Data Privacy in Argentina

Panoramica

La legge sulla protezione dei dati personali n. 25.326 in vigore in Argentina, che include il decreto regolamentare n. 1558/2001 e i regolamenti integrativi ("PDPL"), è una legge federale argentina che si applica alla protezione dei dati personali all'interno del paese e nei casi in cui tali dati sono trasferiti per l'elaborazione oltre i confini nazionali. Nel luglio 2018, l'Agenzia di accesso alle informazioni pubbliche argentina (Agencia de Acceso a la Información Pública, "ADPA") ha emesso la risoluzione 47/2018 ("Resolución 47") ai sensi dei PDPL, revocando in tal modo la disposizione n. 11/2006 relativa alle misure di sicurezza che i controller di dati (ovvero i clienti di AWS) dovevano osservare per l'elaborazione dei dati personali. La risoluzione 47 descrive nuove misure di sicurezza consigliate in linea con le best pratice e gli standard internazionali e destinate a proteggere la riservatezza e l'integrità dei dati personali durante la loro elaborazione, dalla raccolta all'eliminazione. In particolare, la nuova risoluzione ha aggiornato l'elenco delle misure e dei controlli raccomandati per gestire, pianificare, controllare e migliorare la sicurezza durante l'elaborazione dei dati personali. Tali misure di sicurezza consigliate sono divise per categorie di attività legate all'elaborazione, tra cui raccolta dei dati, controllo degli accessi, controllo delle modifiche, backup e ripristino, gestione della vulnerabilità, rimozione o eliminazione dei dati, incidenti relativi alla sicurezza e ambienti di sviluppo. Inoltre, nella risoluzione 47 è incluso un elenco di misure di sicurezza applicabili ai "dati sensibili" (secondo quanto definito nei PDPL).

AWS protegge la privacy e la sicurezza dei dati. La sicurezza in AWS inizia dalla nostra infrastruttura centrale. Personalizzata per il cloud e progettata per rispondere ai requisiti di sicurezza più severi al mondo, la nostra infrastruttura è monitorata 24x7 per assicurare la riservatezza, l'integrità e la disponibilità dei dati dei nostri clienti. I medesimi esperti di sicurezza di alto livello che monitorano questa infrastruttura si occupano anche di costruire e gestire la nostra ampia selezione di servizi di sicurezza innovativi, che può aiutarti rispettare i requisiti di sicurezza e regolamentari con maggiore facilità. In qualità di cliente AWS, a prescindere dalle dimensioni della tua azienda o dalla posizione, erediti tutti i vantaggi della nostra esperienza, testata in base ai più severi standard dei quadri di garanzia di terze parti.

AWS implementa e gestisce misure di sicurezza organizzativa e tecniche applicabili ai servizi di infrastruttura del cloud AWS, in base a quadri di garanzia e certificazioni di sicurezza globalmente riconosciuti, tra cui ISO 27001, ISO 27017, ISO 27018, PCI DSS livello 1 e SOC 1, 2 e 3. Queste misure di sicurezza tecnica e organizzativa sono convalidate da entità di controllo indipendenti di terze parti e sono studiate per impedire l’accesso non autorizzato o la divulgazione del contenuto dei clienti.

Ad esempio, la norma ISO 27018 è il primo codice di condotta internazionale che si concentra sulla protezione dei dati personali nel cloud. È basata sullo standard ISO di sicurezza delle informazioni 27002 e fornisce linee guida per l'implementazione di controlli di sicurezza previsti dalla ISO 27002 applicabili alle informazioni personali di identificazione (PII) elaborate dai fornitori di servizi cloud pubblici. La conformità di AWS certifica che AWS dispone di un sistema di controlli mirato a proteggere la privacy dei contenuti dei clienti.

Queste misure tecniche e organizzative complete offerte da AWS sono coerenti con gli obiettivi dei PDPL e con la risoluzione 47 ai sensi dei PDPL per la protezione dei dati personali. I clienti che utilizzano i servizi AWS mantengono il controllo sui contenuti e sono responsabili dell'implementazione di misure di sicurezza aggiuntive basate sulle loro esigenze specifiche, tra cui la classificazione, la crittografia, la gestione degli accessi e le credenziali di sicurezza relative ai contenuti.

Poiché AWS non può controllare in modo significativo il tipo di contenuti archiviati in AWS dai clienti, né verificare se tali dati sono da considerarsi soggetti ai PDPL, i clienti sono i responsabili ultimi del rispetto della conformità ai PDPL e ai regolamenti correlati. Il contenuto della presente pagina integra le risorse esistenti di privacy dei dati per aiutarti ad allineare i tuoi requisiti con il  Modello di responsabilità condivisa di AWS nel momento in cui elabori i dati personali in data center internazionali.

  • Ai sensi del Modello di responsabilità condivisa di AWS, i clienti AWS detengono il controllo sulle procedure di sicurezza da implementare per proteggere contenuti, piattaforma, applicazioni, sistemi e reti, analogamente a quanto avverrebbe se utilizzassero per le loro applicazioni un data center in locale. I clienti si possono basare sulle misure di sicurezza tecniche e organizzative e sui controlli offerti da AWS per la gestione dei loro requisiti di conformità. I clienti possono utilizzare misure familiari per proteggere i loro dati, ad esempio la crittografia e la multi-factor authentication, oltre alle funzionalità di sicurezza AWS, quali AWS Identity and Access Management.

    Quando si esamina la sicurezza di una soluzione cloud, è importante che i clienti sappiano distinguere tra:

    • Misure di sicurezza implementate e gestite da AWS: "sicurezza del cloud" e
    • Misure di sicurezza implementate e gestite dal cliente, relative alla protezione dei contenuti e delle applicazioni dell'organizzazione che impiegano i servizi AWS: "sicurezza nel cloud"
  • I clienti mantengono la titolarità e il controllo dei propri contenuti e scelgono quali servizi AWS possono elaborare, archiviare o conservare in hosting i loro contenuti. AWS non può controllare in modo significativo i contenuti dei clienti, né vi accede o li utilizza, salvo per fornire i servizi AWS selezionati dai clienti oppure ove richiesto per ottemperare alle disposizioni di legge o a un atto vincolante.

    I clienti che ricorrono ai servizi AWS mantengono il controllo del loro contenuto all'interno dell'ambiente AWS. Possono:

    • determinare dove memorizzare i contenuti, ad esempio il tipo di ambiente di storage e l'area geografica dove conservarli; 
    • controllare il formato dei contenuti, ad esempio testo semplice, mascherato, anonimo o crittografato, utilizzando il meccanismo di crittografia fornito da AWS o da terze parti, secondo le loro preferenze; 
    • utilizzare ulteriori controlli degli accessi, come gestione di identità e accessi e credenziali di sicurezza; 
    • controllare se utilizzare SSL, Virtual Private Cloud e altre misure di sicurezza di rete per impedire l’accesso non autorizzato.

    Ciò consente ai clienti AWS di controllare l'intero ciclo di vita dei contenuti che decidono di caricare in AWS, gestendoli in base alla riservatezza o alle necessità di controllo degli accessi, di retention o di eliminazione.

  • L’infrastruttura globale di AWS ti offre la flessibilità per scegliere come e dove eseguire i carichi di lavoro e, quando lo fai, darti la possibilità di utilizzare la stessa rete, pannello di controllo, API e servizi AWS. Se vuoi eseguire le tue applicazioni a livello globale, puoi scegliere una qualsiasi delle Regioni AWS e delle zone di disponibilità. I clienti di AWS potranno scegliere una o più Regioni in cui archiviare i contenuti dei propri clienti, in modo da poter distribuire i servizi AWS nell'area (o aree) di loro scelta, in base ai loro requisiti geografici specifici. Ad esempio, se un cliente AWS in Australia desidera archiviare i propri dati solo in Australia, può scegliere di distribuire i propri servizi AWS esclusivamente nella Regione AWS Asia Pacifico (Sydney). Se desideri scoprire altre opzioni di archiviazione flessibile, consulta la pagina Web dedicata alle Regioni AWS.

