Privacy dei dati in Brasile

Panoramica

Brazilian flag

La Legge generale sulla protezione dei dati ("LGPD") del Brasile è il principale regolamento brasiliano dedicato alla protezione dei dati personali. Il regolamento LGPD si applica al trattamento dei dati personali (definiti come informazioni riguardanti una persona fisica identificata o identificabile) effettuato da persone fisiche o entità legali del settore pubblico o privato, a prescindere dai mezzi utilizzati per il trattamento o dal Paese in cui il titolare del trattamento dei dati è situato, a condizione che: 1) il trattamento sia effettuato in Brasile, 2) il trattamento sia effettuato allo scopo di offrire o fornire beni o servizi oppure riguardi i dati di persone ubicate in Brasile, oppure 3) i dati personali siano stati raccolti in Brasile.

Il regolamento LGPD stabilisce regole e principi per il trattamento dei dati personali. Le organizzazioni devono essere in grado di dimostrare l'adozione di misure di comprovabile conformità con le regole sulla protezione dei dati personali, compresa l'efficacia di tali misure, che prevedono la creazione e l'attuazione di criteri conformi in merito al trattamento dei dati personali.

Ai sensi del regolamento LGPD, i titolari e i responsabili del trattamento (come definiti ai sensi del regolamento LGPD) sono tenuti a adottare misure tecniche e amministrative atte a proteggere i dati personali dall'accesso non autorizzato e da situazioni accidentali o illecite di distruzione, perdita, alterazione, divulgazione o qualsiasi altro tipo di trattamento improprio o illecito dei dati. Inoltre, il regolamento LGPD riconosce all'Autorità nazionale di protezione dei dati brasiliana ("ANPD") la capacità di stabilire gli standard tecnici minimi che devono essere implementati da titolari e responsabili del trattamento.

AWS protegge la privacy e la sicurezza dei dati. La sicurezza in AWS inizia dalla nostra infrastruttura centrale. Personalizzata per il cloud e progettata per rispondere ai requisiti di sicurezza più severi al mondo, la nostra infrastruttura è monitorata 24x7 per assicurare la riservatezza, l’integrità e la disponibilità dei dati dei nostri clienti. I medesimi esperti di sicurezza di alto livello che monitorano questa infrastruttura si occupano anche di costruire e gestire la nostra ampia selezione di servizi di sicurezza innovativi, che può aiutarti a semplificare il rispetto dei requisiti di sicurezza e regolamentari. In qualità di cliente AWS, a prescindere dalle dimensioni della tua azienda o dalla posizione, erediti tutti i vantaggi della nostra esperienza, testata in base ai più severi standard dei quadri di garanzia di terze parti.

AWS implementa e gestisce misure di sicurezza organizzativa e tecniche applicabili ai servizi di infrastruttura di Cloud AWS, in base a quadri di garanzia e certificazioni di sicurezza globalmente riconosciuti, tra cui ISO 27001, ISO 27017, ISO 27018, PCI DSS livello 1 e SOC 1, 2 e 3. Queste misure di sicurezza tecnica e organizzativa sono convalidate da entità di controllo indipendenti di terze parti e sono studiate per impedire l’accesso non autorizzato o la divulgazione del contenuto dei clienti.

Ad esempio, la norma ISO 27018 è il primo codice di condotta internazionale che si concentra sulla protezione dei dati personali nel cloud. È basata sullo standard ISO di sicurezza delle informazioni 27002 e fornisce linee guida per l'implementazione di controlli di sicurezza previsti dalla ISO 27002 applicabili alle informazioni personali di identificazione (PII) elaborate dai fornitori di servizi cloud pubblici. La conformità di AWS certifica che AWS dispone di un sistema di controlli mirato a proteggere la privacy dei contenuti dei clienti.

