Cloud nella PA: indagine coordinata dei Garanti europei

Il Comitato europeo per la protezione dei dati personali (EDPB) ha avviato la prima indagine coordinata: 22 autorità nazionali di controllo del SEE (lo Spazio economico europeo), compreso il Garante privacy italiano, verificheranno l’utilizzo di servizi cloud da parte dei soggetti pubblici.

L’iniziativa si inserisce nel Quadro di attuazione coordinata (CEF – Coordinated Enforcement Framework) adottato dall’EDPB nel mese di ottobre 2020, con l'obiettivo di potenziare le attività di enforcement e cooperazione fra le autorità di controllo.

Cloud Computing e Privacy: attenzione al trasferimento di dati all'estero

La trasformazione digitale che la pandemia ha innescato ha infatti orientato molti soggetti pubblici, anche nel nostro paese, a ricorrere a servizi cloud. Per le pubbliche amministrazioni, risulta però impegnativo ottenere prodotti e servizi ICT che siano in linea con le norme UE sulla protezione dei dati.

Scopo di questa indagine è quello di verificare il rispetto del GDPR, nonché promuovere le migliori prassi per garantire un’adeguata protezione dei dati personali. L'analisi riguarderà oltre 80 soggetti attivi in vari settori (sanità, fisco, istruzione), incluse le Istituzioni europee, le centrali di committenza e i fornitori di servizi ICT della pubblica amministrazione centrale e locale.

Sulla base di un modello operativo condiviso, elaborato dalle varie autorità di controllo, l’indagine sarà declinata a livello nazionale secondo modalità differenti, tra cui: la somministrazione di un questionario; l’avvio di specifiche istruttorie o la prosecuzione di quelle già in corso, anche attraverso accertamenti ispettivi. Le autorità analizzeranno, in particolare, le procedure e le garanzie adottate nelle fasi di acquisizione e di utilizzo dei servizi cloud, i problemi connessi ai trasferimenti internazionali di dati e all’impiego di misure supplementari, nonché la regolazione dei rapporti fra titolari e responsabili del trattamento.

Gli esiti delle indagini saranno esaminati in maniera coordinata con le altre autorità europee per approfondire ulteriormente la tematica e consentire un follow-up mirato a livello UE. Le singole autorità, in ogni caso, decideranno eventuali interventi successivi, anche di carattere correttivo.

Entro la fine del 2022, è intenzione dell ’EDPB pubblicare un report sui risultati di questo lavoro.