    Puoi replicare ed eseguire backup dei contenuti del cliente in più Regioni AWS. Non sposteremo né replicheremo contenuti al di fuori delle Regioni AWS scelte senza il consenso del cliente, salvo che ciò sia richiesto per legge o come conseguenza di un ordine vincolante da parte di un ente governativo. È tuttavia importante notare che non tutti i servizi AWS potrebbero essere disponibili in tutte le Regioni AWS. Per ulteriori informazioni su quali sono i servizi disponibili in ogni Regione AWS, consulta la pagina Web Servizi AWS regionali.

  • La strategia di sicurezza dei data center di AWS è assemblata con controlli della sicurezza scalabili e livelli multipli di difesa, che facilitano la protezione delle tue informazioni. Ad esempio, AWS gestisce con attenzione i rischi potenziali di alluvioni e di sismicità. Ricorriamo a barriere fisiche, guardie particolari giurate, tecnologia di rilevamento delle minacce e a un processo di screening approfondito per limitare l’accesso ai data center. Eseguiamo il backup dei nostri sistemi, effettuiamo test regolari di attrezzature e processi e formiamo costantemente i dipendenti di AWS affinché siano pronti a ogni evenienza.

    Per convalidare la sicurezza dei nostri data center, i revisori esterni eseguono i test su oltre 2.600 standard e requisiti nel corso dell’anno. Questi esami indipendenti aiutano ad assicurare che gli standard di sicurezza siano sempre soddisfatti o addirittura superati. Ecco perché organizzazioni altamente regolamentate a livello globale si affidano ad AWS per la protezione dei loro dati.

    Per ulteriori informazioni sulla Security by Design dei nostri data center di AWS, fai un tour virtuale »

  • I clienti possono scegliere di usare qualsiasi altra regione, tutte le regioni o una combinazione di esse, tra cui quelle del Brasile e degli Stati Uniti. Per un elenco completo delle regioni AWS, consulta la pagina Infrastruttura globale AWS.

  • Ai sensi di PDPL, i responsabili del trattamento dei dati (ad es. i clienti AWS) sono autorizzati a trasferire i dati personali alle giurisdizioni che offrono un “livello adeguato di protezione” per i dati personali, come indicato da ADPA. Secondo la disposizione 60-E/2016 pubblicata dall’ADPA, si ritiene che gli stati membri dell’Unione Europea (UE) e della Comunità economica europea (CEE) offrano livelli adeguati di protezione dei dati personali.

    AWS possiede regioni in numerosi paesi che secondo l’ADPA forniscono un “livello adeguato di protezione” ai sensi di PDPL, come Germania, Francia, Regno Unito e Irlanda nell’UE. Per un elenco completo delle regioni AWS, consulta la pagina Infrastruttura globale AWS.

    A prescindere dalla regione scelta, AWS applica i medesimi standard di sicurezza ai suoi data center.

  • Nell'ambito degli accordi stipulati con i clienti, in ogni regione in cui questi scelgono di memorizzare i loro dati, AWS si impegna in modo specifico nella sicurezza e nella privacy del contenuto dei clienti in generale. Gli impegni assunti da AWS sono coerenti con gli obiettivi di protezione dei dati personali dei PDPL, secondo la disposizione 60-E/2016 e la risoluzione 47/2018 ai sensi dei PDPL.

    AWS offre ugualmente un Addendum sul trattamento dei dati (DPA), anche indicato come accordo sul trasferimento dei dati, che si applica globalmente e include impegni contrattuali specifici al fine di affrontare adeguatamente i ruoli e gli obblighi di ciascuna parte in materia di privacy e sicurezza dei dati personali.

    I clienti potrebbero avere la facoltà di registrarsi a un contratto aziendale con AWS, eventualmente personalizzabile per rispondere al meglio alle loro esigenze specifiche. Per ulteriori informazioni sugli accordi aziendali o sul DPA di AWS, contattare il rappresentante dell'ufficio Commerciale AWS.

Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »