La nostra risposta a Schrems II
Aggiornato: 8 agosto 2023
CBRE si impegna a sostenere il diritto alla protezione dei dati e alla privacy dei propri clienti, dipendenti e stakeholder in tutto il mondo, ovunque operi. CBRE ha risposto in modo proattivo ai recenti cambiamenti riguardanti i trasferimenti transfrontalieri di dati, compresi quelli in Europa e in Cina.
Europa
In seguito alla decisione "Schrems II" della Corte di giustizia dell'Unione europea nel 2020, abbiamo adottato, e continuiamo ad adottare, misure concertate per affrontare i requisiti di trasferimento dei dati ai sensi delle mutevoli leggi europee sulla privacy, tra cui:
Cina
Per garantire la conformità alle leggi sulla sicurezza informatica e sulla protezione delle informazioni personali, incluso il trasferimento legale di dati cinesi al di fuori della Cina, CBRE ha ottenuto tutte le certificazioni del Multi-Level Protection Scheme pertinente e ha implementato le misure per il contratto standard per il trasferimento in uscita di informazioni personali adottando il contratto standard emesso dalla Cyberspace Administration of China (CAC) e conducendo una valutazione dell'impatto sulla privacy per i trasferimenti transfrontalieri di dati.
Crittografia
CBRE utilizza una forte tecnologia crittografica che è allineata ai più recenti standard di sicurezza delle migliori pratiche in conformità con gli organismi di standard riconosciuti a livello internazionale, evitando algoritmi di crittografia che sono noti per avere punti deboli o exploit. Abbiamo una politica di sicurezza globale delle informazioni supportata da uno standard di classificazione dei dati e standard di crittografia che coprono le classificazioni dei dati, gli algoritmi crittografici e l'uso della crittografia.
Funzioni di hashing: le funzioni hash impiegate includono SHA‐2 e SHA‐3 ma non funzioni obsolete come MD5 e SHA-1.
Per ulteriori informazioni sull'approccio di CBRE al trasferimento transfrontaliero dei dati, potete contattare il Global Data Privacy Office di CBRE.
CBRE si impegna a sostenere il diritto alla protezione dei dati e alla privacy dei propri clienti, dipendenti e stakeholder in tutto il mondo, ovunque operi. CBRE ha risposto in modo proattivo ai recenti cambiamenti riguardanti i trasferimenti transfrontalieri di dati, compresi quelli in Europa e in Cina.
Europa
In seguito alla decisione "Schrems II" della Corte di giustizia dell'Unione europea nel 2020, abbiamo adottato, e continuiamo ad adottare, misure concertate per affrontare i requisiti di trasferimento dei dati ai sensi delle mutevoli leggi europee sulla privacy, tra cui:
- Condurre una serie di valutazioni dell'impatto dei trasferimenti di dati alle sedi CBRE, tra cui CBRE, Inc. e le sue consociate statunitensi ("CBRE US"). La valutazione d'impatto dei trasferimenti per CBRE US ha concluso che (i) tali trasferimenti possono legittimamente continuare in quanto non sono soggetti a divulgazione alle autorità di intelligence statunitensi ai sensi della Sezione 702 (50 U.S.C. §1881a) ("FISA 702") o dell'Executive Order 12333.
- L’Ordine Esecutivo 14086, come valutato dalla Commissione Europea nella sua decisione di adeguatezza per il quadro UE-USA sulla privacy dei dati ha significativamente aumentato la protezione dei dati e le garanzie della privacy per i cittadini non statunitensi, stabilendo norme chiare e precise, nonché principi di necessità e proporzionalità per le attività di intelligence degli Stati Uniti e un nuovo meccanismo di ricorso a due livelli, che si applica anche se CBRE US non è (ancora) certificata ai sensi del nuovo quadro sulla privacy dei dati UE-USA.
- Attuazione di un quadro per lo svolgimento e l'esecuzione di valutazioni d'impatto dei trasferimenti di dati extra-UE/SEE.
- Continuare a fare affidamento sulle clausole contrattuali tipo dell'UE (come aggiornate) per trasferire i dati personali dall'UE/SEE verso paesi non UE/SEE e, ove indicato dalla pertinente valutazione d'impatto dei trasferimenti, attuare misure supplementari come raccomandato dal comitato europeo per la protezione dei dati (EDPB) e da altre autorità di controllo dell'UE.
- Implementare garanzie adeguate nei confronti di altri paesi europei che impongono requisiti di trasferimento, come l'adozione dell'Addendum del Regno Unito e che riflettano i cambiamenti richiesti dal diritto svizzero.
- Integrare l'Informativa globale sulla privacy dei dati di CBRE per includere uno "Standard di divulgazione degli ordini di giurisdizione inadeguati" in base al quale CBRE, tra le altre misure, intraprenderà tutte le azioni legali ragionevoli per contestare e sospendere gli ordini di divulgazione provenienti da paesi terzi inadeguati e produrrà solo i dati minimi necessari per la conformità legale.
- Aumentare la localizzazione dei dati UE/SEE.
Cina
Per garantire la conformità alle leggi sulla sicurezza informatica e sulla protezione delle informazioni personali, incluso il trasferimento legale di dati cinesi al di fuori della Cina, CBRE ha ottenuto tutte le certificazioni del Multi-Level Protection Scheme pertinente e ha implementato le misure per il contratto standard per il trasferimento in uscita di informazioni personali adottando il contratto standard emesso dalla Cyberspace Administration of China (CAC) e conducendo una valutazione dell'impatto sulla privacy per i trasferimenti transfrontalieri di dati.
Crittografia
CBRE utilizza una forte tecnologia crittografica che è allineata ai più recenti standard di sicurezza delle migliori pratiche in conformità con gli organismi di standard riconosciuti a livello internazionale, evitando algoritmi di crittografia che sono noti per avere punti deboli o exploit. Abbiamo una politica di sicurezza globale delle informazioni supportata da uno standard di classificazione dei dati e standard di crittografia che coprono le classificazioni dei dati, gli algoritmi crittografici e l'uso della crittografia.
- In transito: CBRE implementa misure di protezione contro gli attacchi attivi e passivi ai sistemi di invio e ricezione che forniscono crittografia del trasporto, come firewall adeguati, crittografia TLS reciproca, autenticazione API e crittografia per proteggere i gateway e le pipeline attraverso cui viaggiano i dati, nonché test per vulnerabilità del software e possibili backdoor. Utilizziamo algoritmi di crittografia e parametrizzazione efficaci su reti non attendibili con protocollo Transport Layer Security (TLS) 1.2 o superiore, SSH 2 (Secure Shell), IPsec (IP Security).
- A riposo: CBRE crittografa anche i dati a riposo in modo appropriato alla classificazione dei dati utilizzando algoritmi di crittografia e parametrizzazione efficaci, tra cui algoritmi a chiave simmetrica - Advanced Encryption Standard (AES) e Triple Data Encryption Standard o algoritmi a chiave asimmetrica - Rivest, Shamir & Adelman (RSA) e Elliptic Curve Digital Signature Algorithm (ECDSA). CBRE non consente la scrittura di dati su supporti rimovibili in generale. Se tale dispositivo è richiesto, viene generata un'eccezione temporanea e gestita per tutta la sua durata. Gli utenti che hanno una legittima necessità di utilizzare l'archiviazione USB sono dotati di un'unità USB crittografata per questo scopo.
Funzioni di hashing: le funzioni hash impiegate includono SHA‐2 e SHA‐3 ma non funzioni obsolete come MD5 e SHA-1.
Per ulteriori informazioni sull'approccio di CBRE al trasferimento transfrontaliero dei dati, potete contattare il Global Data Privacy Office di CBRE.
Elizabeth Atlee | Shannon Clark |
Chief Ethics & Compliance Officer | Global Director e Associate General Counsel – Data Protection & Privacy |