Queste misure tecniche e organizzative complete di AWS sono coerenti con gli obiettivi del regolamento LGPD per la protezione dei dati personali. I clienti che utilizzano i servizi AWS mantengono il controllo sul loro contenuto e sono responsabili dell'implementazione di misure di sicurezza aggiuntive basate sulle loro esigenze specifiche, tra cui la classificazione del contenuto, la crittografia, la gestione dell'accesso e le credenziali di sicurezza.

Poiché AWS non può controllare cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerarsi soggetti al regolamento LGPD, i clienti sono i responsabili ultimi del rispetto della conformità al regolamento LGPD e ai regolamenti correlati. Il contenuto della presente pagina integra le risorse esistenti sulla privacy dei dati per aiutarti ad allineare i requisiti con il Modello di responsabilità condivisa di AWS nel momento in cui tratti e archivi i dati personali utilizzando i servizi AWS.

  • La Legge generale sulla protezione dei dati ("LGPD") del Brasile è il principale regolamento brasiliano dedicato alla protezione dei dati personali, entrata in vigore il 18 settembre 2020.

  • L'LGPD si applica a tutte le organizzazioni, con sede in Brasile o meno, che trattano dati personali per fornire beni o servizi a persone in Brasile. L'LGPD si applica anche alle organizzazioni che raccolgono e trattano dati personali in Brasile. I dati personali sono qualsiasi informazione relativa a una persona identificata o identificabile.

  • Tutti i servizi AWS possono essere utilizzati in conformità con l'LGPD. Significa che, oltre a trarre vantaggio dalle misure già prese da AWS per mantenere sicuri i propri servizi, i clienti potranno avvalersi dei servizi AWS come parte fondamentale del piano di conformità all'LGPD. Per ulteriori dettagli, consulta il whitepaper Navigating LGPD Compliance on AWS.

  • Il 14 agosto 2020 abbiamo aggiornato l'informativa sulla privacy per spiegare le policy da titolari del trattamento dei dati in base ai requisiti dell'LGPD, incluso in che modo l'interessato può esercitare i propri diritti ai sensi di legge.

  • Sì. La Pagina sulla privacy dei dati fornisce informazioni sulle pratiche e le policy relative alla privacy. Abbiamo aggiornato anche l'informativa sulla privacy per includere le divulgazioni necessarie ai sensi dell'LGPD, tra cui il modo in cui i clienti possono esercitare i proprio diritti ai sensi di legge.

  • AWS mantiene continuamente uno standard elevato per la sicurezza e la conformità in tutte le sue operazioni globali. Le misure di protezione che rendiamo disponibili per il GDPR e l'LGPD sono disponibili ai clienti di tutto il mondo e i clienti possono utilizzare tali misure per assicurare la conformità alle leggi locali di protezione dati.

  • Ai sensi del Modello di responsabilità condivisa di AWS, i clienti AWS mantengono il controllo sulle procedure di sicurezza che scelgono di implementare per proteggere contenuti, piattaforma, applicazioni, sistemi e reti, analogamente a quanto avverrebbe se utilizzassero per le loro applicazioni un data center in locale. L'LGPD non apporta alcuna modifica al modello di responsabilità condivisa di AWS, che continuerà a essere in vigore per clienti e partner APN che utilizzano i servizi di cloud computing. Il modello è un approccio utile per illustrare le diverse responsabilità di AWS (in qualità di responsabile o subincaricato del trattamento dei dati) e di clienti e partner APN (come titolari o responsabili del trattamento dei dati) secondo l'LGPD. In base al modello di responsabilità condivisa, AWS è responsabile della sicurezza dell'infrastruttura sottostante che supporta il cloud, mentre clienti e partner APN, in qualità di titolari o responsabili del trattamento dei dati, hanno la responsabilità dei dati personali che caricano sul cloud. I clienti si possono basare sulle misure di sicurezza tecniche e organizzative e sui controlli offerti da AWS per la gestione dei requisiti di conformità. I clienti possono utilizzare misure familiari per proteggere i loro dati, ad esempio la crittografia e la multi-factor authentication, oltre alle funzionalità di sicurezza AWS, quali AWS Identity and Access Management.

    Quando si esamina la sicurezza di una soluzione cloud, è importante che i clienti sappiano distinguere tra:

    • Misure di sicurezza implementate e gestite da AWS: "sicurezza del cloud" e
    • Misure di sicurezza implementate e gestite dal cliente, relative alla protezione dei contenuti e delle applicazioni dell'organizzazione che impiegano i servizi AWS: "sicurezza nel cloud"
     
    Per ulteriori informazioni sulle misure aggiuntive che possono essere intraprese dai clienti e le soluzioni che AWS offre, fai riferimento alla Pagina Web di formazione sulla sicurezza di AWS.

  • I clienti mantengono la titolarità e il controllo dei propri contenuti e scelgono quali servizi AWS possono elaborare, immagazzinare o conservare in hosting i loro contenuti dei clienti. AWS non dispone di visibilità del contenuto dei clienti né accede o utilizza tale contenuto, salvo per fornire i servizi AWS selezionati dai clienti oppure ove richiesto per ottemperare alle disposizioni di legge o a un atto vincolante.

    I clienti che ricorrono ai servizi AWS mantengono il controllo del loro contenuto all’interno dell’ambiente AWS. Possono:

    • determinare dove memorizzare i contenuti, ad esempio il tipo di ambiente di storage e l'area geografica dove conservarli;
    • controllare il formato dei contenuti, ad esempio testo semplice, mascherato, anonimo o crittografato, utilizzando il meccanismo di crittografia fornito da AWS o da terze parti, secondo le loro preferenze;
    • utilizzare ulteriori controlli degli accessi, come gestione di identità e accessi e credenziali di sicurezza;
    • controllare se utilizzare SSL, Virtual Private Cloud e altre misure di sicurezza di rete per impedire l’accesso non autorizzato.

    Ciò consente ai clienti AWS di controllare l'intero ciclo di vita dei contenuti che decidono di caricare in AWS, gestendoli in base alla riservatezza o alle necessità di controllo degli accessi, di retention o di eliminazione.

  • I data center di AWS sono stati creati in cluster e si trovano in località sparse in tutto il mondo. I singoli cluster di data center in una determinata location vengono chiamati "regioni".

    Sono i clienti di AWS a scegliere in quale regione o in quali regioni debbano essere immagazzinati i loro dati. In questo modo è più semplice per loro soddisfare eventuali requisiti geografici specifici.

    I clienti possono richiedere di eseguire una replica o un backup dei contenuti in più di una regione, ma AWS non trasferirà i loro contenuti al di fuori della regione da loro scelta, se non per fornire i servizi da loro richiesti o in conformità alle normative applicabili.

  • La strategia di sicurezza dei data center di AWS è assemblata con controlli della sicurezza scalabili e livelli multipli di difesa, che facilitano la protezione delle tue informazioni. Ad esempio, AWS gestisce con attenzione i rischi potenziali di alluvioni e di sismicità. Ricorriamo a barriere fisiche, guardie particolari giurate, tecnologia di rilevamento delle minacce e a un processo di screening approfondito per limitare l’accesso ai data center. Eseguiamo il backup dei nostri sistemi, effettuiamo test regolari di attrezzature e processi e formiamo costantemente i dipendenti di AWS affinché siano pronti a ogni evenienza.

    Per convalidare la sicurezza dei nostri data center, i revisori esterni eseguono i test su oltre 2.600 standard e requisiti nel corso dell’anno. Questi esami indipendenti aiutano ad assicurare che gli standard di sicurezza siano sempre soddisfatti o addirittura superati. Ecco perché organizzazioni altamente regolamentate a livello globale si affidano ad AWS per la protezione dei dati.

    Per ulteriori informazioni sui metodi di sicurezza applicati fin dalla progettazione dei data center di AWS, fai un tour virtuale.

  • I clienti possono scegliere di usare una sola regione, tutte le regioni, oppure combinazioni di esse. Per un elenco completo delle regioni AWS, consulta la pagina Infrastruttura globale AWS.

