Privacy dei dati in Canada

Panoramica

I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da soddisfare i loro obblighi ai sensi delle leggi canadesi federali, provinciali e territoriali sulla privacy.

I clienti hanno sempre la possibilità di controllare la gestione e l'accesso ai propri contenuti archiviati su AWS. AWS non è a conoscenza di ciò che i clienti caricano nei suoi servizi, compreso se tali dati siano o meno considerati soggetti alle leggi canadesi sulla privacy. I clienti sono responsabili di garantire la propria conformità a qualsiasi legge applicabile.

L'AWS Data Processing Addendum (AWS DPA), noto anche come accordo di trasferimento dei dati, si applica a livello globale e include impegni contrattuali specifici per affrontare adeguatamente i ruoli e gli obblighi di ciascuna parte in relazione alla privacy e alla sicurezza dei dati personali.

Esistono diverse leggi in Canada relative alla protezione delle informazioni personali. L'applicazione di queste leggi è gestita da varie organizzazioni e agenzie governative a livello federale, provinciale e territoriale.

A livello federale, il Personal Information Protection and Electronic Documents Act (PIPEDA) può applicarsi alla raccolta, all'uso e alla divulgazione di informazioni personali nel settore privato e il Privacy Act può applicarsi nel settore pubblico. L'Office of the Privacy Commissioner of Canada (OPC) sovrintende all'applicazione di entrambe le leggi.

Le province e i territori canadesi hanno inoltre adottato le proprie leggi sulla privacy per il settore pubblico e privato, nonché leggi sulla privacy specifiche per determinati tipi di dati personali, come le informazioni sanitarie personali. Il sito Web dell'OPC fornisce una panoramica di queste leggi e autorità provinciali e territoriali.

Per i clienti che desiderano elaborare i propri dati in Canada, sono disponibili la Regione AWS Canada (centrale) vicino a Montreal e la Regione Canada (ovest) vicino a Calgary. Per un elenco completo delle Regioni AWS e dei relativi servizi, consulta la pagina Infrastruttura globale.

Domande frequenti

  • Se e in che misura un cliente AWS sia soggetto al PIPEDA, al Privacy Act o a qualsiasi altro requisito canadese sulla privacy può variare a seconda dell'attività e del caso d'uso del cliente. I clienti dovrebbero rivolgersi ai propri consulenti legali per comprendere a quali leggi per la privacy sono soggetti.

  • I clienti soggetti alle leggi canadesi sulla privacy potrebbero dover rispettare i requisiti relativi alla raccolta, all'accesso, all'uso, alla divulgazione e alla protezione delle informazioni personali. AWS offre ai clienti il controllo sul modo in cui i propri contenuti sono archiviati o elaborati durante l'utilizzo dei servizi AWS, incluso il controllo su come tali contenuti sono protetti e chi può accedere a tali informazioni. AWS fornisce servizi personalizzabili dai clienti in modo da contribuire alla sicurezza delle informazioni sanitarie personali conservate tramite AWS. È responsabilità del cliente elaborare una soluzione che soddisfi le norme sulla privacy applicabili.

    AWS fornisce workbook, whitepaper e guide di best practice sulla pagina delle Risorse per la conformità di AWS e i clienti hanno accesso, su richiesta, ai report sugli audit di terze parti AWS su AWS Artifact.

  • I clienti devono consultare i propri consulenti legali per determinare quali leggi canadesi sulla privacy o altri obblighi possono essere applicati alla loro organizzazione e al loro caso d'uso.

  • Le entità soggette alle leggi canadesi sulla privacy sono tenute ad adottare misure per salvaguardare le informazioni personali ed è responsabilità di ciascun cliente determinare se la crittografia è necessaria per soddisfare i propri obblighi di sicurezza e conformità.

    AWS consiglia ai clienti di crittografare i propri dati a riposo e in transito come best practice. Per ulteriori indicazioni, fare riferimento a Crittografia dei dati a riposo e dei dati in transito.

  • Quando si esamina la sicurezza di una soluzione cloud, è importante che i clienti comprendano e sappiano distinguere tra:

    • Misure di sicurezza implementate e gestite da AWS: "sicurezza del cloud" e
    • Misure di sicurezza implementate e gestite dal cliente, relative alla protezione dei contenuti e delle applicazioni dell'organizzazione che impiegano i servizi AWS: "sicurezza nel cloud".

    Ai sensi del Modello di responsabilità condivisa AWS, i clienti AWS mantengono il controllo sulle procedure di sicurezza che scelgono di implementare per proteggere i propri contenuti, piattaforma, applicazioni, sistemi e reti, analogamente a quanto avverrebbe se utilizzassero per le loro applicazioni un data center in locale. I clienti possono utilizzare misure di sicurezza familiari, come la crittografia e l'autenticazione a più fattori, per proteggere i propri dati e soddisfare i requisiti di conformità, oltre a servizi e funzionalità di sicurezza AWS come AWS Identity and Access Management (IAM).

