Cloud pubblico e privacy: le Autorità Ue chiedono più attenzione alla tutela dei dati personali
Cosa devono fare gli enti pubblici per garantire che l’implementazione cloud sia conforme al GDPR? Ecco le prime indicazioni che arrivano dal Comitato europeo per la protezione dati (EDPB), che ha avviato un’analisi sullo stato di fatto, attraverso questionari e interviste alle diverse categorie di parti interessate, tra cui governi centrali, enti pubblici, centrali di acquisto e fornitori ICT
2 Marzo 2023
Patrizia Cardillo
Esperta di Protezione dati personali
Il Comitato europeo per la protezione dati (EDPB) ha reso pubblici i primi risultati dell’indagine avviata nell’ambito del Quadro di attuazione coordinata (CEF – Coordinated Enforcement Framework)[1] sull’uso di servizi basati su cloud da parte del settore pubblico. Li anticipiamo in questa uscita della Rubrica “Appunti di privacy”, riservandoci un successivo approfondimento nelle prossime settimane dopo un’analisi di dettaglio sugli esiti dei questionari compilati dalle varie autorità garanti che hanno partecipato all’indagine.
Cloud pubblico e privacy: l’indagine del Comitato europeo per la protezione dati (EDPB)
Le Autorità nazionali hanno avviato un’analisi sullo stato di fatto, attraverso questionari e interviste alle diverse categorie di parti interessate (governi centrali, enti pubblici, centrali di acquisto e fornitori ICT, indagini formali). In tutto il SEE sono stati interpellati circa 100 enti pubblici, comprese le istituzioni dell’UE, che coprono un’ampia gamma di settori (come sanità, finanza, tasse, istruzione, acquirenti centrali o fornitori di servizi IT) affrontando i punti di maggiore criticità considerati rispetto alla conformità al GDPR[2]: il processo e le garanzie implementate durante l’acquisizione di tali servizi, i trasferimenti internazionali dopo la sentenza Schrems II e il rapporto titolare-responsabile.
Cloud pubblico e privacy: le prime indicazioni per il settore pubblico
Le caratteristiche e le grandi quantità di dati trattati dagli enti pubblici rende essenziale che massima sia l’attenzione alla protezione dei dati personali, diritto che deve essere garantito da tutte le pubbliche amministrazioni. Infatti, tutti gli individui (cittadini e persone che lavorano per i servizi pubblici) dovrebbero poter contare sul fatto che soprattutto gli enti pubblici trattino con cura i loro dati personali, specialmente quando sono affidati a soggetti terzi.
Al fine di garantire che l’implementazione cloud sia conforme al GDPR gli enti pubblici dovrebbero:
- effettuare una DPIA, prima dell’avvio del trattamento al fine di determinare eventuali misure tecniche e organizzative supplementari che si rendessero necessarie; la stessa procedura di appalto deve prevedere i requisiti necessari per raggiungere la conformità al GDPR e promuovere il coinvolgimento del Responsabile della protezione dati (DPO) in tutte le fasi del procedimento;
- monitorare il trattamento per valutarne la conformità con la DPIA e avviare ove necessario una nuova valutazione. Un passaggio al cloud rappresenta il cambiamento del rischio che dovrebbe comportare una periodica revisione della DPIA: i servizi sono, per loro natura dinamici e in continua evoluzione e, quindi, soggetti a mutazioni continue;
- assicurarsi che i ruoli delle parti coinvolte siano chiaramente definiti e che il fornitore agisca solo per conto e secondo le istruzioni documentate dell’ente pubblico; massima attenzione deve essere prestata alla stesura del contratto di cui all’art. 28 del GDPR;
- devono essere selezionati fornitori che presentino garanzie sufficienti per mettere in atto misure di sicurezza adeguate e il fornitore, responsabile del trattamento, deve prestare assistenza al titolare nell’ambito della valutazione dei rischi;
- per ogni trattamento deve essere identificata una valida base giuridica in relazione alle finalità specifiche, esplicite e legittime per le quali i dati personali sono trattati;
- promuovere il coinvolgimento del DPO in tutte le fasi della procedura a supporto del titolare;
- analizzare se la legislazione di un paese terzo applicabile al fornitore preveda richieste di accesso ai dati conservati nell’UE;
- identificare quali trasferimenti possono aver luogo nel contesto della fornitura di servizi di routine e in caso di richiesta di accesso ai dati personali da parte di autorità pubbliche di paesi terzi. Tali trasferimenti devono rispettare le disposizioni del Capo V del GDPR.
Conclusioni
Dal report emerge evidente che sussiste un evidente squilibrio di poteri tra titolare e fornitore che rende difficile per l’ente pubblico in qualità di titolare negoziare i termini dei contratti. La cooperazione tra gli enti pubblici nelle negoziazioni con i fornitori potrebbe rafforzare la capacità contrattuale del soggetto pubblico e ridurre lo squilibrio che mina la corretta gestione dei servizi.
Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA
[1] Il CEF è un’azione chiave dell’EDPB nell’ambito del secondo pilastro della sua strategia[1] 2021-20232, insieme alla creazione di un gruppo di esperti di sostegno (SPE), volto a razionalizzare l’applicazione e la cooperazione tra le autorità di vigilanza (SA).
[2] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/ CE (regolamento generale sulla protezione dei dati (GU L 119 del 4.5.2016, pag. 1).