  • L'infrastruttura AWS Cloud è stata progettata per essere uno degli ambienti di cloud computing più flessibili e sicuri disponibili oggi. La portata globale di Amazon permette un volume di investimenti nella sicurezza che quasi nessun'altra grande azienda può permettersi. L'infrastruttura include hardware, software, rete e strutture in cui sono in esecuzione i servizi AWS, che forniscono a clienti e partner APN controlli come la configurazione della sicurezza per gestire i dati personali. Per ulteriori informazioni sulle misure adottate da AWS per mantenere livelli di sicurezza elevati e costanti, consulta il whitepaper AWS Overview of Security Processes Whitepaper.

    AWS offre anche diversi report di conformità provenienti da entità di controllo di terze parti, che hanno testato e verificato lo stato di conformità di AWS secondo diversi standard e normative di sicurezza, ad esempio le norme ISO 27001, ISO 27017 e ISO 27018. Per garantire la trasparenza sull'efficacia di queste misure, consentiamo l'accesso ai report di audit di terze parti disponibili in AWS Artifact. Questi report mostrano a clienti e partner APN, in quanto titolari o responsabili del trattamento dei dati, che AWS mantiene sicura l'infrastruttura che usano per memorizzare e trattare i dati personali. Per ulteriori informazioni, consulta la pagina Risorse per la conformità.

  • Gli esperti della conformità, della protezione dei dati e della sicurezza di AWS hanno collaborato con clienti per rispondere alle loro domande e aiutarli a prepararsi a eseguire carichi di lavoro in AWS Cloud. Questi team hanno anche verificato lo stato di preparazione dei servizi AWS ai requisiti imposti dall'LGPD. Inoltre, offriamo ai clienti un contratto sul trattamento dei dati o DPA (Data Processing Agreement) conforme ai requisiti dell'LGPD.

    AWS mantiene continuamente uno standard elevato per la sicurezza e la conformità in tutte le sue operazioni globali. La sicurezza è stata sempre la nostra massima priorità, l'essenza della nostra attività. La nostra sicurezza leader nel settore ci ha consentito di ottenere una lunga serie di certificazioni e accreditamenti riconosciuti a livello internazionale, che provano la conformità con rigorosi standard internazionali quali ISO 27017 per la sicurezza del cloud, ISO 27018 per la privacy del cloud, SOC 1, SOC 2 e SOC 3, PCI DSS Level 1, NIST FIPS 140-2, C5 e altri. Per fornire trasparenza sull'efficacia delle misure adottate, offriamo a clienti e partner APN l'accesso a report di audit di terze parti dalla Console di gestione AWS. Questi report mostrano a clienti e partner APN, in quanto titolari o responsabili del trattamento dei dati, che AWS mantiene sicura l'infrastruttura che usano per memorizzare e trattare i dati personali. Per ulteriori informazioni, consulta la pagina Web sulla conformità.

  • AWS fornisce già caratteristiche e servizi specifici che consentono ai clienti di soddisfare i requisiti dell'LGPD:

    Controllo dell'accesso ai dati: solo le applicazioni, gli utenti e gli amministratori autorizzati possono accedere alle risorse AWS.

    • Autenticazione a più fattori (MFA)
    • Accesso con granularità fine a oggetti in bucket Amazon S3/Amazon SQS/Amazon SNS e altri
    • Autenticazione delle richieste API
    • Restrizioni geografiche
    • Token di accesso temporaneo tramite AWS Security Token Service

    Monitoraggio e accessi: ottieni una panoramica delle attività sulle risorse AWS.

    • Gestione e configurazione degli asset con AWS Config
    • Audit di conformità e analisi di sicurezza con AWS CloudTrail
    • Identificazione dei problemi di configurazione tramite AWS Trusted Advisor
    • Registrazione di log a granularità fine degli accessi a oggetti Amazon S3
    • Informazioni dettagliate sui flussi nella rete tramite i log di flusso di Amazon VPC
    • Controlli e azioni delle configurazioni basati su regole con AWS Config
    • Filtraggio e monitoraggio degli accessi HTTP alle applicazioni con funzioni WAF in AWS CloudFront

    Crittografia: crittografia dei dati su AWS.

