5 O D O O + Ò U O q O v fu O O o), _ AD Dicembre 2020 Google Workspace della protezione dei dati Ud e \Lé SI N n LL ser Wi Lt Google Cloud € Google Cloud , Indice Indice 1 Trattare i dati personali dei clienti all'interno dei nostri servizi 2 Il nostro impegno per la privacy 3 Il modello di responsabilità condivisa di Google 4 Servizi Google 6 Servizi principali di Google Workspace 6 Funzionalità incorporate nei Servizi principali di Google Workspace 7 Feedback 7 Servizi aggiuntivi 8 Account Google gestito dall’organizzazione 10 Servizi di assistenza tecnica 10 Best practice relative alla privacy 11 Scegliere quali Servizi aggiuntivi attivare per gli utenti 17 Aiutare gli utenti a utilizzare Gestione attività per la privacy 17 Stabilire quali utenti possono utilizzare Sincronizzazione Chrome e consigli su altre impostazioni di Chrome 14 Separare l'accesso degli utenti all'interno del dominio 16 Raccomandare agli utenti di mantenere separati gli Account Google gestiti dell'organizzazione e quelli personali 16 Consultare i consigli relativi allo stato della sicurezza 16 Esaminare l'utilizzo di applicazioni di terze parti all'interno dell'organizzazione 17 Monitorare l'attività degli account 18 Stabilire criteri relativi alla privacy per i nomi dei file e dei percorsi 18 Risorse aggiuntive 19 Appendice 1: mappatura dei controlli per la privacy 20 Considerazione sul titolare del trattamento dei dati 20 Norme sulla protezione dei dati dell'organizzazione e relativa valutazione 22 Impostazioni relative alla protezione e la sicurezza dei dati 27 Disclaimer Lo scopo di questa guida è aiutare gli amministratori di Google Workspace a comprendere meglio come utilizzare e personalizzare i servizi e le impostazioni di Google Workspace in modo da soddisfare i requisiti di conformità relativi alla protezione dei dati. Ti consigliamo di rivolgerti a un legale per ricevere assistenza sui requisiti specifici applicabili alla tua organizzazione, in quanto questa guida non costituisce parere legale. Il contenuto di questa guida è aggiornato a Dicembre 2020 e rappresenta lo status quo al momento in cui è stata redatta. In futuro, le norme e i sistemi di Google potranno essere soggetti a modifiche, come parte del nostro impegno per il miglioramento continuo della protezione dei nostri clienti. 2S Google Cloud ) Trattare i dati personali dei clienti all'interno dei nostri servizi Comprendere i requisiti relativi alla protezione dei dati Google si impegna ad aiutare i propri clienti a ottemperare ai loro obblighi relativi alla protezione dei dati a livello globale, inclusi i requisiti previsti dal Regolamento generale sulla protezione dei dati (GDPR), offrendo prodotti e strumenti utili, integrando solide protezioni per la sicurezza e la privacy nei propri prodotti e nei propri contratti e fornendo certificazioni e rapporti di controllo. Ai sensi dell'Emendamento sul trattamento dei dati (ETD) di Google Workspace, Google svolge il ruolo di responsabile del trattamento dei dati personali dei clienti che vengono trasmessi, archiviati, inviati o ricevuti dalla tua organizzazione attraverso i servizi di Google Workspace e tratta tali dati per tuo conto e dietro tue istruzioni. In qualità di cliente, la tua organizzazione svolge il ruolo di titolare del trattamento dei dati personali dei clienti.[1] Ciò significa che è la tua organizzazione a determinare lo scopo del trattamento e i mezzi con cui viene effettuato. Ti consigliamo di effettuare una valutazione del Contratto Google Workspace sottoscritto dalla tua organizzazione, dell'ETD di Google Workspace, nonché di tutti i termini applicabili a qualsiasi altro servizio Google che decidi di rendere disponibile per gli utenti finali che accedono ad account gestiti dell'organizzazione (ad esempio, i servizi aggiuntivi che hai attivato per il tuo dominio). € Google Cloud 3 Google si assume i seguenti per i prodotti Google Workspace, delineando in tal modo la propria responsabilità complessiva in relazione alla protezione della tua azienda durante l'utilizzo delle Soluzioni aziendali di Google. Tali impegni sono supportati dai fermi che assumiamo nei tuoi confronti. e Seitua controllare i tuoi dati. | dati del cliente[2] sono di proprietà della tua organizzazione, non di Google. Li trattiamo soltanto in base a quanto stabilito dai contratti che abbiamo sottoscritto. e Nonutilizziamo in alcun caso i dati della tua organizzazione a scopo di targeting pubblicitario. Non trattiamo i dati del cliente o i dati di servizio per creare profili per annunci pubblicitari o per migliorare i prodotti Google Ads. e Adottiamocriteri di trasparenza nella raccolta e nell'utilizzo dei dati. Ci impegniamo ad adottare criteri di trasparenza e best practice in materia di privacy e a ottemperare a norme come il GDPR. e Nonvendiamo mai i dati dei clienti o i dati di servizio. Non vendiamo mai i dati relativi ai clienti o ai servizi|3] a terze parti. e Lasicurezza e la privacy rappresentano criteri di progettazione fondamentali per tutti i nostri prodotti. Dare priorità alla privacy dei nostri clienti vuol dire proteggere i dati che questi ci affidano. Integriamo nei nostri prodotti le tecnologie di sicurezza più avanzate. Abbiamo progettato Google Workspace in modo da soddisfare gli standard più severi in materia di privacy e sicurezza, in base alle best practice del settore.|4] Oltre ad assumere stringenti obblighi contrattuali in materia di proprietà e utilizzo dei dati, sicurezza, trasparenza e responsabilità, mettiamo a tua disposizione gli strumenti necessari per soddisfare i requisiti di conformità e reporting a cui la tua organizzazione deve attenersi (per ulteriori informazioni, vedi l'Appendice 1). Inoltre, i nostri contribuiscono a chiarire quali sono i nostri impegni in materia di privacy e ciò che la tua organizzazione può aspettarsi in relazione alla protezione e la gestione dei dati nel cloud. oMomomo € Google Cloud 4 La trasparenza fa parte del DNA di Google. Ci impegniamo al massimo per guadagnare e mantenere la fiducia dei nostri clienti attraverso la trasparenza. Noi di Google Cloud crediamo che la fiducia si costruisca attraverso la trasparenza. Vogliamo quindi essere trasparenti riguardo ai nostri impegni e a ciò che la tua organizzazione può aspettarsi in relazione alla nostra responsabilità condivisa nei confronti della protezione e della gestione dei dati nel cloud. In Google Cloud lavoriamo per creare un ecosistema basato sulla fiducia concentrandoci su tre aree chiave: assicurare la privacy e la sicurezza dei dati dei nostri clienti e l'affidabilità dei nostri servizi e definire, nonché rispettare, gli standard più elevati del settore in materia di trasparenza e sicurezza. Proteggiamo inoltre tutti i dati associati ai servizi. | dati associati ai servizi sono le informazioni raccolte o generate da [omissis] fornitura e l'amministrazione di Google Workspace e sono essenziali per garantire la sicurezza e la disponibilità dei nostri servizi. | dati associati ai servizi non includono i dati del cliente, ma informazioni relative alle impostazioni di sicurezza, dettagli operativi e dati di fatturazione. Trattiamo i dati associati ai servizi per diversi scopi, descritti in dettaglio nell'Informativa sulla privacy di Google Cloud che abbiamo pubblicato di recente, ad esempio per fornire consigli su come ottimizzare l'utilizzo di Google Workspace e migliorare le prestazioni e le funzionalità. II modello di responsabilità condivisa di Google La protezione dei dati non è esclusiva responsabilità delle aziende che utilizzano i servizi di Google Workspace, né di Google che fornisce tali servizi. La protezione dei dati sul cloud è invece una responsabilità condivisa che implica la collaborazione tra il cliente e il fornitore di servizi cloud (CSP, Cloud Service Provider). Il modello di responsabilità condivisa di Google descrive in modo visivo le diverse responsabilità relative alla sicurezza che Google e i propri clienti condividono. Google Workspace è un prodotto SaaS (Software as a Service), un modello in cui la quasi totalità degli elementi è responsabilità dei CSP, fatta eccezione per i contenuti e i relativi criteri di accesso. Nel modello SaaS, i CSP gestiscono l'infrastruttura fisica e virtuale e il livello della piattaforma e, allo stesso tempo, forniscono applicazioni e servizi basati su cloud destinati all'utilizzo da parte dei clienti. Le applicazioni Internet che vengono eseguite direttamente in un browser web o le app per dispositivi mobili sono applicazioni SaaS. In questo modello, i clienti non devono preoccuparsi di installare, aggiornare o supportare le applicazioni: il loro compito è semplicemente gestire i criteri di accesso al sistema e ai dati. Importante: in qualità di cliente Google Workspace, sei responsabile della sicurezza dei componenti che fornisci o controlli, come i contenuti che inserisci nei servizi di Google Workspace e di determinare i controlli di accesso per gli utenti. € Google Cloud 5 laaS PaaS$S SaaS Content Access policies Usage Deployment Web application security Identity Operations Access and authentication Network security Guest OS, data & content Audit logging Network Storage + encryption Hardened Kernel + IPC Boot Hardware MM Soogle's responsibility MI Users responsibility Il Modello di responsabilità condivisa può essere utilizzato come guida alla protezione dei dati del cliente su Google Workspace. In base a diverse normative sulla protezione dei dati, sei responsabile dei controlli di sicurezza a protezione dei Dati personali