Dopo Amazon Web Services, anche Google annuncia che i suoi servizi cloud saranno conformi alle nuove norme in materia di protezione dei dati dell’Unione Europea, che entreranno in vigore il prossimo anno. Nessuna società è ancora pienamente conforme, ma entrambe si sono pubblicamente impegnate a essere pronte per il regolamento generale sulla protezione dei dati (GDPR) dell’UE entro il 25 maggio 2018, promessa che Microsoft ha fatto lo scorso febbraio.

Il GDPR sostituisce la direttiva sulla protezione dei dati del 1995, con alcuni cambiamenti in merito alle regole che devono rispettare le aziende. Le novità più importanti ci sono le richieste di:

  • cancellare i dati personali su richiesta degli interessati, a meno che non ci sia ragione legittima di conservarli
  • informare gli utenti colpiti da violazioni di dati
  • integrare la protezione dei dati nei propri prodotti e servizi fin dalla prima fase di sviluppo.

Questo non significa solo lavoro in più per le imprese. Ci sono alcune esenzioni per le piccole e medie imprese, ma soprattutto il passaggio a un unico set di regole valide per tutti gli stati membri dell’UE (attualmente 28) mette fine all’arbitrarietà della giurisdizione – non è più possibile discutere i casi di privacy nel territorio più favorevole – e rende più semplice la conformità per le aziende che operano oltre i confini nazionali.

Alcune aziende, tuttavia, dovranno assumersi responsabilità che prima non avevano: il GDPR si applica non solo a chi controlla i dati – in genere coloro che li hanno raccolti o per cui sono stati raccolti – ma anche a chi li elabora, ai fornitori di servizi o agli intermediari che detengono i dati. I loro clienti pretenderanno che i diritti e le responsabilità di ciascuna parte siano esposti chiaramente prima che le nuove norme entrino in vigore.

Stephen Schmidt, Chief Information Security Officer di AWS, ha descritto i progressi dell’azienda verso la conformità al GDPR in un post pubblicato il 25 aprile. “Sono felice di annunciare oggi che tutti i servizi AWS saranno conformi al GDPR quando entrerà in vigore”, ha scritto Schmidt.

Questo ha probabilmente indotto a Google a fare una mossa simile. “Google è impegnata nel rendere conformi i servizi G Suite e Google Cloud Platform (GCP) al GDPR quando entrerà in vigore”, hanno scritto Suzanne Frey, responsabile per la sicurezza e la privacy di Google Cloud, Marc Crandall, responsabile della protezione e della conformità dei dati, in un post pubblicato questa settimana.

Google e AWS sono state battute sul tempo da Microsoft. Il suo Chief Privacy Officer, Brendon Lynch, ha dichiarato lo scorso 15 febbraio che “Microsoft si impegna a rendere conformi al GDPR i suoi servizi cloud”, facendo riferimento a servizi come Azure, Dynamics 365 e Office 365.

In questo momento AWS è un po’ più avanti di Google, almeno per quanto riguarda la documentazione. La società ha già rivisto il suo Data Processing Agreement per soddisfare i requisiti del GDPR, e il documento è disponibile ai clienti su richiesta.

A sua volta Microsoft è un passo avanti ad AWS: le pagine del Trust Center dedicate al GDPR indicano che la società ha reso disponibili garanzie contrattuali sul trattamento dei dati lo scorso marzo.

È una scommessa abbastanza sicura che i grandi fornitori di servizi cloud garantiranno la loro conformità alla nuova normativa: la loro attività, almeno in Europa, dipende da essa.

I loro clienti che operano in Europa hanno invece ancora molto lavoro da fare prima della scadenza. Dovranno capire (se non lo hanno ancora fatto) quali informazioni personali possiedono dei cittadini europei, aggiornare la governance interna e le procedure per determinare chi può accedere ai dati e preparare i documenti necessari per dimostrare il rispetto delle nuove regole che entreranno in vigore il 25 maggio 2018.