    • Crittografia dei dati inattivi con AES256 (EBS/S3/Glacier/RDS)
    • Key Management gestito in modo centralizzato (per regione AWS)
    • Tunnel IPsec in AWS con i gateway VPN
    • Moduli HSM dedicati nel cloud con AWS CloudHSM

  • AWS offre ai clienti e ai partner APN numerosi strumenti per controllare chi ha eseguito l'accesso alle loro risorse, quando e da dove. Uno di questi strumenti è AWS CloudTrail, che permette governance, conformità, audit operativo e audit dei rischi di un account AWS. Con AWS CloudTrail è possibile registrare, monitorare in modo continuo e conservare le informazioni correlate alle attività dell'account all'interno dell'infrastruttura AWS. Le aziende potranno in questo modo avere un quadro completo di cosa accade nell'infrastruttura AWS e rispondere tempestivamente in caso di attività sospette. Per ulteriori informazioni su AWS CloudTrail e sugli altri strumenti di sicurezza forniti da AWS per facilitare l'adempimento degli obblighi dei titolari del trattamento dei dati ai sensi dell'LGPD, consulta la Pagina Web sulla sicurezza.

  • AWS offre a clienti e partner APN numerosi strumenti con cui proteggere i dati e difendersi dagli attacchi informatici. Uno di questi strumenti è AWS Shield. Si tratta di un servizio gestito di protezione da attacchi di tipo DDoS (Distributed Denial of Service) che protegge siti Web e applicazioni in AWS. AWS Shield Standard è disponibile senza alcun costo aggiuntivo e fornisce rilevamento sempre attivo e mitigazione automatizzata, con cui è possibile ridurre al minimo tempi di inattività e latenza. Per ottenere un livello di protezione maggiore dagli attacchi alle applicazioni Web in esecuzione in AWS e che utilizzano risorse di ELB, Amazon CloudFront e Amazon Route 53, i clienti e i partner APN possono utilizzare AWS Shield Advanced.

  • I servizi AWS permettono l'eliminazione on demand di contenuti da parte dei clienti mediante Console di gestione AWS, API e altri metodi. Per ulteriori informazioni su funzionalità specifiche del servizio, consulta la Documentazione.

  • Oltre alla Pagina sulla privacy dei dati e all'informativa sulla privacy, consigliamo a clienti e ai partner APN di contattare prima il proprio gestore di account di AWS in caso di domande su protezione dei dati o su AWS e LGPD. Se i clienti sono registrati per il piano di supporto Enterprise, possono anche contattare il loro Technical Account Manager (TAM). Quest'ultimo collabora con i solutions architect per aiutare i clienti e identificare i potenziali rischi e le relative mitigazioni. I team dedicati all'account e al TAM, possono indirizzare clienti e partner APN verso specifiche risorse in base all'ambiente e alle esigenze.

    AWS, inoltre, dispone di team di rappresentanti del supporto Enterprise, consulenti di servizi professionali e altre figure che potranno essere utili in caso di domande sull'LGPD. Per mantenere informati i clienti e i partner APN, AWS ha anche in programma diversi interventi, webinar e workshop nei summit di AWS con cui intende illustrare l'LGPD e mostrare le soluzioni implementabili con gli strumenti di AWS.

Risorse sulla privacy dei dati in Brasile

Conformità al regolamento LGPD in AWS
Cartella di lavoro sul Regolamento generale sulla protezione dei dati del Brasile
Funzionalità di privacy dei servizi AWS
Uso di AWS nell'ambito delle considerazioni generali sulla privacy e sulla protezione dei dati
Richieste di informazioni inoltrate ad Amazon
Domande frequenti sulla privacy dei dati
Domande frequenti sullo standard ISO 27018 di AWS
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »