Approvato il primo Codice di Condotta CISPE per la protezione dei dati in cloud conforme al GDPR

Gli organismi di regolamentazione europei approvano il Codice di Condotta Cispe, il primo Codice di Conformità al GDPR per l’infrastruttura cloud.

Oggi il comitato europeo per la protezione dei dati (EDPB) che comprende tutte le autorità europee per la protezione dei dati (DPA) ha fornito un parere favorevole riguardo al codice di condotta per la protezione dei dati del CISPE che è risultato conforme al regolamento generale sulla protezione dei dati (GDPR). Trasmesso dalla CNIL, la DPA francese, il codice CISPE è a tutti gli effetti il primo codice paneuropeo specifico del settore per i provider di servizi di infrastrutture cloud a raggiungere questa fase.

Il codice del CISPE fa da apripista nell’assistere le organizzazioni di tutta Europa nell’accelerare lo sviluppo di servizi basati sul cloud in conformità con il GDPR per i consumatori, le imprese e le istituzioni. Scegliendo servizi dichiarati conformi al codice CISPE, gli utenti di servizi IaaS hanno la garanzia di accedere ad infrastrutture cloud affidabili che aderiscono alle procedure di trattamento e archiviazione dei dati che rispettano rigorosamente il GDPR.

“L’approvazione del Codice CISPE per la protezione dei dati rappresenta un passo importante, sia per l’industria sia per gli utenti finali, che grazie a regole trasparenti andrà a tutelare i diritti dei cittadini europei dell’era digitale” commenta Stefano Cecconi, vicepresidente di CISPE (Cloud Infrastructure Service Providers in Europe) e Amministratore Delegato di Aruba S.p.A. “Ci aspettiamo un rapporto di maggiore fiducia verso i provider dei servizi: i dati saranno trattati e conservati nello Spazio economico europeo e i provider non potranno accedere ai dati dei clienti per scopi diversi dal mantenimento o fornitura dei servizi scelti”.

“Il GDPR è stato un gradito passo avanti, e il codice CISPE porta chiarezza sui criteri di protezione dei dati per gli utenti delle infrastrutture cloud”, afferma Alban Schmutz, presidente di CISPE, l’associazione di settore dietro al codice. “Il codice CISPE dà alle aziende un quadro di riferimento riconosciuto per dimostrare la piena conformità dei propri servizi cloud certificati, fornendo esempi concreti di ciò che loro e i loro clienti sono tenuti a fare per proteggere i dati secondo le regole del GDPR.”

Il codice del CISPE ha tre importanti unicità. È il primo, e attualmente l’unico, codice di riferimento per la protezione dei dati che si concentra esclusivamente sul settore dell’Infrastructure-as-a-Service (IaaS), e affronta i ruoli e le responsabilità specifiche dei fornitori IaaS non rappresentati in codici più generali, risultando sicuro e affidabile per gli utenti finali alla ricerca di servizi IaaS pienamente conformi al GDPR. Inoltre assicura loro che i fornitori di servizi di infrastruttura cloud accederanno o utilizzeranno i dati dei clienti solo per mantenere o fornire il servizio e non utilizzeranno i dati dei clienti per scopi di marketing o pubblicitari.

Anche se non richiesto per la conformità al GDPR, molte aziende europee vogliono mantenere il controllo sui loro dati garantendo che rimangano all’interno dell’UE. In modo unico, il codice CISPE dà ai clienti IaaS opzioni esplicite per selezionare servizi che consentono di conservare i dati interamente all’interno dello Spazio economico europeo. Come tale, il Codice di Condotta CISPE promuove anche le migliori pratiche di protezione dei dati che supportano l’iniziativa GAIA-X dell’UE per lo sviluppo di servizi di cloud europei.

La conformità al codice CISPE è verificata da revisori esterni indipendenti accreditati dall’autorità competente per la protezione dei dati. In qualità di organismi di controllo questi rafforzano il livello di garanzia fornito dai servizi certificati ai sensi del codice.

Il codice CISPE offre la scelta tra un portfolio diversificato di organismi di controllo indipendenti che offrono una gamma ampia e diversificata di servizi che possono così soddisfare i diversi business nel settore in grande crescita delle infrastrutture cloud. La conformità al GDPR può essere complessa e costosa, soprattutto per le PMI e le start-up. Queste organizzazioni spesso fanno molto affidamento su IaaS e beneficeranno ampiamente della facilità d’uso e vantaggi del codice CISPE.

“CISPE è stata la prima organizzazione di qualsiasi industria ad impegnarsi e lavorare a stretto contatto con il regolatore e le istituzioni dell’UE per definire un codice che potesse andare oltre i requisiti del GDPR nel proteggere gli interessi dei provider di infrastrutture, dei loro clienti e degli utenti finali”, ha aggiunto Schmutz.

I provider di servizi cloud (CSP) che adottano il codice CISPE beneficiano di una guida pratica e operativa, oltre ad essere sottoposti a una serie di regole vincolanti che garantiscono la conformità al GDPR per i loro servizi. L’approvazione ufficiale del codice sarà rilasciata dall’autorità competente, CNIL.

Il codice di condotta CISPE

Il codice di condotta del CISPE per la protezione dei dati favorisce l’applicazione del Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione europea, in modo particolare nella protezione dei dati. Il codice CISPE definisce le migliori procedure e fornisce una linea guida concreta in modo che i fornitori di servizi di infrastruttura cloud possono elevare gli standard di protezione dei dati e, cosa fondamentale, fornire trasparenza ai loro clienti stabilendo chiaramente il ruolo, le responsabilità e i confini sia per i provider che per i clienti. Per saperne di più: https://cispe.cloud/code-of-conduct/

Cosa sono i codici di condotta?

I codici di condotta sono linee guida specifiche del settore regolamentato, elaborate da associazioni di categoria o organismi rappresentativi e che tengono conto delle caratteristiche specifiche dei vari settori e delle attività coinvolte, nonché delle esigenze particolari di imprese di diverse dimensioni, comprese le micro, le piccole e le medie imprese. L‘adesione a un codice di condotta fornisce alle organizzazioni di tutta Europa la possibilità di rendere ancora più efficace la protezione dei dati e di garantire la conformità al GDPR. I codici di condotta sono approvati da un’autorità di protezione dei dati che agisce per conto delle altre 27 autorità dopo un parere formale dell’EDPB.

Informazioni su CISPE

CISPE è un’associazione europea di fornitori di servizi di infrastruttura cloud composta da 34 membri con sedi in 14 Stati membri dell’UE. CISPE ha sviluppato il primo codice di condotta GDPR che incoraggia la conservazione e il trattamento dei dati personali esclusivamente in Europa. Dal 2017 CISPE ha diretto, insieme a EuroCIO e in un secondo momento con CIGREF, il gruppo di lavoro per lo sviluppo dei codici di condotta del settore che semplificano e consentono la portabilità dei dati. Questo è stato istituito dalla Commissione Europea nell’ambito del Regolamento UE sul libero flusso dei dati non personali. Inoltre, il CISPE è tra i 22 membri fondatori dell’iniziativa GAIA-X e il promotore del Patto per la Neutralità Climatica dei Data Center.