  • I clienti mantengono la titolarità e il controllo dei propri contenuti e scelgono quali servizi AWS possono elaborare, archiviare od ospitare i loro contenuti dei clienti. AWS non accede o utilizza i contenuti dei clienti tranne se necessario per mantenere o fornire i servizi AWS selezionati da un cliente o se necessario per rispettare la legge o un ordine vincolante di un ente governativo, come stabilito nel Contratto clienti AWS.

    I clienti che ricorrono ai servizi AWS mantengono il controllo del loro contenuto all’interno dell’ambiente AWS. Possono:

    • determinare dove memorizzare i contenuti, ad esempio il tipo di ambiente di archiviazione e l'area geografica dove conservarli;
    • controllare il formato dei contenuti, ad esempio testo semplice, mascherato, anonimo o crittografato, utilizzando il meccanismo di crittografia fornito da AWS o da terze parti, secondo le loro preferenze;
    • gestire i controlli degli accessi, come AWS Identity and Access Management (IAM); e
    • controllare se utilizzare la crittografia, le funzionalità del Cloud privato virtuale (VPC) di Amazon e altre misure di sicurezza della rete e dei dati per prevenire accessi non autorizzati.

    Ciò consente ai clienti AWS di controllare l'intero ciclo di vita dei propri contenuti su AWS e di gestirli in base alle proprie esigenze specifiche, tra cui classificazione dei contenuti, controllo degli accessi, conservazione ed eliminazione.

  • L'infrastruttura globale AWS ti offre la flessibilità di scegliere come e dove eseguire i carichi di lavoro. I clienti potranno scegliere una o più Regioni AWS in cui archiviare i contenuti dei propri clienti, in modo da poter distribuire i servizi AWS nell'area (o aree) di loro scelta, in base ai loro requisiti geografici specifici. Se desideri scoprire altre opzioni di archiviazione flessibile, consulta la pagina Web dedicata alle Regioni AWS.

    Puoi replicare ed eseguire backup dei contenuti del cliente in più Regioni AWS. Non sposteremo né replicheremo contenuti al di fuori delle Regioni AWS scelte senza il tuo consenso, salvo che ciò sia richiesto per legge o come conseguenza di un ordine vincolante da parte di un ente governativo. È tuttavia importante notare che non tutti i servizi AWS potrebbero essere disponibili in tutte le Regioni AWS. Per ulteriori informazioni su quali sono i servizi disponibili in ogni Regione AWS, consulta la pagina Web Servizi AWS regionali.

  • AWS è progettato per essere l'infrastruttura cloud globale più sicura su cui creare, migrare e gestire applicazioni e carichi di lavoro. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti e partner APN controlli quali la configurazione della sicurezza per gestire i dati personali.

    AWS fornisce diversi report di conformità di revisori di terze parti che hanno testato e verificato la nostra conformità a una serie di standard di sicurezza, tra cui SOC 2 Type 2, ISO 27001, ISO 27017 e ISO 27018. In Canada, i servizi AWS vengono valutati anche dal Canadian Centre for Cyber Security.

    Per garantire la trasparenza sull'efficacia di queste misure, consentiamo l'accesso ai report di audit di terze parti disponibili in AWS Artifact. Questi report mostrano ai nostri clienti che stiamo proteggendo l'infrastruttura sottostante su cui archiviano ed elaborano i dati personali. Per ulteriori informazioni, consulta la pagina Risorse per la conformità.

  • La strategia di sicurezza dei data center di AWS è basata su controlli della sicurezza scalabili e su livelli multipli di difesa, che facilitano la protezione delle tue informazioni. Ad esempio, AWS gestisce con attenzione i potenziali rischi di inondazioni e attività sismiche. Ricorriamo a barriere fisiche, guardie particolari giurate, tecnologia di rilevamento delle minacce e a un processo di screening approfondito per limitare l’accesso ai data center. Eseguiamo il backup dei nostri sistemi, effettuiamo test regolari di attrezzature e processi e formiamo costantemente i dipendenti di AWS affinché siano pronti a ogni evenienza.

    Per convalidare la sicurezza dei nostri data center, i revisori esterni eseguono test su oltre 2.600 standard e requisiti nel corso dell'anno. Questi esami indipendenti aiutano a garantire che gli standard di sicurezza siano sempre soddisfatti o addirittura superati. Ecco perché organizzazioni altamente regolamentate a livello globale si affidano ad AWS per la protezione dei loro dati.

    Scopri di più su come proteggiamo i data center AWS fin dalla progettazione partecipando a un tour virtuale.

Risorse sulla privacy dei dati in Canada

 Riepilogo OPC delle leggi sulla privacy in Canada
 Addendum sull'elaborazione dei dati AWS
 Uso di AWS nell'ambito delle considerazioni generali sulla privacy e sulla protezione dei dati
 Domande frequenti sulla privacy dei dati in AWS