Cloud nella PA: i garanti europei chiedono il rispetto della privacy

Il Comitato europeo per la protezione dati (EDPB) ha reso noti i dati di una relazione -  esito  dell’attività di 22 Autorità privacy dello Spazio economico europeo - che riguarda la prima azione di applicazione coordinata sull'uso di servizi cloud da parte del settore pubblico.

“Il rapporto – osserva Andrea Jelinek Presidente dell’EDPB - fornisce un utile metro di paragone e confido che diventerà un importante punto di riferimento per le amministrazioni che cercano servizi cloud conformi al Regolamento europeo”.

Nell’ambito del Quadro di attuazione coordinata (CEF - Coordinated Enforcement Framework), i garanti europei hanno infatti avviato indagini coordinate sull'utilizzo del cloud nelle amministrazioni pubbliche, interpellando un centinaio di enti, che si occupano di settori cruciali come sanità, fisco e istruzione, centrali di acquisto e fornitori ICT.

Necessario il "pieno" rispetto del GDPR

Nella relazione, l'EDPB ha sottolineato la necessità per gli enti pubblici di agire nel pieno rispetto del GDPR, fornendo alle PA una serie di raccomandazioni, a cominciare dalla rinegoziazione dei contratti cloud, con il coinvolgimento del responsabile della protezione dati. Il Comitato europeo invita inoltre le Autorità di protezione dati a promuovere la conformità delle soluzioni cloud, attraverso la pubblicazione di pareri non vincolanti (o raccomandazioni) sugli obblighi dei titolari e sull'importanza di condurre una valutazione d’impatto.

All’indagine ha preso parte per il nostro Paese anche il Garante privacy. Nel contesto italiano si segnala una generale “mancanza di consapevolezza” sui trasferimenti verso Paesi terzi e sulle richieste di accesso ai dati conservati nello Spazio economico europeo da parte di autorità pubbliche di Paesi terzi, oltre che sull’eventuale ulteriore trattamento dei dati realizzato dai fornitori di servizi cloud tramite la telemetria (utilizzata per monitorare il funzionamento dell’infrastruttura).

Un altro aspetto delicato riguarda l’audit: alcuni enti hanno fatto notare come i cloud provider non permettano lo svolgimento di attività di verifica e ispezione e come sia difficile accordarsi su clausole specifiche.