Al fine di garantire un'implementazione conforme al GDPR dei servizi cloud, le pubbliche amministrazioni devono assumersi le proprie responsabilità per valutare e, ove necessario:

• rinegoziare i contratti cloud, con uno stretto coinvolgimento del DPO.

Lo sostiene il Comitato europeo per la protezione dei dati (European Data Protection Board) GDPR all’esito delle indagini coordinate sull'uso di servizi basati su cloud da parte del settore pubblico effettuate nel corso del 2022, da 22 Autorità di vigilanza in tutto lo Spazio Economico Europeo (SEE).

Le Autorità di vigilanza hanno tenuto conto della natura, anche sensibile, dei dati trattati dagli Enti pubblici nonché delle grandi quantità di dati trattati dagli Enti medesimi.

Al riguardo, hanno sottolineato che il diritto fondamentale alla protezione dei dati personali deve essere garantito da tutte le Pubbliche Amministrazioni.

L'EDPB ha sottolineato, in particolare, la necessità che gli Enti pubblici agiscano nel pieno rispetto del GDPR quando utilizzano prodotti o servizi basati su cloud.

Sul tema, tra novembre 2021 e gennaio 2023, queste Autorità di vigilanza hanno deciso di inviare un questionario per indagare sugli Enti pubblici. Hanno redatto il questionario, poi hanno discusso i primi risultati delle loro indagini e il modo in cui hanno pianificato di adeguare gli Enti pubblici attraverso il CEF. Alcuni elementi, in particolare le misure correttive che potrebbero decidere a livello nazionale, sono ancora in discussione e potranno rilevare nel 2023.

I risultati di tutte le Autorità di vigilanza sono confluiti nel rapporto denominato:

- “​​Azione di applicazione coordinata del 2022 - Utilizzo di servizi basati su cloud da parte del settore pubblico - Adottata il 17 gennaio 2023”.

Il rapporto fornisce anche un elenco di “Punti di Attenzione" che dovrebbero essere tenuti in considerazione quando si concludono accordi con i CSP. Tali Punti di Attenzione sono:

• Effettuare una DPIA;

• Garantire che i ruoli delle parti coinvolte siano determinati in modo chiaro e inequivocabile;

• Garantire che il CSP agisca solo per conto e secondo le istruzioni documentate dell'Ente pubblico e identificare ogni possibile trattamento da parte del CSP come titolare del trattamento;

• Garantire che sia possibile un modo significativo per opporsi a nuovi sub-responsabili;

• Garantire che i dati personali siano determinati in relazione alle finalità per le quali sono trattati;

• Promuovere il coinvolgimento del DPO;

• Cooperare con altri Enti pubblici nella negoziazione con i CSP;

• Effettuare una revisione per valutare se il trattamento viene eseguito in conformità con la DPIA;

• Garantire che la procedura di appalto preveda già tutti i requisiti necessari per raggiungere la conformità al GDPR;

• Identificare quali trasferimenti possono avvenire nell'ambito della fornitura di servizi di routine e in caso di trattamento di dati personali per finalità aziendali proprie dei CSP (cfr. punto correlato) e garantire il rispetto delle disposizioni del Capo V del GDPR, anche identificando e adottare provvedimenti integrativi ove necessario;

• Analizzare se una legislazione di un paese terzo si applicherebbe al CSP e porterebbe alla possibilità di indirizzare le richieste di accesso ai dati conservati dal CSP nell'UE;

• Esaminare attentamente e se necessario rinegoziare il contratto;

• Verificare le condizioni alle quali l'Ente pubblico può contribuire agli audit e assicurarne la realizzazione.

Infine, un'attenzione particolare va, altresì, rivolta ai seguenti ulteriori profili dei contratti per servizi in cloud:

• fase precontrattuale

Secondo il questionario di indagine sull’Italia, una delle principali criticità è costituita dal

ruolo dei rivenditori di servizi cloud. Di regola, i servizi cloud non vengono negoziati direttamente con le società produttrici ma tramite società italiane che agiscono come rivenditori. Il ruolo esatto di questi rivenditori non è sempre chiaro sotto il profilo della protezione dei dati. In alcuni casi, ad esempio, anche laddove i rivenditori non svolgano alcun ruolo attivo nel trattamento dei dati personali in relazione alla fornitura dei servizi cloud, sono stati comunque designati come responsabili del trattamento.

Altra criticità è legata all'esecuzione di una valutazione d'impatto sulla protezione dei dati (e/o una valutazione del rischio) e al ruolo delle parti.

• contratti con il CSP

Nel citato questionario di indagine sull’Italia, sono state individuate criticità, per gli Enti pubblici, anche per:

- assenza di contratto;

- difficoltà a negoziare un contratto su misura;

- difficoltà di conoscenza o il controllo sui sub-responsabili.

In disparte il rapporto con l’elenco dei Punti di Attenzione e delle criticità relative ai titolari che utilizzano i servizi cloud, le Autorità di vigilanza continueranno, nel 2023, a promuovere la conformità dei servizi cloud, essendo alcune delle loro indagini ancora in corso. Le azioni per la conformità dei servizi cloud possono includere anche:

campagne di sensibilizzazione tramite la pubblicazione di pareri (o raccomandazioni) non vincolanti sugli obblighi dei titolari che utilizzano i servizi cloud ( es. importanza di condurre una DPIA; importanza di firmare un contratto o altro atto legale conforme al GDPR).

Team Entionline
Servizio di supporto specialistico All privacy Entionline