Immagine di Chiara Grande
Chiara Grande
  • Pubblicato in Generale

Le linee guida EDPB relative all’uso dei servizi cloud nel settore pubblico

Secondo le indicazioni più recenti dell'EDPB, le Pubbliche Amministrazioni dovranno essere più attente agli standard di data protection e alla flessibilità dei contratti cloud. Un approccio che, come ci spiega l'avvocato Apruzzi in questa intervista, è volto a tutelare maggiormente gli interessi delle PA. Con metodi e attenzioni applicabili anche al settore privato
Indice dei contenuti

Gestire in modo più armonioso i rapporti con i fornitori di servizi cloud per la Pubblica Amministrazione e garantire l’effettiva applicazione della legislazione UE sulla data protection: con questo obiettivo, l’EDPB (European Data Protection Board) ha analizzato l’utilizzo, da parte di oltre 80 enti pubblici, dei servizi di cloud computing, verificando la trasparenza dei contratti stipulati e l’impatto sulla compliance normativa. Per saperne di più su quest’iniziativa e su come abbia avuto un ruolo nel delineare nuovi standard, abbiamo intervistato l’Avvocato e DPO Valentina Apruzzi, dello Studio Princivalle Apruzzi Danielli, con sede a Bologna.

Valentina Apruzzi: “Con le nuove linee guida EDPB, più attenzione alla fase precontrattuale”

Buongiorno Avvocato, ci ha segnalato la recentissima adozione di nuove linee guida relative ai servizi cloud da parte dell’EDPB, di cosa si tratta?

“Sono linee guida individuate dall’EDPB (European Data Protection Board), l’organismo europeo indipendente con sede a Bruxelles che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione Europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE, affinché gli enti pubblici agiscano in conformità al GDPR nell’utilizzo dei servizi cloud based e trae origine da un’attività di indagine che l’organismo europeo ha effettuato in coordinamento con le Autorità di Controllo di tutti gli stati membri. Per chi avesse la curiosità di leggere il questionario di indagine sottoposto anche al nostro Garante per la Protezione dei Dati, può dare un’occhiata all’allegato II organizzato per paese”.

Per quale motivo il documento è rilevante?

“Il documento deriva da un’iniziativa adottata dall’organismo nel 2021 e finalizzata a indagare l’uso dei sistemi cloud based nel settore della pubblica amministrazione e si innesta in un periodo di produzione regolamentare in cui stanno venendo alla luce una serie di normative di impronta comunitaria ma con ricadute immediate per gli operatori privati e pubblici del nostro paese in materia di sicurezza dei dati, resilienza e protezione dei dati personali nei settori strategici. Ne è un esempio il Regolamento UE 2022/2254 (Dora),  approvato il 10 novembre 2022 e relativo alla resilienza operativa digitale per il settore finanziario, volta a garantire che le imprese finanziarie dispongano delle necessarie misure per prevenire gli attacchi informatici e mitigare altri rischi informatici.

Il documento dell’EDPB non rappresenta una elencazione definitiva delle azioni svolte nell’ambito del Coordinated Enforcement Framework (CEF), poiché lo scopo non è quello di individuare le misure da adottare, ma riflettere sulle azioni intraprese dalle autorità di controllo competenti e individuare possibili punti di attenzione”.

Quali indicazioni ci giungono quindi dall’EDPB?

“L’Organismo sottolinea come sia necessario per le autorità pubbliche prestare massima attenzione già nella fase precontrattuale in fase di esecuzione di valutazione d’impatto sulla protezione dei dati (DPIA) e rispetto al ruolo assunto dalle autorità pubbliche e dai fornitori di servizi basati su cloud (CSP), redigendo accordi di servizi e accordi per il trattamento dei dati che tengano conto delle responsabilità assunte nella gestione della sicurezza dei dati e dell’applicazione delle relative misure di sicurezza, in base al contesto nel quale il trattamento è svolto e al livello di rischio individuato nella DPIA.

Emergerebbe, inoltre, che gli enti pubblici mostrano scarsa conoscenza delle questioni connesse, compreso il controllo relativo ai sub-responsabili del trattamento utilizzati dai fornitori e degli impatti relativi al possibile trasferimento dei dati fuori dal SEE.

Riassumendo, le linee guida suggeriscono:

  1. l’esecuzione dei DPIA;
  2. l’individuazione dei ruoli nell’ambito del trattamento mediante stipula di un  DPA (Data Processing Agreement);
  3. la verifica che i fornitori di servizi cloud agiscano in aderenza alle istruzioni ricevute dal titolare del trattamento;
  4. la previsione di effettive tutele e mezzi di opposizione rispetto all’affidamento dei trattamenti a sub-responsabili non “graditi”;
  5. attenersi al principio di minimizzazione, verificando che il trattamento dei dati risponda alla relativa finalità;
  6. promuovere il coinvolgimento del DPO;
  7. assicurare che anche le procedure di selezione dei fornitori tengano in considerazione i requisiti obbligatori per la conformità al GDPR.
  8. agire in stretta collaborazione con le altre autorità pubbliche nei negoziati con i CSP;
  9. procedere a verifiche periodiche riguardo alla conformità del trattamento alla DPIA e alle istruzioni;
  10. individuare eventuali trasferimenti di dati svolti nell’esecuzione dei servizi e, in caso di trattamento dei dati personali per scopi commerciali propri dei CSP, garantire il rispetto delle garanzie previste dal GDPR;
  11. analizzare i contratti e nogoziarli;
  12. verificare le condizioni alle quali il Titolare è autorizzato a svolgere e può contribuire agli audit”.

Ma queste regole sono applicabili anche al settore privato?

“Hai centrato il punto, Chiara. E’ evidente che in considerazione della natura, del volume e degli interessi in ballo relativamente ai trattamenti svolti dalla pubblica amministrazione, l’organismo abbia acceso un faro per la tutela di un interesse diffuso e in un contesto ancora poco chiaro rispetto alla possibile sovranità tecnologica derivante dal Cybersecurity Act; le linee guida declinate sono applicabili, nel rispetto delle specifiche del contesto, anche al settore privato.

La priorità al settore pubblico è giustificata dal fatto che le autorità pubbliche trattano una larghissima mole di dati ed è indispensabile garantire il diritto fondamentale alla protezione dei dati a fronte di uno sviluppo rapido della tecnologia e dei rischi associati”.

Credi che questa produzione di regole e adempimenti possa ingessare il settore pubblico che già paga un retaggio burocratico?

“Il settore pubblico è in grave ritardo nell’uso della tecnologia e nella digitalizzazione in Italia, tuttavia è stato tracciato un percorso che farebbe ben sperare verso un rapido allineamento con i paesi che hanno intrapreso questo percorso prima di noi. Le linee guida servono proprio a delineare un percorso virtuoso di adeguamento al GDPR che tenga conto degli interessi in gioco e del fine ultimo, l’adozione di servizi cloud based che permettono di massimizzare l’efficienza tecnologica e contenere i rischi grazie all’adozione di misure di sicurezza di altissimo livello”.  


Articoli correlati:
  1. Cookie, le nuove linee guida del Garante Privacy
  2. Cloud pubblico VS Cloud privato: c’è ancora un confronto da fare?
  3. Servizi Cloud e Industria 4.0 per innovare il business
  4. Servizi Cloud in totale sicurezza la parola al nostro CEO
  5. Servizi Cloud per aziende: da «Mi interessa il Cloud?» a «Quali vantaggi?»
  6. Sempre più cloud, senza dimenticare la privacy

CONDIVIDI SUI SOCIAL

Altri articoli da non perdere

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

5 + 5 =