Servizi cloud PA sotto la lente dell’EDPB. Nell’ambito del Quadro di attuazione coordinata (CEF – Coordinated Enforcement Framework), iniziativa avviata dal Comitato europeo per la protezione dei dati personali a ottobre 2020 con l’obiettivo di potenziare la sinergia tra le autorità, è partita oggi la prima indagine coordinata. Sono coinvolte le ventidue autorità nazionali dello Spazio economico europeo, tra cui anche il Garante privacy italiano. La verifica riguarda l’utilizzo dei servizi cloud da parte del settore pubblico.
L’attività intrapresa è uno step molto rilevante per l’attuazione del GDPR: “La cooperazione tra le autorità nazionale è una chiave di volta del GDPR, l’EDPB ne è la struttura portante. C’è una regolamentazione europea uniforme ed è fondamentale che le autorità lavorino insieme al fine che la stessa normativa sia applicata nello stesso modo”, ha commentato il docente universitario ed ex Garante privacy italiano Francesco Pizzetti.
Accesso ai dati, come fare: tutte le istruzioni dell’EDPB nelle nuove linee guida
Indice degli argomenti
Indagine coordinata EDPB, come si svolge
Molti soggetti pubblici in Europa hanno fatto ricorso ai servizi cloud spinti dall’accelerazione alla trasformazione digitale imposta dalla pandemia di Covid-19. Tuttavia, come spiega in una nota il Garante privacy italiano, “risulta spesso complesso per le pubbliche amministrazioni ottenere prodotti e servizi ICT che siano in linea con le norme UE sulla protezione dei dati. Con questa indagine, le autorità di controllo intendono pertanto verificare il rispetto del GDPR, nonché promuovere le migliori prassi per garantire un’adeguata protezione dei dati personali”.
Le tappe dell’attività
Saranno coinvolti nell’indagine ottanta soggetti che operano in diversi settori pubblici, dalla Sanità al Fisco, comprese le istituzioni UE, le centrali di committenza e i fornitori ICT della PA. L’indagine sarà gestita “sulla base di un modello operativo condiviso elaborato dalle autorità di controllo partecipanti” che prevede di declinare le verifiche a livello nazionale comprendendo:
- risposte a un questionario,
- avviare istruttorie o proseguirle se già in corso, anche attraverso ispezioni.
I garanti nazionali punteranno a verificare in particolare la conformità delle procedure e delle garanzie adottate “nelle fasi di acquisizione e di utilizzo dei servizi cloud, le problematiche connesse ai trasferimenti internazionali di dati e all’impiego di misure supplementari, nonché la regolazione dei rapporti fra titolari e responsabili del trattamento”.
In seguito, i risultati delle verifiche saranno esaminati in modo sinergico con le altre autorità europee. Saranno i singoli garanti nazionali a decidere eventuali interventi, anche di natura correttiva. Il report dell’attività sarà pubblicato entro fine 2022.
Servizi cloud PA, Pizzetti: “Garanzie e tutele dei sistemi sono necessarie”
I servizi PA basati su cloud sono un aspetto fondamentale per abilitare la digitalizzazione del settore pubblico. Per Pizzetti, “da un lato si richiede alle PA europee di usare le piattaforme cloud, dall’altra è necessario aumentare le garanzie e le tutele di questi sistemi, oltre che verificare che le diverse autorità operanti nei diversi Paesi operino secondo criteri analoghi per garantire uniformità“. Oltretutto, l’indagine coordinata avviata dall’EDPB è un’attività che concretizza le numerose disposizioni contenute nel GDPR proprio sul coordinamento tra le varie autorità.
Rispetto al tema specifico, “le piattaforme cloud sono un elemento di fragilità del sistema digitale, perché trattano grande quantità di dati e di conseguenza se non difese in modo adeguato possono determinare quantità rilevante di illeciti – ha commentato Pizzetti -. Le piattaforme cloud sono centrali nell’evoluzione del mondo digitale, perché consentono l’interscambio di grandi quantità di dati”.
