Politica del responsabile del trattamento di dati personali in cloud

La Politica del responsabile del trattamento di dati personali in cloud definisce requisiti privacy obbligatori per i servizi cloud in cui l’organizzazione agisce come responsabile del trattamento di dati personali o sub-responsabile. Il suo ambito include SaaS, PaaS, IaaS, applicazioni ospitate, cloud gestito, supporto cloud, archiviazione cloud, sistemi di analisi cloud e servizi di infrastruttura cloud che trattano dati personali per conto dei clienti. La politica è progettata per mantenere il trattamento in cloud allineato agli accordi con i clienti documentati, istruzioni del cliente, istruzioni del responsabile del trattamento a monte, accordi con sub-responsabili, configurazione della regione cloud, accesso per il supporto cloud, amministrazione del servizio, backup, replica, registrazione, monitoraggio, cancellazione, restituzione, supporto per violazioni, supporto agli audit e obblighi di assistenza al cliente. Una finalità centrale della politica è il controllo basato sulle evidenze. Prima dell’onboarding del cliente o di una modifica sostanziale del servizio, il Privacy Lead / Responsabile del PIMS deve registrare in REG02 e REG08 ciascun servizio di trattamento di dati personali in cloud, il ruolo di trattamento, la fonte dell’istruzione del cliente, le categorie di dati personali, le categorie di interessati, la finalità del servizio, il luogo del trattamento, la dipendenza da sub-responsabili, la dipendenza per la cancellazione e l’indicatore di trasferimento. La politica richiede inoltre che l’applicabilità dei controlli del responsabile cloud sia registrata in REG03, che l’instradamento dei trasferimenti e delle sedi sia acquisito in REG09 ove pertinente, che gli incidenti relativi ai dati personali in cloud siano gestiti tramite REG10 e che monitoraggio, eccezioni, controversie, risultati di convalida e azioni correttive siano gestiti tramite REG12. Ciò mantiene gli obblighi del responsabile cloud integrati con l’insieme esistente delle politiche PIMS ed evita la creazione di registri separati per contratti, servizi, isolamento dei tenant, accesso, log, cancellazione, supporto, audit, violazioni o sub-responsabili. La politica stabilisce requisiti pratici lungo il ciclo di vita del servizio cloud. Richiede istruzioni del cliente o del responsabile del trattamento a monte documentate prima dell’avvio del trattamento, il riesame delle istruzioni che appaiono non coerenti con gli obblighi o con l’ambito di servizio approvato e l’approvazione prima che dati personali del cliente siano trattati al di fuori delle istruzioni documentate. Affronta inoltre la configurazione cloud e le evidenze di sicurezza richiedendo confini del modello di responsabilità condivisa, convalida dell’isolamento dei tenant, accesso amministrativo controllato, riesame trimestrale degli accessi privilegiati e della copertura della registrazione, separazione degli ambienti e registrazione delle sedi di backup, replica, archiviazione dei log e accesso per il supporto. Questi requisiti sono collegati intenzionalmente ai controlli di sicurezza per i dati personali esistenti, senza sostituire la più ampia Politica di sicurezza e controllo degli accessi per i dati personali. La governance dei sub-responsabili e della catena di fornitura cloud è trattata come un obbligo essenziale del responsabile del trattamento. Il Proprietario dei fornitori / approvvigionamento deve registrare prima dell’uso i sub-responsabili cloud, i fornitori di infrastruttura, i provider di hosting, i fornitori di servizi gestiti, i fornitori di supporto e le altre dipendenze sostanziali dei servizi cloud. La politica richiede evidenze dell’autorizzazione del cliente o di una base di autorizzazione documentata, obblighi a cascata per privacy, sicurezza, assistenza, incidenti, restituzione, cancellazione, supporto agli audit e trasferimenti, nonché registrazioni delle sedi di servizio, sedi di supporto remoto, regioni di hosting e instradamento dei trasferimenti successivi. Richiede inoltre la notifica al cliente delle modifiche previste ai sub-responsabili cloud entro il periodo di preavviso contrattualmente richiesto e almeno un riesame annuale delle registrazioni attive relative a sub-responsabili cloud e dipendenze cloud. La politica copre anche assistenza al cliente, supporto agli audit, interfaccia per le violazioni, cancellazione e uscita. Gli obblighi di assistenza al cliente per richieste di esercizio dei diritti, cancellazione, rettifica, limitazione, accesso, audit, supporto DPIA e supporto per violazioni devono essere registrati prima della formalizzazione del contratto o dell’attivazione del servizio. Il supporto richiesto dal cliente per l’esercizio dei diritti deve essere completato entro il termine concordato con il cliente; le richieste di assistenza DPIA o di valutazione con rilevanza privacy devono essere riesaminate entro dieci giorni lavorativi; le richieste di assistenza scadute o contestate devono essere tracciate. Per l’uscita, la politica richiede evidenze della capacità di esportazione, restituzione, trasferimento o cancellazione prima dell’onboarding o di una modifica sostanziale del servizio, completamento entro i termini concordati con il cliente, inclusione di sistemi in esercizio, backup, repliche, log, file temporanei, ambienti di staging e copie di supporto, nonché gestione della non conformità quando gli obblighi non possono essere completati nei tempi previsti. La governance è rafforzata da riesami trimestrali della completezza delle evidenze, riesami annuali della politica e dei sub-responsabili, campionamento di audit, metriche, azioni di applicazione e approvazione dell’alta direzione per eccezioni e modifiche sostanziali.