dei clienti che sono in tuo possesso, del monitoraggio del trattamento dei Dati personali dei clienti, dell'accesso a tali dati, di assicurarne l'accuratezza e di gestirne il ciclo di vita. Google protegge l'infrastruttura che sta alla base di [omissis] raverso l'intero ciclo di vita del trattamento dei dati. La sicurezza viene fornita a ciascun livello attraverso il livello hardware, le comunicazioni tra servizi a livello di hardware, la gestione degli accessi tra servizi, l'archiviazione dei dati, le comunicazioni su Internet e la sicurezza operativa. Per ulteriori informazioni su questo argomento, leggi il white paper Google Infrastructure Security Design Overview. € Google Cloud 6 Servizi Google In questa sezione forniremo una panoramica di vari servizi Google a te offerti, inclusi Servizi principali di Google Workspace, funzionalità incorporate, Servizi aggiuntivi, Account Google gestito dall'organizzazione e servizi di assistenza tecnica. e Servizi principali di Google Workspace: servizi elencati e descritti nel riepilogo dei servizi. e Funzionalità incorporate nei Servizi principali di Google Workspace: incorporate nei Servizi principali di Google Workspace e automaticamente disponibili per tutti gli utenti Google Workspace e Feedback:i feedback relativi a controllo ortografico e correzioni grammaticali e i feedback interni ai prodotto sono soggetti alle Norme sulla privacy di Google e Servizi aggiuntivi: non venduti come parte dell'offerta di Google Workspace e possono essere rappresentati da qualsiasi servizio Google che possa essere usato con un Account Google gestito dall'organizzazione. Un elenco non esaustivo di Servizi aggiuntivi Google è disponibile qui e Account Google gestito dall'organizzazione: un Account Google gestito dall'’organizzazione è necessario perché tu possa usare Google Workspace (separato dall’Account Google personale) ed è gestito da un amministratore e Servizi di assistenza tecnica: gli amministratori di Google Workspace possono contattare Google per ricevere servizi di assistenza tecnica tramite telefono, email o chat Servizi principali di Google Workspace | Servizi principali di Google Workspace sono i servizi elencati e descritti nel riepilogo dei servizi riportato nei Termini di servizio di Google Workspace. Ne sono esempi Gmail, Documenti, Fogli e Presentazioni. Si tratta dei servizi forniti ai clienti Google Workspace ai sensi del Contratto Google Workspace sottoscritto dalla tua organizzazione.[5] L'Emendamento sul trattamento dei dati (ETD) di Google Workspace, nella misura in cui è applicabile,[6] stabilisce il modo in cui Google tratta i Dati dei clienti dai Servizi principali. | dati dei clienti sono i dati che le organizzazioni e i loro utenti forniscono a Google affinché siano trattati nei Servizi principali di Google Workspace, inclusi i Dati personali dei cliente (così come sono definiti nell'Emendamento sul trattamento dei dati). | clienti possono dare il loro consenso all'ETD nella Console di amministrazione Google, a patto che si trovino al di fuori dell'Europa e che considerino l'Emendamento sufficiente a soddisfare le loro esigenze di conformità. € Google Cloud _ Funzionalità incorporate nei Servizi principali di Google Workspace | Servizi principali includono diverse funzioni, ad esempio il correttore ortografico e grammaticale, Esplora, l'integrazione della geolocalizzazione in Calendar e Traduttore. Queste funzioni sono incorporate nei Servizi principali di Google Workspace e sono automaticamente disponibili per tutti gli utenti del prodotto. Google svolge il ruolo di responsabile del trattamento dei Dati personali dei clienti attraverso le funzioni incorporate nei Servizi principali di Google Workspace. Le funzionalità sono sottoposte alle regole dell'ETD di Google Workspace quando sono utilizzate congiuntamente ai Servizi principali di Google Workspace. Gli utenti possono decidere di disattivare alcune funzioni incorporate (ad esempio, disattivare la correzione automatica e i suggerimenti nel correttore ortografico e grammaticale di Documenti Google e di Gmail) oppure scegliere di non utilizzarle (ad esempio, "Traduci documento" ed Esplora). Tieni presenti che se utilizzi Esplora per passare a un sito di terze parti, l'utilizzo di quel sito non è sottoposto alle protezioni previste dall'ETD di Google Workspace. Feedback Gli utenti possono fornire il loro feedback per le correzioni suggerite dal correttore ortografico e grammaticale (vedi l'esempio più avanti). È importante sottolineare che i Dati dei clienti non vengono utilizzati per migliorare il correttore ortografico e grammaticale per altri account dei clienti. Feedback on correction faddback + Feedback Hiore detailed feedback (I sa US it di "or matlon voy) ge us 10 È GI al drmass ta DI hi VCol SSAHES i mprose cur services, subject to cur Privacy Policy and Terms of Service Sand Feedback Mettiamo a disposizione dei clienti anche un'opzione che consente loro di fornire un feedback all'interno dei prodotti. Gli utenti possono scegliere di inviare screenshot in cui è rappresentato un problema che € Google Cloud hanno riscontrato, utilizzando uno strumento da noi fornito per nascondere le informazioni sensibili. Tieni presente che il feedback fornito volontariamente attraverso i nostri appositi strumenti verrà trattato in base alle Norme sulla privacy di Google, di cui informiamo gli utenti in tutti i punti di inserimento di tale feedback. Google agisce come titolare del feedback che raccoglie tramite feedback sul controllo ortografico e grammaticale e feedback interno dei prodotti. Have feedback? Wie'd love to hear it, but please don't shere sensitive information. Have questions? Try help or support BI Include screenshot Click to heghilight or hide into Go io the Legal Help page to request content changes for bisgal reagona, Some accomuna and syalem information men be sent to Google We will use the information you give us fo help address technical isgues and to improve cur serviosa, subject to pur Privacy Policy and Terms cf Service. CANCEL SEND Servizi aggiuntivi | Servizi aggiuntivi non vengono venduti come parte dell'offerta Google Workspace e possono corrispondere a uno qualsiasi dei servizi Google a cui è possibile accedere con un Account Google gestito dall’organizzazione. Puoi consultare un elenco non esaustivo dei Servizi Google aggiuntivi qui. Poiché non fanno parte dell'offerta Google Workspace, questi servizi e prodotti non sono soggetti a quanto stabilito dall'ETD di Google Workspace e dal Contratto Google Workspace. Per offrire ai clienti Google Workspace un'esperienza omogenea, i Servizi Google aggiuntivi sono accessibili agli utenti mediante i relativi Account Google gestiti dall'’organizzazione. Come illustrato in dettaglio nella pagina Servizi Google aggiuntivi, la maggior parte dei Servizi aggiuntivi è soggetta ai Termini di servizio e alle Norme sulla privacy di Google. Per alcuni servizi aggiuntivi, inoltre, esistono termini di servizio specifici. Per leggere i termini, vai alla pagina Servizi Google aggiuntivi e apri la sezione intitolata Servizi con controllo di attivazione/disattivazione individuale. Importante: per motivi di conformità, gli amministratori di Google Workspace potrebbero dover limitare l'accesso ai Servizi aggiuntivi da parte degli utenti che hanno effettuato l'accesso ai loro Account Google gestiti dall'organizzazione. € Google Cloud o Gli amministratori possono controllare a quali Servizi aggiuntivi possono accedere gli utenti che hanno effettuato l'accesso ai loro Account Google gestiti dall'’organizzazione attivando o disattivando ciascun servizio nella Console di amministrazione Google per quegli utenti. Queste impostazioni possono essere configurate prima che l'amministratore esegua il provisioning degli account utente. Per istruzioni dettagliate, vai alla pagina Servizi Google aggiuntivi e apri la sezione intitolata Attivare o disattivarei servizi per gli utenti. Oltre a Google Workspace e ad altri servizi Google che possono gestire singolarmente con un controllo di attivazione o disattivazione nella Console di amministrazione, gli amministratori possono gestire l'accesso a servizi Google non elencati privi di un controllo individuale, come Chromecast e Google Surveys. Per informazioni dettagliate su come attivare o disattivare questi servizi, vedi Gestire i servizi non controllabili individualmente. Nota: anche se un amministratore disattiva l'accesso ai Servizi aggiuntivi per gli utenti che hanno effettuato l'accesso, questi possono comunque utilizzarli senza autenticarsi. Ad esempio, se l'amministratore ha disattivato YouTube nella Console di amministrazione, gli utenti possono comunque visitare YouTube e utilizzare il servizio senza effettuare l'accesso, ma i tentativi di accesso effettuati utilizzando il loro Account Google gestito dall'organizzazione non riusciranno. In questo caso, Google non tratterà i dati che possono essere collegati all'Account Google gestito dall'organizzazione dell'utente. Consigliamo al consulente legale o al responsabile della protezione dei dati (RPD) della tua organizzazione, o a una persona con ruolo equivalente, di condurre, ove applicabile, una valutazione dell'impatto del trattamento dei Dati personali dei clienti quando questi prodotti vengono utilizzati, per determinare se e come l'organizzazione può ottemperare ai propri obblighi come titolare o responsabile del trattamento dei dati, a seconda dei casi, per ciascuno di questi prodotti. € Google Cloud 10 Affinché gli utenti della tua organizzazione possano utilizzare i servizi Google Workspace, devi fornire loro un account. Con un Account Google gestito dall’organizzazione, ciascun utente riceve un nome e una password per accedere ai servizi Google, un indirizzo email appartenente al tuo dominio e un profilo. Gli utenti possono fornire dati direttamente, quando inseriscono il nome o caricano un'immagine del profilo, oppure indirettamente, quando Google raccoglie i dati relativi al Momento, allo scopo e al contesto (app/Web, piattaforma e dispositivo) dell'accesso da parte dell'utente. Quando accedono al loro nuovo Account Google gestito dall’organizzazione creato da te, gli utenti ricevono un avviso in cui viene spiegato loro come vengono raccolti i loro dati, e in che modo il loro utilizzo dei Servizi principali di Google Workspace è regolato dai termini di Google Workspace sottoscritti dalla tua organizzazione. L'avviso chiarisce inoltre che l'utilizzo dei Servizi aggiuntivi, qualora avvenga tramite l'Account Google gestito dall’organizzazione, è soggetto alle Norme sulla privacy di Google, ai Termini di servizio di Google, nonché a eventuali termini specifici dei servizi. Per ulteriori informazioni relative alla creazione di Account Google gestiti dall'organizzazione, vedi Per gli amministratori di Google Workspace è disponibile l'assistenza online, telefonica e via chat. | dati raccolti e trattati nel corso della fornitura di servizi di assistenza tecnica in relazione all'utilizzo dei Servizi principali di Google Workspace sono soggetti a quanto stabilito nelle (TSSG, Technical Support Services Guidelines) e nell'Informativa sulla privacy di Google Cloud. Google raccoglie e tratta i dati allo scopo di fornire e gestire i servizi di assistenza descritti nelle TSSG. Ai sensi del Contratto Google Workspace (o delle TSSG), Google non ha l'obbligo di fornire assistenza per alcun Servizio aggiuntivo. € Google Cloud vi Best practice relative alla privacy In questa sezione forniamo alcune best practice che puoi applicare riguardanti come personalizzare i servizi di Google Workspace in modo da soddisfare le esigenze di conformità della tua organizzazione. Tieni presente che non si tratta di un elenco completo ed esaustivo di tutte le potenziali pratiche. Ti consigliamo di rivolgerti a un legale o al responsabile della protezione dei dati della tua organizzazione per ricevere assistenza sui requisiti specifici applicabili alla tua organizzazione, in quanto questa guida non costituisce parere legale. Scegliere quali Servizi aggiuntivi attivare per gli utenti | Servizi aggiuntivi non fanno parte dell'offerta Google Workspace e non sono coperti dall'ETD di Google Workspace o dal Contratto Google Workspace. Nella Console di amministrazione, tutti i Servizi aggiuntivi sono attivi per impostazione predefinita. Ti consigliamo, in qualità di amministratore, di selezionare quali Servizi aggiuntivi, come YouTube, Maps e Blogger, attivare o disattivare per gli utenti, in particolare per i clienti soggetti a limitazioni a causa dell'età oppure che gestiscono dati di natura estremamente sensibile o soggetti a rigorosa regolamentazione, come i dati finanziari, sanitari e governativi. Per ulteriori informazioni, consulta la sezione Servizi aggiuntivi in questa guida. Aiutare gli utenti a utilizzare Gestione attività per la privacy Consiglia agli utenti di attivare le opzioni appropriate in Gestione attività al fine di ottemperare alle norme relative alla privacy in vigore nella tua azienda e, allo stesso tempo, soddisfare le loro esigenze personali. Se gli utenti non desiderano che Google archivi la cronologia delle loro attività per fornire loro un'esperienza utente personalizzata, consiglia loro di disattivare alcune impostazioni nella pagina Gestione attività. Per ulteriori dettagli, vedi le istruzioni e le linee guida riportate di seguito. e Cronologia delle posizioni: valuta se è opportuno attivare o disattivare la Cronologia delle posizioni per gli Account Google gestiti dall'’organizzazione degli utenti. Per impostazione predefinita, questa opzione non è attiva. La Cronologia delle posizioni può essere attivata soltanto nella Console di amministrazione Google e se anche gli utenti l'hanno attivata. Nella console di amministrazione, vai ad Applicazioni > Servizi Google aggiuntivi > Location History (Cronologia delle posizioni). Fornisci agli utenti le istruzioni su come attivare o disattivare la Cronologia delle posizioni aprendo la pagina Gestione attività del loro Account Google gestito dall’organizzazione. Le istruzioni per gli utenti sono consultabili nell'articolo Gestire la Cronologia delle posizioni. € Google Cloud 1 = (Google Admin Le tr nai atte pegate Additional Google services (© accesso adaitional services without individual comtrol for all organizational units ls iumed DIf CHANGE G Additional Google services _Showing l steius for appe in all anganizalionel unita: ADD SERVICE [] seno Berdice Eoaus All argere in Rie tenui ° o {oca ha ohi DI for svennne "af idividual ateraza DI dor mvarpone Oqafezanisnal feta a fa zie siaraga n" ! [Is Locator History DA tor everpone Tum DEF for everyone Po i L= banane Goodle Pio DM tor evenone e Cronologia di YouTube: valuta se è opportuno attivare o disattivare YouTube per gli utenti. Nella Console di amministrazione, vai ad Applicazioni > Servizi Google aggiuntivi > YouTube. Quando attivi YouTube nella Console di amministrazione, gli utenti hanno l'opzione di attivare o disattivare la Cronologia di YouTube individualmente nella pagina Gestione attività. | video che guarderanno quando la cronologia non è attiva non compariranno nella cronologia. Inoltre, la cronologia non verrà utilizzata per migliorare i consigli che saranno loro proposti. Le istruzioni per gli utenti sono consultabili nell'articolo Visualizzare, eliminare o sospendere la cronologia delle visualizzazioni. «i Google Admin LI" Trai nt Saeltinga far YouTube db lemma cf Servite Thioùnereitela hot varetry e G Suite Agregar 6 ‘ouTube “Ralur Candia trvice dali stiius masi CH se. LComent sellings "a Eetup Special approvare e Personalizzazione degli annunci: gli annunci sono basati sulle informazioni personali che gli utenti aggiungono al proprio Account Google gestito dall'’organizzazione, i dati provenienti dagli inserzionisti che hanno stabilito partnership con Google e le previsioni di Google relative agli interessi degli utenti. Quando la Personalizzazione degli annunci è attiva, , viene attivata un'esperienza pubblicitaria personalizzata per singoli utenti. Tuttavia, questi ultimi hanno la possibilità di attivare o disattivare questa impostazione nella pagina Gestione attività. Se la personalizzazione degli annunci non è attiva, Google non utilizzerà più le informazioni degli utenti € Google Cloud 13 per personalizzare gli annunci che vengono loro proposti. Prendi in considerazione la possibilità di invitare gli utenti ad andare alla pagina Gestione attività per attivare o disattivare la Personalizzazione degli annunci. Nota: Google Workspace non utilizza i dati dei clienti a scopi pubblicitari. La funzione di Personalizzazione degli annunci è applicabile esclusivamente ai servizi Google offerti al di fuori di Google Workspace. Google Account a, (d (i Home Manage your actàity contrada E | Farsonalinfa r l a 4 sa . 3 (Data & personalization Ad personalization Activity and timeline È decuanty 3 Puople & sharing Ad personalizaticn it ; hiy Actheity BI Faymenta £ subscriptiona G dm Ù E xi Ci) Alacui -_ i imelina D | Ei leo to ad settinge I Attività web e app: valuta se è opportuno attivare o disattivare l'opzione Attività web e app (WAA, Web & App Activity) per gli utenti. Nella Console di amministrazione, vai ad Applicazioni > Servizi Google aggiuntivi > Attività web e app. Per impostazione predefinita, il controllo WAA è attivo per l'organizzazione, ma l'impostazione di personalizzazione di WAA per gli utenti finali non è attiva. Quando il servizio WAA è attivo per l'organizzazione, gli utenti finali hanno la possibilità di attivarlo o disattivarlo in base alle proprie preferenze. Se l'amministratore disattiva il controllo WAA per l'organizzazione nella Console di amministrazione, gli utenti finali non saranno in grado di attivarlo singolarmente. Se gli utenti decidono di attivare i controlli WAA singolarmente, le loro ricerche e le attività che svolgono in altri servizi Google vengono salvate nei loro Account Google gestito dall’organizzazione, in modo da consentire una maggiore personalizzazione della loro esperienza. Gli utenti possono consultare ed eliminare le loro Attività web e app nella pagina Gestione attività. Le istruzioni per gli utenti sono consultabili nell'articolo Visualizzare e controllare l'Attività web e app. € Google Cloud 1A au Google fate pia. ei betta (pi lei ll Li-i Mn gn Inti Adgitional Goooke smaicidì Od fincese to addilional saraces who indisidual corteo Tor all organization ante is turned (HA DM HEI G Additional Google Services Showing status for appa in all'organizationel unita ADD SERVICE] LL] Rervinne Alusere n ho ac50uni ] 8 Studio DA far [ | G ThuirdParty Agp Backupa DH far sservonre # LI PM Tour Creator DI fer ara PO sazia ;5F | GG arse | Tum {FF # LI |* n Witrnd App Azthlty DI for sservone D Stabilire quali utenti possono utilizzare Sincronizzazione Chrome e consigli su altre impostazioni di Chrome Sincronizzazione Chrome consente agli utenti di salvare i preferiti, la cronologia, le password e altre informazioni in modo sicuro nei loro Account Google gestito dall'organizzazione e di accedere a queste impostazioni su Chrome da qualsiasi dispositivo. In qualità di amministratore, puoi determinare chi può utilizzare Sincronizzazione Chrome dal proprio account gestito dall'’organizzazione attivando o disattivando la funzione. Nella Console di amministrazione, vai a Servizi Google aggiuntivi > Google Chrome Sync [omissis] . Se la funzione Sincronizzazione Chrome è attiva, gli utenti possono visualizzare e aggiornare le informazioni sincronizzate su qualsiasi dispositivo, ad esempio preferiti, cronologia, password e altre impostazioni. Inoltre gli utenti possono scegliere quali funzionalità Google utilizzare in Chrome . Ad esempio: e Contribuisci a migliorare le funzionalità e le prestazioni di Chrome: l'invio a Google di rapporti sugli arresti anomali e le statistiche sull'utilizzo è attivo per impostazione predefinita, ma l'utente può disattivarlo nelle impostazioni di Chrome. Le statistiche sull'utilizzo contengono informazioni come preferenze, clic sui pulsanti, prestazioni e utilizzo della memoria. In generale, le statistiche sull'utilizzo di Chrome non includono gli URL di pagine web o dati personali, tuttavia se l'utente ha attivato "Migliora le ricerche e le attività di navigazione" nelle impostazioni di Chrome, le statistiche sull'utilizzo includeranno informazioni relative alle pagine web che ha visitato e come le ha utilizzate. Se la funzione Sincronizzazione Chrome è attiva, Chrome può anche combinare con le statistiche eventuali informazioni relative all'età e al sesso inserite dall'utente nel proprio Account Google gestito dall'organizzazione per aiutarci a creare prodotti migliori per tutti i segmenti demografici. Queste informazioni non consentono di identificare l'utente e sono utilizzate solo in forma aggregata. | rapporti sugli arresti anomali contengono informazioni sul sistema raccolte al momento dell'arresto e possono includere URL di pagine web o informazioni personali, a seconda delle attività in corso al Momento dell'attivazione del rapporto. Ti consigliamo di invitare gli utenti ad attivare o disattivare questa impostazione in base alle proprie € Google Cloud Ni esigenze personali e alle norme aziendali. Le istruzioni per gli utenti sono consultabili nell'articolo Attivare o disattivare la segnalazione automatica di errori e arresti anomali. Other Google services Allow Chrome sign-in Ev tumina this off you Gan sign in to Google sites like Gmail wliiout signing into Chrome Autocomplete searches and URLS Sends some cookies and searches from the address bar and search box to your default search Grigia Help improve Chrome's features and pertormance fAutomaticalliy =en ds usa ge statistica and crash reports to lioggle Make searches and browsing better Sends URLS of pages you visit to Google Enhanced spell check To fix spelling errars, Chrome sends the text voy type in he browser to Google e Controllo ortografico avanzato: il controllo ortografico di base utilizza un dizionario locale, mentre il controllo ortografico avanzato è basato sul cloud e comporta l'invio a Google del testo che gli utenti digitano. Per impostazione predefinita, per gli utenti è attivo il controllo ortografico di base. Se gli utenti vogliono attivare il controllo ortografico avanzato, possono farlo dal menu Chrome facendo clic su Impostazioni > Avanzate > [omissis] controllo ortografico avanzato è attivo, Chrome invia a Google l'intero contenuto dei campi di testo che l'utente digita, unitamente alla lingua predefinita del browser. Tieni presente che il controllo ortografico avanzato non fa parte dei Servizi principali di Google Workspace e non è quindi soggetto a quanto stabilito dai Contratti e dall'ETD di Google Workspace. | dati inviati a Google dal controllo ortografico avanzato vengono trattati in conformità alle Norme sulla privacy di Google, ai Termini di servizio di Google e ai Termini di servizio aggiuntivi di Google Chrome e Chrome [omissis] tua organizzazione richiede un controllo più rigoroso da parte dell'amministratore sulle impostazioni di Chrome e sui dati che vengono condivisi con Google e terze parti attraverso Chrome, valuta la possibilità di avvalerti della nostra offerta Chrome Enterprise. Chrome Enterprise consente agli amministratori di configurare diversi criteri relativi alla privacy per la loro organizzazione. Ad esempio, gli amministratori possono configurare il criterio Rapporti sulle metriche in modo da disattivare l'invio a Google di dati relativi ad arresti anomali per tutti gli utenti dell'organizzazione, nonché l'invio anonimo di rapporti sull'utilizzo. Gli amministratori possono inoltre attivare o disattivare i servizi di controllo ortografico avanzato per l'organizzazione. Per ulteriori informazioni, vedi Chrome Browser Cloud € Google Cloud 16 Separare l'accesso degli utenti all'interno del dominio In qualità di amministratore puoi gestire l'accesso degli utenti a diversi insiemi di servizi di Google Workspace creando unità organizzative. In questo modo puoi separare gli utenti che gestiscono dati personali e/o sensibili da quelli che non hanno queste responsabilità assegnandoli a gruppi diversi. Una volta configurate le unità organizzative, potrai attivare o disattivare prodotti o servizi specifici per diversi gruppi di utenti. Ad esempio, il reparto delle Risorse umane (RU) può gestire dati personali e/o sensibili, ma soltanto un sottoinsieme degli utenti che appartengono a questo reparto potrebbe aver bisogno di accedere a tali dati. In questo caso, puoi configurare un'unità organizzativa per le RU riservata agli utenti che utilizzano i Servizi Principali di Google Workspace per gestire dati personali e/o sensibili. In questa unità organizzativa puoi disattivare determinati servizi e configurare le impostazioni in modo appropriato. Raccomandare agli utenti di mantenere separati gli Account Google gestiti dell'organizzazione e quelli personali Consigliamo agli utenti di mantenere l'accesso al loro Account Google gestito dall'organizzazione separato dall'accesso al loro Account Google personale. Come amministratore, ti consigliamo di invitare gli utenti a non accedere a più Account Google simultaneamente nello stesso browser Chrome. In questo modo, è possibile ridurre il rischio di errori umani che possano causare l'archiviazione accidentale di dati del cliente nell'account personale di un utente oppure l'applicazione a un Account Google gestito dall'organizzazione di impostazioni relative alla privacy appartenenti a un Account Google personale. Se la tua organizzazione richiede un controllo più rigoroso, puoi impedire agli utenti di accedere ai servizi Google utilizzando account diversi da quelli forniti da te. Ad esempio, potrebbe essere opportuno impedire agli utenti di utilizzare il proprio account Gmail personale o un Account Google gestito dall'’organizzazione che appartiene a un altro dominio. Per le istruzioni, vedi Bloccare l'accesso agli account consumer personali.[7] Inoltre, in qualità di amministratore, puoi gestire le app e i dati di lavoro in modo sicuro sui dispositivi Android e lasciare all'utente il controllo delle app e dei dati personali. Un profilo di lavoro[8] può essere configurato su un dispositivo Android per separare le app e i dati di lavoro da quelli personali. Ulteriori informazioni su come configurare un profilo di lavoro e autorizzare le app di lavoro preferite peri dispositivi Android. Consultare i consigli relativi allo stato della sicurezza Per aumentare la protezione e la sicurezza dei dati della tua organizzazione, prendi in considerazione l'opportunità di consultare i consigli forniti dalla pagina Stato della sicurezza nella Console di € Google Cloud 17 amministrazione. Puoi anche verificare l'elenco di controllo per la sicurezza per le medie e grandi imprese nel Centro assistenza per amministratori di Google Workspace. Gli amministratori hanno a loro disposizione diversi potenti strumenti per la sicurezza e possono personalizzare le proprie impostazioni di sicurezza per soddisfare le esigenze aziendali. Ad esempio, il Centro avvisi Google Workspace fornisce avvisi e informazioni operative sulla sicurezza che riguardano le attività del dominio, per facilitare la protezione dell'organizzazione dalle minacce alla sicurezza più recenti, come il phishing e le attività sospette dei dispositivi. Lo strumento di indagine sulla sicurezza consente di identificare eventuali problemi relativi alla sicurezza e alla privacy nel tuo domino, ad assegnare loro una priorità e ad adottare le contromisure adeguate. Gli amministratori possono anche automatizzare le operazioni nello strumento di indagine creando regole di attività per individuare tali problemi e porvi rimedio più rapidamente. Inoltre, Google Vault consente di conservare, sottoporre a blocco, cercare ed esportare dati a supporto delle esigenze di conservazione ed eDiscovery della tua organizzazione. Questi e molti altri strumenti per la sicurezza sono disponibili nella pagina sulla sicurezza di Google Workspace, dove puoi consultarne descrizioni dettagliate. Esaminare l'utilizzo di applicazioni di terze parti all'interno dell'organizzazione Alcuni Servizi principali di Google Workspace potrebbero consentire agli utenti di condividere Dati personali dei clienti con terze parti (o applicazioni di terze parti), a seconda delle impostazioni del dominio. | clienti, in quanto tali, sono responsabili di assicurare che le terze parti, o le applicazioni di terze parti, abbiano predisposto misure appropriate per la conformità prima di condividere o trasmettere Dati personali dei clienti. La tua organizzazione ha la responsabilità di determinare se è necessario che siano definiti termini di protezione aggiuntivi prima di condividere dati personali e/o sensibili con terze parti che utilizzano i servizi di Google Workspace o con le applicazioni integrate con questi ultimi. In qualità di amministratore, hai a tua disposizione tre opzioni per la gestione del Google Workspace Marketplace. Puoi vietare l'installazione di tutte le app, consentire solo le app autorizzate oppure consentire tutte le app. Per impostazione predefinita, agli utenti di Google Workspace è consentito installare tutte le app disponibili dal Google Workspace Marketplace. Ti consigliamo di verificare le norme aziendali e di autorizzare soltanto applicazioni di terze parti selezionate che possono accedere agli ambiti delle API in tutti i servizi di Google Workspace. Grazie alla funzione Controllo accesso app, hai un maggiore controllo su quali app di terze parti e di proprietà del dominio possono accedere ai dati sensibili di Google Workspace. Puoi utilizzare la funzione Controllo accesso app per: e Limitare l'accesso alla maggior parte dei servizi di Google Workspace o lasciarlo senza restrizioni. e Contrassegnare come attendibili app specifiche in modo che possano accedere a servizi di Google Workspace soggetti a restrizioni. e Contrassegnare come attendibili tutte le app di proprietà del dominio. € Google Cloud 18 Per impostazione predefinita, l'accesso ai dati dei clienti è abilitato per le app del Marketplace installate. Ti consigliamo di verificare le norme aziendali e di modificare l'impostazione in modo da sottoporre a restrizioni o limitare l'accesso ai dati di Google Workspace relativi al cliente, se necessario. Monitorare l'attività degli account I rapporti della Console di amministrazione e i log di controllo rendono semplici l'esame di potenziali rischi per la sicurezza, la misurazione della collaborazione tra utenti, il Monitoraggio degli utenti che accedono e del momento in cui gli accessi vengono effettuati, l'analisi delle attività amministrative e molto altro. Per monitorare i log, gli amministratori possono configurare le notifiche in modo da ricevere avvisi quando Google rileva determinate attività, tra cui tentativi di accesso sospetti, sospensione di utenti da parte di un amministratore, aggiunta di nuovi utenti, riattivazione di utenti sospesi, eliminazione di utenti, modifica di password da parte di un amministratore, concessione o revoca di privilegi amministrativi. Inoltre, l'amministratore può esaminare i report e i log di controllo regolarmente per analizzare potenziali rischi per la sicurezza. In particolare, le tendenze principali visualizzate nella sezione In evidenza, l'esposizione complessiva a violazioni dei dati in Sicurezza, i file creati nelle attività di utilizzo delle app, le attività degli account e i controlli forniscono utili informazioni sui rischi per la sicurezza. Mentre i log di controllo della Console di amministrazione forniscono informazioni relative alle azioni intraprese da membri dell'organizzazione all'interno di quest'ultima, i log di Access transparency[9] forniscono informazioni sulle azioni intraprese dal personale Google. | log di Access transparency includono informazioni relative alle risorse a cui si sono verificati accessi, alle azioni eseguite, al momento in cui queste si sono verificate e al loro motivo (ad esempio, il numero della richiesta inviata all'assistenza clienti). Stabilire criteri relativi alla privacy per i nomi dei file e dei percorsi Come misura di sicurezza aggiuntiva, per limitare la condivisione di Dati personali dei clienti, consigliamo di definire norme che impediscano agli utenti di includere informazioni sensibili quando assegnano nomi ai file e li organizzano nei Servizi principali di Google Workspace (ad esempio, Documenti, Fogli, Presentazioni, Moduli, Drive, Gmail) oppure di utilizzare informazioni personali sensibili nei nomi delle stanze virtuali in Google Chat o negli inviti di Meet. Esempi di Dati personali dei clienti sensibili includono il nome completo di un individuo, l'indirizzo email, l'indirizzo postale, il numero di telefono o identificatori univoci degli account, come ID cliente, ID progetto e nome utente. Inoltre, puoi sfruttare le funzioni di Prevenzione della perdita di dati (DLP) in Google Workspace per analizzare, classificare e anonimizzare i dati sensibili, contribuendo così a limitarne l'esposizione. [omissis] perdita di dati utilizzando DLP per Drive ed Eseguire la scansione del traffico email con le regole DLP. Per semplificare la configurazione, forniamo una raccolta di rilevatori di contenuti predefiniti. Ad esempio, una volta attivato il criterio DLP, Gmail può controllare automaticamente tutte le email in € Google Cloud 10 uscita per rilevare la presenza di dati sensibili e adottare le misure più appropriate per evitare perdite di dati: mettere l'email in quarantena per ulteriori analisi, chiedere agli utenti di modificare i dati o bloccare l'invio dell'email e inviare una notifica al mittente. Grazie a regole semplici da configurare e al riconoscimento ottico dei caratteri (OCR) per i contenuti inseriti nelle immagini, le funzionalità di DLP per Drive semplificano il lavoro degli amministratori, permettendo loro di controllare i file con contenuti sensibili e impostare regole che avvisano gli utenti e impediscono loro di condividere esternamente informazioni riservate. Ulteriori informazioni sono disponibili nel nostro white paper sulla DLP. Risorse aggiuntive Per aiutare i nostri clienti a soddisfare le proprie esigenze di conformità e reporting, mettiamo a loro disposizione istruzioni e best practice, oltre a consentire loro di accedere facilmente alla documentazione. | nostri prodotti vengono sottoposti regolarmente a verifiche indipendenti dei controlli di sicurezza, privacy e conformità, e ottengono certificazioni a fronte di standard globali per poter meritare la fiducia dei clienti. Per un elenco degli standard, delle norme e delle certificazioni a cui Google Workspace è conforme, consulta il nostro Centro risorse per la conformità. Per accedere facilmente su richiesta e senza costi aggiuntivi a queste risorse, dai un'occhiata allo strumento Gestione dei rapporti di conformità. Queste risorse chiave includono le nostre certificazioni potrebbero richiedere l'accesso con un account Google Cloud Platform o Google Workspace. Per ulteriori informazioni su come i servizi di Google Workspace sono progettati pensando alla privacy, la riservatezza, l'integrità e la disponibilità dei dati, consulta le risorse seguenti: Google Cloud Privacy: include l'elenco dei Principi di fiducia Google Cloud Pagina Sicurezza di Google Workspace: home page per la sicurezza di Google Cloud, con link a white paper sulla sicurezza e altre risorse correlate alla privacy, la trasparenza, l'infrastruttura e i prodotti per la sicurezza. e Centro assistenza per amministratori di Google Workspace: home page con collegamenti a istruzioni e documentazione tecnica per i prodotti e le funzioni per la sicurezza di Google Workspace. e Centrorisorse GDPR: include informazioni sulle normative, la conformità e sui prodotti per aiutarti a ottemperare al regolamento GDPR. e Centrorisorse per la sicurezza: include white paper, video, articoli, post del blog e documentazione sulla privacy e la sicurezza. € Google Cloud 20 Appendice 1: mappatura dei controlli per la privacy La mappatura dei controlli per la privacy riportata di seguito è un utile strumento per verificare cosa è necessario per supportare i requisiti relativi alle varie normative sulla privacy quando si utilizza Google Workspace. Tieni presente che non si tratta di un elenco completo di tutti i controlli per la privacy, ma deve piuttosto essere considerata una mappatura generale di alto livello. Ti consigliamo di rivolgerti a un legale per ricevere assistenza sui requisiti specifici applicabili alla tua organizzazione, in quanto questa guida non costituisce parere legale. Considerazione sul titolare del trattamento dei dati Controlli per la Responsabilità del cliente Funzionalità di supporto di Google privacy tipici Workspace Comprendere È compito dell'organizzazione Vedi i ruoli e le responsabilità per il trattamento dei l'organizzazione e il determinare il proprio ruolo in dati dei clienti nella sezione 5 dell'Emendamento relativo contesto qualità di titolare del trattamento di sul trattamento dei dati di Google Workspace. informazioni che consentono l'identificazione personale (PII) e/o in qualità di responsabile del trattamento di PII, allo scopo di identificare i requisiti appropriati (normativi e così via) per il trattamento dei Dati personali dei clienti. Determinare quando è Il cliente deve comprendere i Google non fornisce supporto diretto per necessario ottenere e requisiti giuridici o normativi per l'ottenimento e la registrazione del consenso degli registrare il consenso l'ottenimento del consenso utenti per tutte le attività della tua organizzazione. preliminare al trattamento dei Dati personali dei clienti e registrare tale Quando accedono all'Account Google gestito consenso, ove richiesto. dall’organizzazione che hai creato per loro, gli utenti ricevono un avviso che spiega come vengono raccolti i loro dati e come l'amministratore può accedervi. Identificare i Il cliente deve comprendere gli Google non fornisce supporto per la raccolta dei fondamenti di liceità e eventuali requisiti relativi ai fondamenti di liceità del trattamento per tutte le documentare gli scopi fondamenti di liceità del attività della tua organizzazione. trattamento, ad esempio se il consenso deve essere Per informazioni sulle attività di trattamento svolte preventivamente ottenuto. Il cliente da Google per conto della tua organizzazione e deve documentare lo scopo per cui i sugli scopi di tale trattamento, consulta i Termini di € Google Cloud 21 Dati personali dei clienti vengono servizio e l'Emendamento sul trattamento dei dati di trattati. Google Workspace. Contratti stipulati con Il cliente deve accertarsi che i In qualità di responsabile del trattamento dei dati i responsabili del contratti stipulati con i responsabili Google si impegna a fornire alla tua organizzazione trattamento di PII del trattamento includano requisiti il supporto necessario per ottemperare ai suoi che assicurino il supporto per obblighi (tenendo presenti la natura del trattamento l'ottemperanza agli obblighi giuridici dei dati personali del cliente e le informazioni e normativi correlati al trattamento e disponibili) in conformità con l'Emendamento sul alla protezione dei Dati personali dei trattamento dei dati. Per ulteriori informazioni, vedi clienti. le sezioni 7.1.4 (assistenza per la sicurezza), 9.2.2 (assistenza per i diritti dell'interessato) e 8.1 (assistenza per il DPIA). Limitare la raccolta e Il cliente deve comprendere i Per informazioni sulle attività di trattamento svolte il trattamento requisiti relativi ai limiti posti sulla da Google per conto della tua organizzazione e raccolta e il trattamento di Dati sugli scopi di tale trattamento, consulta i Termini di personali dei clienti, ad esempio: servizio e l'Emendamento sul trattamento dei dati di che la raccolta e il trattamento Google Workspace. debbano essere limitati a quanto strettamente necessario per lo scopo specificato. Conservare le Il cliente deve conservare tutte le In Google Workspace sono disponibili i log di registrazioni relative registrazioni necessarie e controllo che consentono di osservare gli accessi ai al trattamento delle obbligatorie in relazione al dati e di rispondere a domande come: Chi ha PII trattamento dei Dati personali dei eseguito questa operazione, dove lo ha fatto e clienti. quando? | log di controllo disponibili includono i log sulle attività amministrative (log di controllo della Console di amministrazione), i log sulla sicurezza (accesso, SAML e Access transparency) e i log sui servizi e gli account utente (ricerca nei log email e il log di controllo di Drive). Per ulteriori informazioni sui log di controllo, vedi Log di controllo disponibili. In genere, i log di controllo vengono conservati per 6 mesi. Per informazioni dettagliate, vedi Conservazione dei dati e tempi di attesa. Nella Console di amministrazione Google puoi personalizzare i dati da analizzare in tutti i log di controllo filtrando in base all'utente, all'attività, all'unità organizzativa o alla data. Puoi anche configurare avvisi per attività specifiche. € Google Cloud 22 Norme sulla protezione dei dati dell'organizzazione e relativa valutazione Controlli per la privacy Responsabilità del cliente Funzionalità di supporto di (if e){ci] Google Workspace Valutazione indipendente della Il cliente deve predisporre un La tua organizzazione è responsabile sicurezza delle informazioni processo di valutazione dei rischi dell'utilizzo dei servizi e per la sicurezza per identificare i dell'archiviazione di dati del cliente al di rischi associati alla perdita di fuori dei sistemi Google o dei sistemi riservatezza, integrità e dei sub-responsabili di Google. disponibilità dei dati. Il processo può comprendere controlli interni Google è soggetta a un numero sempre o esterni oppure altre misure atte maggiore di controlli indipendenti da a valutare la sicurezza del parte di terze parti, che vengono effettuati trattamento. Nel caso in cui il a intervalli regolari. Durante ogni cliente dipenda da un'altra controllo, un revisore indipendente organizzazione o da terze parti per esamina le misure che adottiamo nei l'intero trattamento o una sua data center, nell'infrastruttura e nelle parte, è necessario che raccolga operazioni. | controlli regolari vengono informazioni relative a tale eseguiti per certificare la nostra valutazione eseguita dalle terze conformità agli standard di controllo elenco delle certificazioni di conformità, vedi il Centro risorse per la conformità di Google Cloud. In base ai termini contrattuali sottoscritti dalla tua organizzazione con Google in quanto cliente Google Workspace, Google può consentire alla tua organizzazione, o a un revisore indipendente nominato dalla tua organizzazione, di eseguire controlli, incluse ispezioni, per verificare la conformità di Google ai propri obblighi, ai sensi della sezione 7.5 (Verifiche e controlli di conformità) dell'Emendamento sul trattamento dei dati. Valutazione di impatto sulla Il cliente deve essere consapevole In qualità di responsabile del trattamento protezione dei dati (DPIA) dei requisiti relativi al dei dati, Google si impegna a fornire alla completamento di una valutazione tua organizzazione il supporto necessario di impatto sulla protezione dei per ottemperare ai suoi obblighi in € Google Cloud 23 dati: quando deve essere eseguita, materia di valutazione di impatto sulla cosa deve essere incluso nella protezione dei dati (tenendo presenti la valutazione, chi deve eseguirla e natura del trattamento e le informazioni così via. disponibili), in conformità con la sezione 8 dell'Emendamento sul trattamento dei dati. Determinare l'ambito dei sistemi Il cliente deve includere nel proprio Google non fornisce supporto peri di gestione della sicurezza delle programma complessivo per la processi interni dei clienti. informazioni sicurezza o la privacy il trattamento dei Dati personali dei Valuta la possibilità di creare almeno una clienti e i relativi requisiti. volta all'anno norme sulla privacy, con materiali per la formazione associati, da Le norme dell'organizzazione distribuire agli utenti e ai gruppi che si relative alla progettazione e lo occupano di privacy all'interno della tua sviluppo dei sistemi devono organizzazione. Google offre la includere indicazioni per il possibilità di usufruire di Servizi trattamento delle PII, in base agli professionali per la formazione degli obblighi assunti nei confronti delle utenti sulla sicurezza e la privacy nel entità PII e/o qualsiasi legge e/o cloud, inclusa, a titolo esemplificativo, normativa applicabile, nonché i tipi una Valutazione della sicurezza di Google di trattamento effettuati Workspace. dall'organizzazione. Norme per la sicurezza delle Il cliente deve estendere l'ambito Google non fornisce supporto peri informazioni delle norme relative alla sicurezza processi interni dei clienti. delle informazioni includendo la protezione dei Dati personali dei Prendi in considerazione lo sviluppo di clienti, incluse le norme norme sulla valutazione di privacy e necessarie alla conformità alle sicurezza e sull'autorizzazione valide in leggi vigenti. Il cliente deve tutta l'organizzazione, in cui vengono determinare e assegnare la definite le procedure e i requisiti di responsabilità per la implementazione delle valutazioni della somministrazione di formazione privacy e dei controlli di privacy e pertinente relativa alla protezione autorizzazione. dei Dati personali dei clienti. Analisi da parte del cliente Il cliente deve definire, all'interno Google non fornisce supporto peri dell'organizzazione della della propria organizzazione, le processi interni dei clienti. sicurezza delle informazioni responsabilità relative alla sicurezza e la protezione dei Dati Valuta l'opportunità di nominare una o più personali dei clienti. In tale persone come responsabili dello definizione possono essere sviluppo, l'implementazione, la gestione e stabiliti ruoli specifici per la il monitoraggio di un programma per la supervisione di questioni relative governance e la privacy valido in tutta alla privacy, incluso un l'organizzazione, per assicurare Responsabile della protezione dei l'ottemperanza a tutte le leggi e le norme dati (RPD). Questi ruoli devono vigenti relative al trattamento delle PII € Google Cloud 24 essere supportati adeguatamente (informazioni che consentono sia per quanto riguarda gli aspetti l'identificazione personale). della formazione che quelli gestionali. [omissis] Responsabile della protezione dei dati e il rappresentante UE nella Console di amministrazione in Impostazioni account > Aspetti legali e conformità. Google ha nominato un RPD per Google LLC e le relative consociate in modo da gestire il trattamento dei dati ai sensi di varie normative relative alla privacy. Classificazione delle informazioni Nell'elaborare uno schema di Google non fornisce supporto peri classificazione dei dati, il cliente processi interni dei clienti. deve prendere in considerazione in modo esplicito il modo in cui le PII Il sistema di classificazione dei dati deve sono utilizzate. prendere in considerazione in modo esplicito il modo in cui le PII sono utilizzate come parte dello schema che viene implementato. L'analisi del posto occupato dalle PII all'interno del sistema complessivo di classificazione è parte integrante della comprensione del tipo di categorie speciali a cui appartengono le PII trattate dall'organizzazione, di dove tali PIl sono archiviate e dei sistemi attraverso cui vengono trasmesse. Lo schema di classificazione dei dati adottato dall'organizzazione deve descrivere come vengono classificati i dati a seconda del loro carattere di dati sensibili e identificabili. | proprietari dei dati sono responsabili di stabilire la loro appropriata classificazione in base a chi deve accedervi e per quali motivi, i potenziali rischi e i danni che provocherebbe l'accesso non autorizzato, nonché il loro contesto generale. Gestione degli incidenti relativi Il cliente deve predisporre processi Consigliamo di definire norme relative alla sicurezza delle informazioni per determinare quando si verifica alla risposta agli incidenti per una violazione dei Dati personali l'organizzazione, incluse procedure per dei clienti. facilitare e implementare controlli della risposta agli incidenti, e di creare gruppi € Google Cloud 25 Il cliente deve comprendere e dedicati alla sicurezza per i team di documentare le proprie risposta agli incidenti e i relativi responsabilità in caso di responsabili. violazione dei dati o di un incidente relativo alla sicurezza in Consigliamo inoltre di sviluppare un cui sono coinvolti Dati personali piano di verifica delle risposte agli dei clienti. Tali responsabilità incidenti, elenchi di controllo, requisiti e possono includere l'invio di benchmark per misurarne l'efficacia. notifiche obbligatorie, Valuta l'opportunità di specificare classi comunicazioni con i responsabili di incidenti che devono essere del trattamento o altre terze parti, riconosciute nell'organizzazione e nonché responsabilità all'interno delineare le azioni associate da dell'organizzazione del cliente. intraprendere in risposta a quegli incidenti. Valuta inoltre l'opportunità di definire le azioni specifiche che il personale autorizzato deve intraprendere in caso di incidente, ad esempio procedure per la gestione della divulgazione di informazioni, della vulnerabilità della cybersicurezza e degli attacchi. Ti consigliamo inoltre di sfruttare le funzionalità offerte da Google Workspace per analizzare e mettere in quarantena i contenuti delle email,bloccare i tentativi diphishing e imporre limitazioni sugli allegati. Puoi anche utilizzare la Prevenzione della perdita di dati (DLP) per esaminare, classificare e anonimizzare dati sensibili, contribuendo così a limitare l'esposizione ai rischi. [omissis] perdita di dati utilizzando DLP per Drive, Eseguire la scansione del traffico email con le regole DLP e il white paper su DLP. In quanto cliente, Google ti invierà immediatamente una notifica non appena viene a conoscenza di un incidente relativo ai dati e prenderà subito ragionevoli misure per ridurre al minimo i danni e proteggere i dati del cliente. Per informazioni sul nostro impegno, vedi la sezione 7.2 (Incidenti relativi ai dati) dell'Emendamento sul trattamento dei € Google Cloud 26 dati. Vedi anche il nostro Processo di risposta agli incidenti relativi ai dati. Backup delle informazioni Il cliente deve predisporre norme Ti consigliamo di sviluppare un piano di che soddisfino i requisiti relativi a emergenza per l'organizzazione in cui backup, recupero e ripristino delle siano definite le procedure e i requisiti di PII (che possono essere parte di implementazione relativi ai controlli dei norme complessive sul backup piani di emergenza in tutta delle informazioni) e ogni altro l'organizzazione. ulteriore obbligo, ad esempio Ti consigliamo inoltre di identificare il contrattuale o legale, relativo alla personale, i ruoli e le responsabilità cancellazione di PII presenti in chiave per le emergenze in tutti gli informazioni conservate a scopo elementi organizzativi. di backup. Inoltre, è opportuno evidenziare le funzioni dei sistemi informativi essenziali per le operazioni e il business all'interno dell'organizzazione. Delinea il Recovery Time Objectives (RTO) e il Recovery Point Objective (RPO) associati al recupero di funzioni essenziali una volta che il piano di emergenza è stato attivato. Sistemi informativi critici per i documenti e software associati. Identifica eventuali informazioni correlate alla sicurezza aggiuntive e fornisci indicazioni e requisiti per l'archiviazione delle copie di backup di componenti e dati critici del sistema. Google possiede e gestisce data center in tutto il mondo, contribuendo a mantenere Internet in funzione 24 ore al giorno, 7 giorni su 7 e mettendo a disposizione dei propri clienti ridondanza e resilienza. Puoi anche eseguire il deployment di funzioni di backup e sincronizzazione aggiuntive dei file locali su Google Drive. € Google Cloud 27 Impostazioni relative alla protezione e la sicurezza dei dati Controlli per la privacy Responsabilità del cliente Funzionalità di supporto di (if e){ci] Google Workspace Gestione degli accessi degli Il cliente deve essere consapevole Ti consigliamo di sviluppare norme utenti (incluso il provisioning delle proprie responsabilità in relative al controllo degli accessi per gli degli accessi utente e la gestione relazione al controllo degli accessi account dei sistemi informativi nel cloud. degli accessi con privilegi) all'interno dei servizi che utilizza e Ti consigliamo inoltre di definire i gestire tali responsabilità in modo parametri e le procedure in base ai quali appropriato, con gli strumenti a le informazioni vengono create, sua disposizione. modificate, attivate, disattivate e rimosse dagli account di sistema all'interno dell'organizzazione. La Console di amministrazione Google fornisce strumenti per l'amministrazione centralizzata che rendono la configurazione e la gestione più efficienti. Puoi proteggere l'organizzazione attraverso le analisi dei dati sulla sicurezza e i consigli sulle best practice disponibili nel Centro sicurezza. Puoi utilizzare Cloud Identity and Access Management (IAM) per assegnare ruoli e autorizzazioni a gruppi amministrativi utilizzando il metodo del privilegio minimo e della separazione dei compiti. Scopri come aggiungere Cloud Identity al tuo account Google Workspace. Procedure di accesso sicure Il cliente deve assicurare la In qualità di cliente Google Workspace, disponibilità delle funzionalità puoi utilizzare le funzionalità integrate di necessarie per processi di Cloud Identity per gestire gli utenti e accesso sicuro per tutti gli configurare le opzioni relative alla account utente che controlla. sicurezza, come la verifica in due passaggi e i token di sicurezza. Con la verifica in due passaggi puoi aggiungere un ulteriore livello di sicurezza agli account Google Workspace rendendo obbligatorio l'inserimento di un codice di verifica oltre al nome utente e la password con cui gli utenti accedono normalmente. € Google Cloud 28 Il token di sicurezza rappresenta un potenziamento della verifica in due passaggi. Google ha sviluppato, in collaborazione con l'organizzazione di sviluppo degli standard [omissis] Token di sicurezza: una vera e propria chiave fisica utilizzabile per accedere al proprio Account Google gestito dall’organizzazione. Invece di inviare un codice, il token invia una firma criptata, impedendo in questo modo l'acquisizione fraudolenta delle credenziali di accesso. Per informazioni dettagliate, vedi Come usare un token di sicurezza per la verifica in due passaggi. Per ulteriori informazioni sulle funzionalità di accesso e autorizzazione, vedi il white paper Google Cloud Security and Compliance. Log degli eventi e protezione Il cliente deve comprendere le In Google Workspace sono disponibili log funzionalità di logging fornite dal di controllo che consentono di rispondere sistema e utilizzarle per assicurare a domande come, Chi ha eseguito questa la registrazione delle azioni azione, dove lo ha fatto e quando? | log di relative ai Dati personali dei controllo disponibili includono i log sulle clientiche giudicano necessarie. attività amministrative (log di controllo della Console di amministrazione), i log È opportuno adottare un processo sulla sicurezza (accesso, SAML e Access per analizzare i log degli eventi, in transparency) e i log sui servizi e gli cui sono utilizzati processi account utente (ricerca nei log email e il automatizzati di monitoraggio e log di controllo di Drive). Per ulteriori invio di avvisi, oppure processi informazioni sui log di controllo, vedi Log manuali laddove tale analisi debba di controllo disponibili. In genere, i log di essere eseguita con una controllo vengono conservati per 6 mesi. periodicità specifica documentata, Per informazioni dettagliate, vedi allo scopo di identificare Conservazione dei dati e tempi di attesa. irregolarità e di proporre misure Nella Console di amministrazione Google per porvi rimedio. puoi personalizzare i dati da analizzare in tutti i log di controllo filtrando in base all'utente, all'attività, all'unità organizzativa o alla data. Puoi anche configurare avvisi per attività specifiche. € Google Cloud 29 Crittografia Il cliente deve determinare quali | dati dei clienti di Google Workspace dati potrebbero dover essere sono criptati durante il transito, quando criptati e se il servizio che utilizza sono inattivi e sui supporti di backup. La offre questa funzionalità. Il cliente crittografia è un elemento importante deve applicare la crittografia in della strategia di Google Workspace per base alle necessità utilizzando gli la sicurezza e contribuisce a proteggere strumenti a sua disposizione. le email, le chat, i file di Google Drive e gli altri dati dei clienti. Per ulteriori dettagli su come sono protetti i dati quando sono inattivi e in transito e sui supporti di backup, nonché sulla gestione delle chiavi crittografiche, vedi il nostro white paper sulla crittografia in Google [omissis] tua organizzazione ha bisogno di ulteriori funzioni di crittografia, in qualità di amministratore puoi configurare regole che rendono obbligatoria la firma e la crittografia mediante Estensioni Secure/Multipurpose Internet Mail (S/MIME) su tutti i messaggi in uscita, assicurando così un livello appropriato di sicurezza, riservatezza e integrità dei Dati personali dei clienti. Documentare i paesi e le Il cliente deve comprendere ed Google possiede e gestisce data center in organizzazioni in cui le PII essere in grado di fornire alle tutto il Mondo per assicurare che i propri potrebbero essere trasferite persone interessate informazioni prodotti siano operativi 24 al giorno, 7 sui paesi in cui i Dati personali dei giorni su 7. Per ulteriori dettagli, vedi clienti sono o possono essere Scopri le sedi dei nostri data center. trasferiti. Nel caso in cui tale trasferimento possa essere Puoi scegliere una posizione geografica effettuato da terze parti o dal specifica per l'archiviazione dei dati della responsabile del trattamento, il tua organizzazione (Stati Uniti o Europa) cliente deve ottenere tali utilizzando un criterio dell'area geografica informazioni da quest'ultimo. dati. Questo servizio consente di controllare in modo dettagliato la posizione geografica in cui messaggi email, documenti e altri contenuti di Google Workspace sono archiviati. Consulta attentamente la nostra offerta relativa ai prodotti per aree geografiche dati e consulta un legale per valutare se soddisfano le tue specifiche necessità aziendali e di conformità. € Google Cloud 30 Documentare la divulgazione di Il cliente deve tenere un registro Google e le proprie società consociate PII a terze parti delle divulgazioni di PII a terze sono supportate da diversi parti, incluso quali PII sono state sub-responsabili per la fornitura dei propri divulgate a chi e quando. Ad servizi. Per informazioni dettagliate, vedi esempio, i dati potrebbero essere la nostra informativa sui sub-responsabili divulgati a forze dell'ordine e così di Google Workspace. via. Nel caso in cui terze parti o il responsabile del trattamento In qualità di amministratore, ti divulghino i dati, il cliente deve consigliamo di valutare l'utilizzo di assicurare che siano tenuti i applicazioni di terze parti. Hai la registri appropriati e che questi possibilità di disattivare l'installazione di possano essere consultati, se applicazioni di terze parti da parte degli necessario. utenti, ad esempio: app Google Drive e componenti aggiuntivi di Documenti applicazioni di terze parti con Google Drive o Documenti Google, ti consigliamo di esaminare la documentazione relativa alla sicurezza fornita dagli sviluppatori di terze parti, nonché i termini per il trattamento dei dati applicabili. Nel caso in cui Google riceva una richiesta di accesso ai dati di un cliente Cloud da parte di autorità governative, è nostra prassi invitare tali autorità a richiedere i dati direttamente a cliente. Un nostro team esamina e valuta ogni richiesta che riceviamo per assicurare che soddisfi i requisiti giuridici. Nel caso in cui sia obbligata a fornire dati, Google invierà immediatamente al cliente una notifica prima della divulgazione delle informazioni, salvo nei casi in cui tale notifica sia vietata dalla legge e fatta eccezione per situazioni di emergenza in cui siano a rischio vite umane. Nella misura consentita dalla legge e dai termini della richiesta, Google si impegna a soddisfare le ragionevoli istanze di opposizione alle richieste di divulgazione avanzate dai propri clienti. Informazioni dettagliate sono disponibili nel nostro Rapporto sulla trasparenza e nel white paper di Google Cloud sulle € Google Cloud 31 richieste da parte di autorità governative. Determinare idiritti degli Il cliente deve comprendere i In qualità di amministratore di Google interessati e abilitarne l'esercizio requisiti relativi ai diritti dei Workspace, puoi utilizzare la Console di (incluso l'accesso, la rettifica, la soggetti interessati in relazione al amministrazione Google per ottemperare cancellazione e l'esportazione) trattamento dei loro Dati personali a potenziali obblighi relativi alle richieste dei clienti. Tali diritti possono degli interessati (DSR, Data Subject includere l'accesso, la rettifica, la Request). Google Workspace mette a cancellazione e l'esportazione dei disposizione degli amministratori e degli dati. Laddove utilizzi un sistema di interessati funzionalità che consentono terze parti, il cliente deve loro di accedere ed esportare i dati determinare se e quali parti di tale personali dei clienti direttamente dai sistema forniscono strumenti atti prodotti Google. Gli amministratori di a consentire ai soggetti interessati Google Workspace possono utilizzare lo di esercitare i propri diritti (ad strumento Esportazione dei dati per esempio, di accedere ai propri esportare i dati a livello di organizzazione dati). Nel caso in cui il sistema e Google Vault per ricerche ed fornisca tali funzionalità, il cliente esportazioni mirate basate sugli utenti. deve utilizzarle in base alle Gli interessati (utenti) possono utilizzare necessità. l'interfaccia di Google Takeout per accedere direttamente ai dati personali del cliente ed esportarli in autonomia. Per le istruzioni, consulta la guida di Google Workspace alle richieste degli interessati. Conservazione ed eliminazione A seconda della giurisdizione Google si impegna ad attenersi alle competente, le organizzazioni che istruzioni fornite da te, in qualità di trattano PIl devono assicurare che amministratore, in merito all'eliminazione tali informazioni vengano dai propri sistemi dei dati del cliente eliminate dopo un periodo di pertinenti. Gli amministratori possono tempo specifico. gestire gli account utente mediante la Console di amministrazione, inclusa la loro eliminazione o la rimozione di dati personali del cliente dai dispositivi mobili e dai prodotti. Se la tua organizzazione deve conservare i dati per un determinato periodo di tempo, puoi configurare Vault in modo che li conservi anche se gli utenti eliminano messaggi e file e, successivamente, svuotano il Cestino. Per istruzioni sulle impostazioni relative all'eliminazione, consulta la guida di Google Workspace alle richieste degli interessati. Per informazioni sul nostro impegno in relazione all'eliminazione dei dati, vedi la sezione 6 (Eliminazione dei dati) dell'Emendamento sul trattamento € Google Cloud 32 dei dati. Leggi l'Informativa sulla privacy di Google Cloud in merito all'eliminazione e alla conservazione dei dati di servizio. Gestione degli endpoint Il cliente deve assicurarsi che In qualità di amministratore, puoi l'utilizzo di dispositivi mobili non utilizzare la gestione degli endpoint di causi la compromissione di PII. Google per rafforzare la sicurezza dei dati dell'organizzazione su tutti i dispositivi mobili, icomputer desktop, i laptop e gli altri endpoint degli utenti. Con la gestione di base puoi configurare l'applicazione forzata di passcode di base, i rapporti relativi ai dispositivi mobili, la protezione dai tentativi di compromissione, la cancellazione dei dati degli account da remoto e controlli e avvisi per i dispositivi. La gestione avanzata, mette a tua disposizione ulteriori funzioni per la sicurezza e la privacy, come l'applicazione forzata di password efficaci, il blocco dei dispositivi compromessi, l'approvazione dei dispositivi e molto altro. Per ulteriori dettagli e per scegliere la versione della gestione dei dispositivi più appropriata, vedi Confronto tra le funzionalità di Gestione dispositivi mobili. Vedi anche Configurare la gestione di base dei dispositivi mobili e Configurare la gestione avanzata dei dispositivi mobili. [1] Per "dati personali dei clienti" si intendono i dati personali presenti all'interno dei dati dei clienti. [2] Per "dati del cliente" si intendono i dati che tu, la tua organizzazione e gli utenti fornite a Google utilizzando Google Workspace e i dati che create utilizzando i relativi servizi. [3] I dati di servizio sono informazioni personali che Google raccoglie o genera durante la fornitura e l'amministrazione dei Servizi Cloud, esclusi Dati dei clienti e Dati dei partner. i Dati di servizio sono soggetti all'Informativa sulla privacy di Google Cloud. controllo SOC 3 disponibile qui. Per i nostri clienti esistenti che vogliono saperne di più sulla sicurezza di Google, saremmo lieti di fornire un rapporto SOC 2 dettagliato mediante Gestione dei rapporti di conformità. L'elenco completo delle nostre offerte relative alla conformità è consultabile nel nostro Centro risorse per la conformità. [5] G Suite for Education viene fornito alle scuole sulla base di un accordo G Suite for Education separato e, ove applicabile, dell'Emendamento sul trattamento dei dati. € Google Cloud 33 [6] Se il GDPR è applicabile all'elaborazione dei tuoi dati da parte di Google (ad esempio, se hai sede nell'Unione europea, o se hai sede al di fuori dell'Unione europea ma offri beni/servizi a interessati che risiedono nell'Unione europea), è richiesto che il tuo contratto con Google contenga certi termini sull'elaborazione dei dati. [7] Per poter configurare criteri di gruppo per i browser registrati, è necessario registrarsi a Chrome Browser Cloud Management. [8] Per impostare un profilo di lavoro è necessario utilizzare la gestione dei dispositivi mobili avanzata. Ulteriori informazioni su come configurare la gestione avanzata dei dispositivi mobili. [9] Questa funzione è disponibile soltanto in Google Workspace Enterprise Plus e G Suite Enterprise for Education.