sempre di una DPIA se si applica il GDPR. Tuttavia, anche se il trattamento della tua organizzazione non rientra in queste categorie, devi comunque decidere se può comportare un "rischio elevato" per i diritti e le libertà dei privati ai sensi del GDPR.

Se il GDPR è applicabile, per prendere questa decisione è necessario valutare oggettivamente i rischi presenti nel trattamento della tua organizzazione. La valutazione deve tenere conto della natura, dell'ambito, del contesto e degli scopi del trattamento. In altre parole, per cosa e perché vengono trattati i dati personali, nonché tutte le relative circostanze. 

Il GDPR prevede che una DPIA sia richiesta con maggiore probabilità nei casi in cui il trattamento comprende l'uso di nuove tecnologie. Ciò non significa necessariamente che ogni trattamento che impiega nuove tecnologie richieda una DPIA per impostazione predefinita. Tuttavia, se l'organizzazione utilizza tecnologie innovative o nuove applicazioni di tecnologie esistenti, questo utilizzo deve essere considerato come parte della valutazione. Consigliamo ai clienti dei Servizi Cloud di prestare particolare attenzione al ruolo che la tecnologia di Google Cloud svolge nel loro trattamento durante la preparazione della valutazione del rischio.

Il Comitato europeo per la protezione dei Dati (EDPB) ha rilasciato linee guida che permettono di stabilire se il trattamento può comportare un "rischio elevato" ai sensi del GDPR. Queste linee guida comprendono nove fattori che sono indicatori di un "rischio elevato" quando si applica il GDPR:

1. Il trattamento dei dati implica la profilazione, la valutazione o l'assegnazione di un punteggio alle persone (ad esempio, l'assegnazione di un punteggio ai riferimenti del credito).

2. Vengono prese decisioni automatiche basate sui dati personali con effetti legali o di analoga pertinenza sulle persone (ad esempio il reclutamento o il rifiuto di una richiesta di credito online).

3. Viene eseguito il monitoraggio sistematico delle persone (ad es. tramite un sistema CCTV o il monitoraggio della loro posizione).

4. Vengono trattati dati di categorie speciali o dati personali di natura altamente personale (ad esempio le cartelle cliniche).

5. Vengono trattati dati personali su larga scala. Dal momento che la definizione di "larga scala" non è definita nelle linee guida, la sua valutazione è lasciata all'utente.

6. È possibile abbinare o combinare set di dati differenti (ad esempio, se si dispone di un set di dati separato ottenuto da una terza parte per arricchire un set di dati esistente).

7. Vengono trattati dati relativi a persone vulnerabili (ad esempio minori o pazienti).

8. Vengono applicate nuove soluzioni tecnologiche o organizzative o viene fatto un uso innovativo delle tecnologie (ad es. l'Intelligenza artificiale).

9. Il trattamento impedisce alle persone di esercitare un diritto o di utilizzare un servizio o un contratto (ad esempio il rifiuto di un prestito a una persona).

In genere, se il trattamento della tua organizzazione soddisfa due o più di questi fattori di rischio, probabilmente sarà necessario condurre una DPIA ai sensi del GDPR.

Un altro fattore importante ai fini della decisione consiste nel determinare se l'organizzazione è un ente pubblico o se si occupa del trattamento di dati personali nell'ambito del settore pubblico (ad esempio, enti pubblici, consigli locali o comuni). L'EDPB ha rilasciato indicazioni secondo cui molte operazioni di trattamento del settore pubblico che si basano sui Servizi Cloud possono comportare un "rischio elevato" ai sensi del GDPR, ad esempio a causa della natura sensibile dei dati o della portata del trattamento.

Alcune autorità europee competenti per la protezione dei dati personali hanno sviluppato strumenti di analisi del rischio che aiutano a decidere se è necessaria una DPIA. Pertanto, se si applica il GDPR, consigliamo vivamente di consultare il sito web dell'autorità competente per ulteriori indicazioni.

L'organizzazione titolare del trattamento dei dati deve stabilire se è necessaria una DPIA e in tal caso prepararla. Google non può condurre DPIA per conto dei propri clienti, ma fornisce assistenza mettendo a disposizione informazioni e altre risorse che possono aiutare a completare la DPIA per l'impiego dei Servizi Cloud.

In genere una DPIA consiste in varie fasi fondamentali che vengono discusse in modo più approfondito in questa sezione:

1. Descrizione del trattamento dei dati

2. Valutazione della necessità e della proporzionalità

3. Descrizione dei rischi e della loro gestione

4. Raccolta di input aggiuntivi

5. Documentazione delle conclusioni

Non esiste un formato predefinito per le DPIA. Alcune autorità competenti per la pprotezione dei dati personali hanno pubblicato modelli che è possibile utilizzare; in alternativa è possibile utilizzare i modelli forniti da Google Cloud (consultare l'articolo Come Google supporta la DPIA).

A prescindere dal fatto che si utilizzi un modello o si crei un proprio formato per la DPIA, questa deve includere:

• Come e perché l'organizzazione tratterà i dati personali e un'indicazione dei fondamenti giuridici ai sensi del GDPR (ad esempio, consenso, esecuzione di un contratto o interessi legittimi).

• La valutazione della necessità e della proporzionalità del trattamento (perché è necessario trattare i dati personali per raggiungere lo scopo prefisso).

• Gli eventuali rischi potenziali identificati e le misure che saranno adottate per affrontare e mitigare questi rischi. Questo può essere un modo efficace per valutare e dimostrare la conformità del progetto ai principi vigenti in materia di protezione dei dati.

Inoltre, il monitoraggio regolare delle attività di trattamento dei dati per cui viene condotta la DPIA, nonché l'integrazione di eventuali aggiornamenti necessari, è una parte fondamentale del ciclo di vita generale della DPIA. In caso di modifica sostanziale delle attività di trattamento dei dati, consigliamo di rivedere e aggiornare di conseguenza le parti pertinenti della DPIA.

1. Descrizione del trattamento dei dati

È necessario fornire una descrizione funzionale del trattamento dei dati dell'organizzazione. A tal fine, può essere utile porsi le seguenti domande:

• Quali tipi di dati personali saranno usati nell'ambito del progetto (ad esempio nomi, dati di contatto, dati finanziari, e-mail)?

• A chi appartengono i dati personali (persone note anche come interessati) (ad esempio dipendenti, clienti, studenti)?

• Qual è la fonte dei dati personali? I dati saranno raccolti direttamente dalle persone o tramite una terza parte? 

• Per quali scopi saranno utilizzati i dati? In altre parole, perché vengono trattati?

• Come saranno utilizzati i dati? Come saranno archiviati? Per quanto tempo saranno conservati?

• Chi avrà accesso ai dati personali all'interno dell'organizzazione?

• I dati saranno condivisi con persone esterne all'organizzazione?

Nella descrizione è possibile includere anche un grafico, un diagramma di flusso o altri ausili visivi. 

2. Valutazione della necessità e della proporzionalità 

Necessità e proporzionalità sono principi chiave della legge europea sulla protezione dei dati e possono essere rilevanti per le leggi al di fuori dell'Europa.

Per dimostrare la necessità e la proporzionalità del trattamento, se si applica il GDPR, è necessario mostrare come l'organizzazione intende rispettare i propri obblighi di protezione dei dati ai sensi del GDPR e la valutazione dovrebbe mostrare che si è tenuto conto di:

• Qual è il fondamento giuridico ai sensi dell'articolo 6 del GDPR per il trattamento di questi dati (ad esempio consenso, esecuzione di un contratto, interessi legittimi o altro)? Se si fa affidamento sugli interessi legittimi, è necessario descriverli.

• Il trattamento è necessario per raggiungere lo scopo prefisso? Il trattamento dei dati personali è indispensabile per raggiungere questo scopo?

• Come si garantirà che il trattamento sarà limitato ai dati personali strettamente necessari? È stata considerata l'ipotesi di assegnare pseudonimi o anonimizzare i dati?

• Come sarà comunicato alle persone interessate che ci si accinge a trattare i loro dati personali e come saranno fornite loro le informazioni richieste dal GDPR (ad esempio norme su privacy o notifiche)?

• Gli interessati saranno informati dei diritti che hanno in relazione all'utilizzo dei loro dati personali, ad esempio l'accesso ai dati personali o l'opposizione al loro trattamento? Per ulteriori informazioni sul modo in cui i Servizi Cloud supportano i diritti degli interessati, consultare l'articolo Come Google supporta la DPIA. 

• È stata impostata la durata massima della conservazione dei dati personali? Come sono giustificate e quali misure è possibile adottare per assicurarsi che i dati siano eliminati al momento opportuno?

• Chi sono i responsabili del trattamento dei dati impiegati a supporto del trattamento? Google Cloud sarà uno dei responsabili del trattamento dei dati e ciò deve essere documentato nella DPIA. Per ulteriori informazioni su Google e sui suoi sub-responsabili, consultare l'articolo Come Google supporta la DPIA. 

• Se i dati vengono condivisi con persone (ad esempio società esterne o aziende controllate) con sede al di fuori dello Spazio economico europeo in un paese che non fornisce un livello adeguato di protezione dei dati (come stabilito dalla Commissione europea), quali misure di salvaguardia sono state adottate per proteggere i dati in quei Paesi terzi? Per saperne di più sulle misure di salvaguardia di Google Cloud in merito ai trasferimenti di dati, vedi In che modo Google può aiutarti a rispettare i principi di protezione dei dati? 

• Se il trattamento è conforme a un Codice di condotta approvato da un'autorità competente per la protezione dei dati personali, è necessario tenerne conto. Per informazioni sull'ottemperanza da parte di Google al Codice di condotta dell'UE sul cloud, consultare l'articolo Come Google supporta la DPIA.

3. Descrizione dei rischi e della loro gestione

La DPIA deve identificare i rischi per i diritti e le libertà delle persone che potrebbero presentarsi in seguito al trattamento dei dati della tua organizzazione. 

L'identificazione di questi rischi è una parte fondamentale della DPIA: la valutazione dell'impatto effettivo dell'attività di trattamento dei dati. L’impatto e i rischi possono variare a seconda delle attività dell’organizzazione, della natura dei dati personali e delle persone interessate. 

Esistono molti modi per valutare l’impatto e i rischi relativi alla protezione dei dati e il GDPR non richiede alcun approccio particolare. Alcune autorità europee competenti per la protezione dei dati personali hanno pubblicato materiali e strumenti per aiutare le organizzazioni a eseguire questa valutazione, che possono risultare utili.

Di seguito sono riportati alcuni elementi che probabilmente faranno parte della valutazione.

A) Quali rischi potenziali è necessario prendere in considerazione?

La DPIA deve considerare gli effetti negativi che possono verificarsi come risultato del progetto. Può essere utile inserire le persone di cui saranno trattati i dati personali e valutare le possibili preoccupazioni. 

Gli esempi di potenziali rischi comprendono:

• Uso sorprendente o imprevisto dei dati personali relativi alle persone interessate.

• Perdita di controllo da parte delle persone sui dati personali da parte delle persone interessate.

• Discriminazione o pregiudizio.

• Aumento del rischio di furto d'identità o frodi.

• Intrusione nella vita personale delle persone.

• Perdita di riservatezza.

• Reidentificazione dei dati a cui sono stati assegnati degli pseudonimi.

• Divulgazione di informazioni o dati sensibili relativi a persone vulnerabili (ad esempio minori).

• Raccolta di informazioni imprecise o formulazione di ipotesi imprecise sulla persona.

Nella valutazione, è possibile voler includere anche i rischi dell'organizzazione, come l’eventuale rischio di danni alla reputazione, di azioni normative o di perdita della fiducia del pubblico.

Considerare anche il livello di rischio, tenendo conto sia della probabilità sia della gravità del potenziale danno. Ad esempio, un rischio può essere molto serio ma in pratica molto improbabile, mentre un altro può essere relativamente meno grave ma con un'elevata probabilità che si verifichi. Può essere utile assegnare un punteggio di rischio numerico o utilizzare un approccio a "semaforo" rosso/giallo/verde. 

B) Quali misure è possibile adottare per ridurre i rischi?

Una volta valutato il livello di rischio, occorre identificare le misure da adottare per mitigarli. Ecco alcuni esempi di misure di mitigazione:

• Decidere di non raccogliere alcuni dati personali.

• Assegnare pseudonimi ai dati.

• Ove possibile, escludere persone vulnerabili dal set di dati.

• Implementare misure volte a garantire un livello di sicurezza adeguato al rischio.

• Implementare norme interne sulla gestione dei dati per il personale.

• Formare il personale su come utilizzare i dati personali.

• Adottare misure aggiuntive per informare le persone sul modo in cui l'organizzazione tratterà i loro dati personali.

• Dare alle persone la possibilità di scegliere in che modo potranno essere utilizzati i loro dati personali.

Non è necessario eliminare completamente tutti i rischi. Tuttavia, è necessario essere in grado di ridurre i rischi complessivi a un livello accettabile, in linea con gli obblighi previsti ai sensi del Regolamento generale sulla protezione dei dati (GDPR), se applicabile. Nel valutare i rischi residui, è possibile prendere in considerazione i vantaggi del progetto, compresi i vantaggi per le persone. Se i rischi residui rimangono "elevati", è possibile decidere di interrompere il progetto o di dover consultare l'autorità competente per la protezione dei dati personali prima di procedere.

4. Raccolta di opinioni aggiuntive

Se la tua organizzazione dispone di un responsabile della protezione dei dati (RPD) ed è soggetta al GDPR, il GDPR richiede di chiedere il suo parere al momento di preparare una DPIA. Può essere anche utile parlare con altri stakeholder dell'organizzazione, ad esempio con i team IT o di conformità o con l'ufficio legale. 

A seconda della natura del progetto e dei rischi associati, è possibile anche richiedere l'intervento delle persone di cui si intende trattare i dati. A seconda del progetto e del luogo, queste opinioni possono assumere diverse forme, ad esempio rivolgersi ai dipendenti per rispondere a eventuali domande o dubbi; consultarsi con i rappresentanti dei dipendenti dell'organizzazione (ad es. un comitato o un consiglio aziendale, se presente); o condurre ricerche di mercato per scoprire il punto di vista degli utenti finali (ad es. i clienti nel caso di un'organizzazione di vendita al dettaglio). 

5. Documentazione delle conclusioni

Una volta completata la valutazione, è necessario registrare quanto segue nella DPIA:

• I rischi del trattamento dei dati personali pianificato che sono stati identificati.

• Le misure che saranno adottate per mitigare questi rischi.

• In che misura permangono i rischi residui e qual è il loro livello.

• Se è necessario intraprendere ulteriori azioni, ad esempio consultare l'autorità competente per la protezione dei dati personali.

Se si applica il GDPR e la DPIA conclude che i rischi identificati sono stati sufficientemente mitigati, puoi scegliere di procedere senza consultare l'autorità competente per la protezione dei dati personali della tua organizzazione.

Tuttavia, se si applica il GDPR e la DPIA conclude che (nonostante le mitigazioni del rischio) il trattamento comporta un "rischio elevato", prima di iniziare il trattamento devi consultare l'autorità competente per la protezione dei dati personali oppure puoi decidere di non procedere con il progetto. 

Offriamo due modelli di DPIA: uno per Google Workspace (incluso Google Workspace for Education) e uno per Google Cloud:

• Modello di DPIA per Google Workspace

• Modello di DPIA per Google Cloud

Questi modelli possono essere utili per elaborare, pianificare e condurre una DPIA. Nonostante siano stati concepiti per essere utilizzati in relazione ai Servizi Cloud, non prevedono e non possono prevedere tutti i possibili casi d’uso che i nostri clienti potrebbero avere in relazione ai Servizi Cloud e, come tali, sono generici e devono essere trattati come un punto di partenza suggerito,. Inoltre, le informazioni presenti al loro interno non costituiscono una consulenza legale. È necessario ricordare che il completamento di una DPIA (se richiesta dal GDPR o da altre leggi sulla privacy) è una responsabilità personale del titolare del trattamento dei dati e deve essere specifico per i casi d'uso pianificati per i Servizi Cloud.

Non esiste un formato predefinito per le DPIA ai sensi del GDPR. Alcune autorità europee competenti per la protezione dei dati personali hanno pubblicato modelli di DPIA propri. Si consiglia pertanto di esaminare anche i formati da loro suggeriti.

Per aiutare i nostri clienti a descrivere il trattamento dati pertinente, di seguito puoi trovare alcune informazioni sui Servizi Cloud. Qui è possibile trovare anche link a materiali aggiuntivi sui Servizi Cloud che possono essere utili per completare questa sezione della DPIA.

Quali dati personali deve coprire la DPIA?

La DPIA deve riguardare tutti i dati personali trattati in qualità di titolare e che rientrano nella definizione di "Dati personali del cliente" nel nostro Addendum per il trattamento dei dati Cloud ("ATDC"). 

Come stabilito nell'Appendice 1 dell'ATDC, le categorie di dati personali trattati tramite i Servizi Cloud comprendono tutti i dati relativi a persone forniti a Google, mediante i Servizi Cloud, dal Cliente (o su sua indicazione) o dai suoi utenti finali. 

In pratica, possono essere compresi:

• Dettagli personali, incluse informazioni che identificano la persona interessata e le sue caratteristiche personali, tra cui: nome, indirizzo, dati di contatto, età, data di nascita, sesso e descrizione fisica.

• Dettagli sull'impiego, comprese le informazioni relative all'impiego dell'interessato, tra cui cronologia di impiego e carriera, dettagli su assunzione e cessazione, registri delle presenze, valutazioni delle prestazioni, registri relativi alla formazione e registri di sicurezza.

• Dettagli finanziari, incluse informazioni relative agli affari finanziari dell'interessato, tra cui reddito, stipendio, attività e investimenti, pagamenti, affidabilità creditizia, prestiti, benefit, sussidi, dettagli assicurativi e informazioni pensionistiche.

• Dettagli su titolo di studio e formazione, comprese informazioni relative alla formazione e all'eventuale formazione professionale dell'interessato, inclusi documenti accademici, qualifiche, competenze, dati relativi alla formazione, competenze professionali e registri di studenti e alunni.

• Dettagli personali rilasciati come identificativo da un'autorità pubblica, inclusi i dati del passaporto, il numero di assicurazione nazionale, il numero della carta d'identità e i dati della patente di guida.

• Famiglia, stile di vita e circostanze sociali, comprese eventuali informazioni relative alla famiglia dell'interessato nonché al suo stile di vita e alle circostanze sociali, compresi dettagli della famiglia e di altri membri del nucleo familiare, abitudini, alloggio, dettagli di viaggio, attività ricreative e appartenenza a organizzazioni di beneficenza o di volontariato.

• Qualsiasi altro dato personale controllato dall'organizzazione.

A seconda dell'uso previsto dei Servizi Cloud da parte della tua organizzazione, i dati personali potrebbero includere categorie particolari di dati personali come definite dal GDPR o da altre leggi sulla privacy, ad esempio dati in grado di rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza a sindacati, dati genetici, dati biometrici (se utilizzati a fini di identificazione) o dati riguardanti la salute o la vita o l'orientamento sessuale.

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Oltre al trattamento dei Dati personali del cliente da parte di Google, quando fornisce i Servizi Cloud Google tratta anche i Dati di servizio. Ai sensi dell'Informativa sulla privacy di Google Cloud, il termine Dati di servizio si riferisce alle informazioni personali che Google raccoglie o genera durante la fornitura o l'amministrazione dei Servizi Cloud, esclusi i Dati dei clienti. 

I clienti Google Workspace for Education possono aderire ai termini di contratto di Google (definiti Addendum per i dati del servizio Google Workspace for Education) in base ai quali essi saranno i titolari dei Dati di servizio, indicando Google come responsabile del trattamento dei Dati di servizio, ad eccezione del trattamento limitato dei Dati di servizio che Google continuerà a svolgere in qualità di titolare. Per illustrare l'utilizzo dei Dati di servizio nelle proprie DPIA, i clienti possono voler utilizzare le parti del Centro risorse che hanno lo stesso orientamento di questa sottosezione.

Come è possibile il trattamento necessario per l'utilizzo dei Servizi Cloud?

Quando si descrivono le attività di trattamento, può essere utile leggere la nostra descrizione dei servizi e delle funzionalità disponibili nell'ambito dei Servizi Cloud.

• Google Workspace e Google Workspace for Education sono strumenti di produttività e collaborazione. I servizi sono descritti nel Riepilogo dei servizi di Google Workspace (consultare la versione o lo SKU di interesse). Per saperne di più su questi servizi, visitare questa pagina per Google Workspace e questa pagina per Google Workspace for Education.

• Google Cloud comprende oltre 150 prodotti per il cloud computing, l'analisi dei dati e il machine learning. I servizi disponibili per i clienti Google Cloud sono descritti nel Riepilogo dei servizi Google Cloud. Per saperne di più su questi servizi, visitare questa pagina.

Per maggiore chiarezza, i Servizi Cloud sono separati e distinti dai servizi consumer generali offerti anche da Google, come YouTube e la Ricerca. I Servizi Cloud non condividono Dati dei clienti (inclusi i Dati personali del cliente) con questi servizi consumer per il relativo uso commerciale (ad es. per miglioramento del servizio, pubblicità o addestramento di modelli di AI).

Che cosa significa l'utilizzo dei Servizi Cloud per le finalità di trattamento dei dati?

La DPIA deve descrivere le finalità per cui la tua organizzazione (in qualità di titolare) incarica i responsabili del trattamento di trattare i dati personali per suo conto.

Quando la tua organizzazione utilizza i Servizi Cloud, affida a Google Cloud il trattamento dei Dati personali del cliente per perseguire queste finalità. In particolare, la tua organizzazione (in qualità di titolare) autorizza Google Cloud (in qualità di responsabile) a trattare i Dati personali del cliente in conformità al contratto per i Servizi Cloud (incluso l'ATDC), solo per le seguenti finalità:

• Per fornire, proteggere e monitorare i Servizi Cloud ed eventuali servizi di assistenza tecnica forniti in base al contratto per i Servizi Cloud.

• Come ulteriormente specificato tramite l'utilizzo dei Servizi Cloud ed eventuali servizi di assistenza tecnica pertinenti da parte dell'utente o tramite qualsiasi altra istruzione scritta fornita dall'utente ai sensi dell'ATDC e riconosciuta da Google come tale.

Google rispetterà le tue istruzioni come descritto nell'ATDC in relazione a questo trattamento.

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Per i clienti di Google Workspace for Education che hanno scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education, le istruzioni su Google Cloud (in qualità di responsabile) seguiranno in relazione ai Dati di servizio stabiliti nell'Addendum in questione.

Quali terze parti avranno accesso ai dati personali nei Servizi Cloud?

La DPIA deve indentificare le terze parti con cui saranno condivisi i dati personali:

• Durante l'utilizzo dei Servizi Cloud, i Dati personali del cliente saranno condivisi con la persona giuridica contraente di Google indicata nell'ATDC, la quale sarà responsabile del trattamento dei dati in questione. L'entità corretta può essere verificata qui.

• Google Cloud si avvale di sub-responsabili anche per svolgere attività limitate in relazione ai Servizi Cloud, come i servizi di assistenza tecnica, le operazioni dei data center o la manutenzione dei servizi. Quando si accetta il nostro ATDC, si autorizza la nomina di queste terze parti.

Nota: l'elenco di sub-responsabili (e le informazioni sulle attività che svolgono) per Google Workspace (incluso Google Workspace for Education) qui e per Google Cloud qui.

In caso di impiego di sub-responsabili, Google si impegna a garantire che:

• Ogni sub-responsabile abbia accesso ai Dati dei clienti (inclusi i loro Dati personali) solo nell'ambito delle attività limitate al suo subcontratto, e che ciò avvenga in conformità al contratto sui Servizi Cloud tra Google e il cliente (incluso l'ATDC).

• I sub-responsabili sono soggetti agli obblighi di protezione dei dati descritti nell'ATDC come richiesto dal GDPR o da altre leggi sulla privacy (se applicabile).

• Prima che un nuovo sub-responsabile inizi a trattare i loro Dati (inclusi i loro Dati personali), i nostri clienti ricevono un preavviso che comprende anche il nome e la sede del sub-responsabile, nonché le attività che questi eseguirà.

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Per i clienti di Google Workspace for Education che hanno scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education, i sub-responsabili di Google per i dati personali dei clienti saranno anche sub-responsabili dei Dati di servizio e saranno soggetti a impegni simili per i Dati di servizio stabiliti nell'Addendum in questione.

Dove vengono archiviati e trattati i dati?

Data la natura globale dei nostri Servizi Cloud pubblici, disponiamo di strutture in grado di archiviare e trattare i Dati dei clienti (inclusi i loro Dati personali) in ogni regione (a livello globale).

È possibile trovare ulteriori informazioni sui luoghi in cui Google e i suoi sub-responsabili gestiscono le strutture:

Per Google Workspace (compreso Google Workspace for Education):

• Strutture di Google

• Strutture dei sub-responsabili 

Per Google Cloud:

• Strutture di Google

• Strutture dei sub-responsabili

Ulteriori informazioni sulle infrastrutture (ad esempio hardware e reti) utilizzate per il trattamento dei Dati dei clienti (inclusi i loro Dati personali) sono disponibili nella nostra Panoramica sulla progettazione della sicurezza dell'infrastruttura Google, nonché:

• Per Google Workspace (compreso Google Workspace for Education), nel white paper sulla sicurezza di Google Workspace.

• Per Google Cloud, nella Panoramica sulla sicurezza di Google.

Siamo anche consapevoli che alcuni clienti desiderano disporre di una maggiore scelta e di un maggiore controllo sulla posizione dei propri Dati dei clienti:

• Per Google Cloud: i clienti possono configurare i servizi elencati qui per archiviare i Dati dei clienti at-rest in una o più regioni specifiche, come indicato nella pagina Località cloud. Questo impegno è indicato nella sezione "Posizione dei dati" dei Termini di servizio specifici per Google Cloud. Inoltre, i clienti possono anche configurare una policy dell'organizzazione che vincola la posizione fisica delle nuove risorse per i servizi supportati.

• Per Google Workspace (compreso Google Workspace for Education): i clienti che utilizzano versioni idonee possono scegliere di utilizzare la nostra funzionalità Regioni di dati, la quale consente loro di selezionare una regione di dati (ad es. l'Europa) per archiviare i Dati dei clienti (inclusi i backup) at-rest coperti. Attualmente questa funzionalità si applica ai servizi principali di Google Workspace e ai dati indicati qui (come indicato nella sezione "Regioni di dati" dei Termini di servizio specifici per Google Workspace).

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Per i clienti di Google Workspace for Education che hanno scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education, le informazioni applicabili alle nostre "Strutture dei sub-responsabili" sono consultabili al link pertinente nell'Appendice.

Per quanto tempo Google Cloud conserva i Dati dei clienti?

Tranne ove il cliente li elimini prima, Google Cloud tratterà i Dati dei clienti come segue:

• Per l'intera durata del Periodo di validità dell'ATDC (che terminerà al termine della fornitura dei Servizi Cloud).

• Per un periodo successivo alla fine del Periodo di validità fino all'eliminazione dei dati. Trascorso un periodo di recupero di massimo 30 giorni, Google eliminerà i dati non appena ragionevolmente possibile ed entro un massimo di 180 giorni, come descritto nell'ATDC. Se si desidera conservare i dati anche dopo il termine del Periodo di validità, è possibile chiedere a Google di restituirli prima della fine di questo periodo utilizzando funzionalità integrate come gli strumenti di esportazione dei dati.

I Dati dei clienti possono essere eliminati anche in qualsiasi momento durante il Periodo di validità tramite la funzionalità integrata dei Servizi Cloud utilizzati. Quando si utilizza la funzionalità dei Servizi Cloud per eliminare i Dati dei clienti, Google li elimina non appena ragionevolmente possibile ed entro un massimo di 180 giorni, come descritto nell'ATDC.

Per ulteriori informazioni su conservazione ed eliminazione:

• Per Google Workspace (compreso Google Workspace for Education), consultare gli articoli del nostro Centro assistenza su Eliminare o rimuovere un utente dall'organizzazione e Eliminare l'Account Google dell'organizzazione.

• Per Google Cloud, consultare la pagina Eliminazione dei dati su Google Cloud.

Ricordare la responsabilità delle copie dei dati che è possibile scegliere di archiviare al di fuori dei sistemi di Google o dei suoi sub-responsabili.

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Per i clienti di Google Workspace for Education che hanno scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education, gli impegni di Google sulla conservazione e l'eliminazione in relazione ai Dati di servizio sono indicati nell'Addendum in questione.

Nel valutare la necessità e la proporzionalità del trattamento, la DPIA dovrà verificare vari aspetti della conformità ai principi di protezione dei dati.

Nonostante la responsabilità di dimostrare la conformità resti del titolare, i Servizi Cloud offrono misure di salvaguardia, caratteristiche e funzionalità che possono supportare la valutazione.

In che modo Google può supportare le iniziative di minimizzazione dei dati?

Oltre alle misure tecniche e organizzative che la tua organizzazione ha implementato per garantire che il trattamento sia limitato alla minima quantità di dati personali necessari per raggiungere gli scopi dichiarati, Google Cloud può rendere disponibili alcune funzioni, funzionalità e risorse che possono aiutare a ridurre la quantità di dati personali trattati nei Servizi Cloud. Come esempio è possibile consultare la documentazione di Google Cloud sull'anonimizzazione dei dati sensibili e sull'assegnazione di pseudonimi.

In che modo Google può aiutare a rispettare i diritti dell'interessato?

In qualità di titolare del trattamento dei dati personali, la tua organizzazione è tenuta a informare le persone sui loro diritti in relazione ai loro dati personali (ad esempio i diritti di accesso, cancellazione e portabilità) e di rispondere a eventuali richieste ricevute dalle persone che desiderano esercitarli.

Per aiutare la tua organizzazione a rispettare i propri obblighi, Google consentirà, in conformità alle funzionalità dei Servizi Cloud, di eliminare, accedere, esportare, rettificare o limitare il trattamento dei Dati del cliente (inclusi i Dati personali del cliente).

Se il team di Google dedicato alla protezione dei dati cloud riceve da una persona terza una richiesta riguardante i suoi Dati personali e identifica l'organizzazione dell'utente, Google consiglia a questa persona di inviare la richiesta all'utente stesso. Google comunicherà tempestivamente di aver ricevuto la richiesta e non risponderà senza l'autorizzazione dell'utente. 

Per Google Workspace (compreso Google Workspace for Education), la Guida sulle richieste degli interessati per Google Workspace fornisce ulteriori informazioni su come utilizzare questi servizi per rispondere alle richieste degli interessati.

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Per i clienti di Google Workspace for Education che hanno scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education, Google offre anche gli impegni descritti in questa sezione. per i Dati di servizio che tratta in qualità di responsabile.

Quali salvaguardie sono in atto per i trasferimenti internazionali di dati?

Se si applica il GDPR, sia la tua organizzazione (in qualità di titolare) sia Google (in qualità di responsabile) sono responsabili di garantire che ogni trasferimento di Dati personali dei clienti (e dei Dati di servizio dei clienti di Google Workspace for Education che abbiano scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education) verso i cosiddetti "paesi terzi" al di fuori dello Spazio economico europeo siano conformi ai requisiti del GDPR in materia di trasferimenti di dati. 

Quando questi dati vengono trasferiti agli Stati Uniti o verso gli Stati Uniti soggetti al GDPR, Google si affida attualmente al Data Privacy Framework UE-USA, o "DPF", come soluzione di trasferimento alternativa, come descritto all'indirizzo https://cloud.google.com/terms/alternative-transfer-solution. Il DPF riflette una decisione di adeguatezza della Commissione europea.

Per tutti gli altri trasferimenti di questi dati soggetti al GDPR verso paesi terzi non coperti da decisioni di adeguatezza, ci affidiamo alle clausole contrattuali tipo (SCC) approvate dalla Commissione europea, come descritto nel nostro white paper Google Cloud’s Approach to European Standard Contractual Clauses (Approccio di Google Cloud alle clausole contrattuali tipo europe). 

I nostri impegni contrattuali in merito ai trasferimenti internazionali dei Dati personali del cliente sono definiti nell'ATDC. 

Forniamo anche ulteriori informazioni sulle misure di salvaguardia tecniche, legali e organizzative adottate da Google per proteggere i trasferimenti internazionali di dati quando si applica il GDPR o altre leggi europee sulla protezione dei dati:

• Per Google Workspace (compreso Google Workspace for Education), consultare il nostro white paper Safeguards for International Data Transfers with Google Workspace and Google Workspace for Education (Salvaguardie per i trasferimenti internazionali di dati con Google Workspace e Workspace for Education).

• Per Google Cloud, consultare il nostro white paper Safeguards for International Data Transfers with Google Cloud (Salvaguardie per i trasferimenti internazionali di dati con Google Cloud).

Google opera in conformità a un Codice di condotta approvato?

In relazione ai Servizi Cloud, Google opera ai sensi del Codice di condotta GDPR per il cloud dell'UE. 

Il Codice di condotta per il cloud è un meccanismo che consente ai fornitori di Servizi Cloud di dimostrare come operano per offrire garanzie sufficienti per implementare misure tecniche e organizzative appropriate in qualità di responsabili ai sensi del GDPR. Per scoprire quali servizi Cloud rientrano nell'ambito, vedi qui. 

Il Codice di condotta per il cloud è stato approvato dall'autorità competente per la protezione dei dati personali belga il 20 maggio 2021, sulla base di un parere positivo del Comitato europeo per la protezione dei dati. 

Una volta valutati i rischi del trattamento della tua organizzazione, la DPIA dovrebbe spiegare come si prevede di mitigarli. In genere questo significa dimostrare che la tua organizzazione ha messo in atto misure tecniche e organizzative appropriate per i rischi coinvolti, tra cui misure volte a garantire la sicurezza dei dati.

Quando vengono utilizzati i Servizi Cloud, il trattamento dei Dati dei clienti beneficia di:

• Misure di sicurezza leader del settore implementate e gestite da Google.

• Risorse, funzioni, funzionalità e/o controlli di sicurezza aggiuntivi a disposizione degli utenti dei Servizi Cloud che possono essere utilizzati a loro discrezione.

• Impegni contrattuali di Google in merito a misure tecniche, organizzative e fisiche. 

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Per i clienti di Google Workspace for Education che hanno scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education, è incluso anche un impegno contrattuale equivalente per le misure di sicurezza. per i Dati di servizio che Google tratta in qualità di responsabile. 

Sottoscrivendo l'ATDC, la tua organizzazione riconosce che queste misure offrono un adeguato livello di sicurezza alla luce dei rischi associati al trattamento.

Quali misure di sicurezza adotta Google per i Servizi Cloud?

In qualità di innovatore del cloud, Google comprende le relative questioni di sicurezza. Per noi la sicurezza è una priorità assoluta per le nostre operazioni e i Servizi Cloud sono progettati per offrire una sicurezza migliore rispetto a molti approcci on-premise.

La sicurezza definisce la struttura organizzativa, la cultura, le priorità di addestramento e le procedure di assunzione di Google. Questa influisce anche sul design dei nostri data center e sulla tecnologia che questi ospitano. Per le nostre operazioni quotidiane ciò è importante e prioritario per il modo in cui gestiamo i Dati dei clienti e i Dati di servizio. Influisce anche sulle certificazioni e i report di controllo che gestiamo.

Per saperne di più su come la nostra infrastruttura tecnica su scala globale è progettata per fornire un deployment sicuro dei Servizi Cloud, comunicazioni sicure tra i servizi, comunicazioni sicure e private con i clienti su internet e sicurezza da parte degli amministratori, è possibile consultare la Panoramica sulla progettazione della sicurezza dell'infrastruttura Google.

Qui è anche possibile trovare informazioni più specifiche sulle misure tecniche e organizzative gestite da Google:

• Per Google Workspace (compreso Google Workspace for Education), consultare il White paper sulla sicurezza di Google Workspace. 

• Per Google Cloud, consultare la Panoramica sulla sicurezza di Google e i White paper sulla sicurezza di Google Cloud. 

Ulteriori risorse sulle misure di sicurezza tecniche e organizzative di Google per i Servizi Cloud sono disponibili nel nostro Centro best practice per la sicurezza e nel Centro risorse per la privacy.

Quali controlli di sicurezza facoltativi è possibile applicare durante l'utilizzo dei Servizi Cloud?

Google offre anche ulteriori controlli di sicurezza facoltativi che aiutano i clienti dei Servizi Cloud a soddisfare le proprie esigenze di sicurezza e conformità. Si tratta di risorse, funzioni, funzionalità e controlli di sicurezza che i clienti possono utilizzare a loro discrezione, tra cui la Console di amministrazione, le soluzioni di crittografia, gli strumenti di logging e monitoraggio e la gestione di identità e accessi.

È possibile trovare ulteriori informazioni sul modo in cui l'organizzazione può configurare i Servizi Cloud, le funzioni e le funzionalità:

• Per Google Workspace (compreso Google Workspace for Education), le nostre guide all'implementazione della protezione dei dati perGoogle Workspace eGoogle Workspace for Education forniscono informazioni su come i clienti possono utilizzare e configurare i servizi e le impostazioni pertinenti.

• Per Google Cloud, il nostro Framework dell'architettura Google Cloud definisce best practice e fornisce suggerimenti di implementazione e può aiutare i clienti a progettare il proprio deployment di Google Cloud in base alle rispettive esigenze aziendali.

Nel nostro Centro best practice per la sicurezza e nel Centro risorse per la privacy sono disponibili altre risorse che aiutano a soddisfare ogni esigenza di sicurezza e conformità.

Quali impegni contrattuali e di altro tipo fornisce Google?

L'ATDC definisce gli impegni contrattuali di Google in relazione ai Dati del cliente, inclusi i suoi Dati personali. Tra le altre cose, Google si impegna a implementare e mantenere misure tecniche, organizzative e fisiche volte a proteggere i Dati dei clienti da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati accidentali o illegali.

Queste misure sono descritte in modo più dettagliato nell'Appendice 2 dell'ATDC e comprendono impegni in materia di sicurezza dei data center e della rete, controlli di accessi e siti e sicurezza di dati, personale e sub-responsabili.

Inoltre, i nostri Impegni per la privacy aziendale di Google Cloud descrivono in termini più generali come contribuiamo a proteggere i dati dei clienti che utilizzano i nostri Servizi Cloud:

1. L'utente mantiene il controllo dei propri dati: i dati dei clienti appartengono all'utente, non a Google. Trattiamo i dati solo in base a quanto stabilito dai contratti sottoscritti.

2. Non utilizziamo mai i dati per scopi di targeting degli annunci: non trattiamo i dati dei clienti per creare profili per gli annunci o migliorare i prodotti di Google Ads.

3. Agiamo in modo trasparente in merito alla raccolta e all'utilizzo dei dati: ci impegniamo a garantire la trasparenza, la conformità alle normative come il GDPR e le best practice in materia di privacy.

4. Non vendiamo mai i Dati dei clienti o i Dati di servizio: in nessun caso vendiamo i Dati dei clienti o i Dati di servizio a terze parti.

5. Sicurezza e privacy sono criteri di progettazione fondamentali per tutti i nostri prodotti: dare la priorità alla privacy dei nostri clienti significa proteggere i dati che ci vengono affidati. Nei nostri prodotti integriamo tecnologie di sicurezza efficaci.

Informazioni aggiuntive se Google tratta Dati di servizio in qualità di responsabile del loro trattamento

Per i clienti di Google Workspace for Education che hanno scelto di accettare l'Addendum per i dati del servizio Google Workspace for Education, gli impegni contrattuali di Google riguardo i Dati di servizio che tratta in qualità di responsabile sono definiti nell'Addendum in questione.

In che modo Google gestisce le richieste delle forze dell'ordine?

Google ha messo a punto una procedura trasparente e completa che soddisfa le best practice internazionali in materia di richieste di accesso ai dati da parte delle forze dell'ordine e dei governi. Google Cloud risponde caso per caso tenendo presenti differenti circostanze e in base a requisiti legali, contratti con i clienti e norme vigenti in materia di privacy. 

Il processo che Google Cloud seguirà in relazione a queste richieste è descritto nel nostro White paper Richieste del governo relative ai dati dei clienti Cloud.

Inoltre, ove consentito dalle leggi vigenti, il nostro Rapporto sulla trasparenza indica il numero di richieste di informazioni dei clienti Enterprise Cloud presentate da forze dell'ordine ed enti governativi. 

In che modo Google Cloud dimostra la conformità?

I Servizi Cloud vengono sottoposti a regolari verifiche indipendenti dei controlli di sicurezza, privacy e conformità, ottenendo certificazioni, attestati e report di controllo a dimostrazione della conformità. I clienti possono accedere e scaricare direttamente varie certificazioni (tra cui ISO 27001, 27017, 27018 e 27701), report di controllo (inclusi SOC 1, 2 e 3) e altre risorse pertinenti tramite il nostro Gestione dei report di conformità. 

Inoltre, a dimostrazione del nostro costante impegno a proteggere i Dati di servizio, abbiamo esteso l'ambito delle nostre certificazioni ISO 27001, 27017, 27018 e 27701 in modo da includere anche i Dati di servizio (per i quali Google agisce in qualità di responsabile) per i servizi Google Workspace interessati. 

Come già accennato in precedenza, Google osserva anche il Codice di condotta sul cloud del GDPR dell'UE, un meccanismo che consente ai fornitori di servizi cloud di dimostrare come offrono garanzie sufficienti per implementare misure tecniche e organizzative appropriate in qualità di responsabili ai sensi del GDPR.