Cloud nella PA: le raccomandazioni dell’EDPB

Negli ultimi anni abbiamo assistito a una crescita importante relativa alla digitalizzazione, in particolare per le Pubbliche Amministrazioni, le quali soffrivano di un’elevata difficoltà nell’attuare un processo comune ed efficiente.

La Strategia per la crescita digitale del Paese e il Piano triennale per l’Informatica nelle PA hanno fissato gli obiettivi principali relativi alla campagna di digitalizzazione.

Lo scopo è quello di favorire lo sviluppo di una società digitale, promuovendo la digitalizzazione della pubblica amministrazione, la quale costituisce il centro di sviluppo del paese. Tale strategia riguarda principalmente l’adozione del cloud.

Cos’è il cloud

Il cloud computing, detto cloud, è un modello di infrastrutture informatiche che consente di disporre, tramite internet, di un insieme di risorse di calcolo (ad es. reti, server, storage, applicazioni e servizi) che possono essere rapidamente erogate come un servizio. L’obiettivo è quello di velocizzare e semplificare la gestione dei sistemi informativi in modo da rendere la pubblica amministrazione interamente fruibile online.

Nell’ultimo periodo vi è stata una crescita riguardo i servizi basati sul cloud. Tale crescita ha dunque comportato la necessità, da parte delle autorità di controllo, di attuare delle verifiche.

Il rapporto dell’EDPB

Il Comitato Europeo per la protezione dei dati (EDPB) lo scorso 18 gennaio  ha pubblicato il rapporto sui risultati dell’attività svolta dal Comitato per l’applicazione coordinata dei regolamenti (“Coordinated Enforcement Framework” o CEF).

Questo rapporto è frutto di un’indagine avviata nell’ottobre del 2020 con lo scopo di potenziare le attività di cooperazione tra le autorità di vigilanza e di semplificare l’applicazione delle norme. L’oggetto di studio e di monitoraggio sono stati i servizi basati sul cloud nel settore pubblico insieme alla gestione dei dati nella pubblica amministrazione.

Nell’arco del 2022 è stata avviata la prima indagine coordinata dal Comitato Europeo per la protezione dei dati portata avanti dalle 22 Autorità nazionali di controllo dello Spazio Economico Europeo, tra cui il nostro Garante privacy italiano.

L’indagine ha riguardato complessivamente 80 soggetti operanti in diversi settori (sanità, fisco e istruzione) ed istituzioni europee, centrali di committenza, fornitori di servizi ICT della PA centrale e locale. È stata eseguita seguendo le modalità operative condivise delle varie autorità nazionali: attraverso la somministrazione di un questionario e tramite l’avvio di specifiche attraverso accertamenti ispettivi.

Le varie autorità hanno analizzato le procedure e le garanzie adottate durante le fasi di acquisizione e di utilizzo dei servizi cloud, le problematiche connesse ai trasferimenti internazionali di dati e all’impiego di misure supplementari, ed inoltre la regolazione dei rapporti fra titolari e responsabili del trattamento.

Il report dell’EDPB e le criticità osservate

Il report dell’EDPB ha individuato una serie di criticità, che riguardano:

• la fase precontrattuale dei rapporti tra le parti e l’analisi dei ruoli dal punto di vista della data protection;
• l’elaborazione di accordi strutturati e su misura in base alla tipologia di contratto oggetto dei servizi della PA;
• la procedura relativa all’analisi dei rischi elevati;
• il processo di sub appalto dei fornitori, i trasferimenti dei dati al di fuori dello spazio europeo, la difficoltà di accesso delle informazioni da parte delle autorità nel caso di service provider situati al di fuori dell’Europa;
• la gestione dei dati telemetrici da parte dei cloud servicer (come i profili di sicurezza nell’accesso ai sistemi, le informazioni relative all’uso delle infrastrutture);
• le attività di audit e di controllo periodico in aree considerate a rischio per i diritti e le libertà degli interessati.

Oltre ad individuare le principali problematiche, l’EDPB ha nuovamente chiarito quanto sia fondamentale per le pubbliche amministrazioni “agire nel pieno rispetto del GDPR”, stilando un elenco di punti di attenzione necessari all’ente pubblico ogni volta che viene sottoscritto un accordo con i Cloud Service Provider (detti CSP).

Particolare rilevanza viene data alla redazione della valutazione d’impatto (detta Data Protection Impact Assestment o più brevemente DPIA), come stabilito dall’art. 35 del GDPR.

Secondo il report, diverse attività di business effettuate dall’ente pubblico che prevedono il trattamento dei dati, possono comportare un grosso rischio per la sicurezza dei diritti e delle libertà degli interessati, a causa dei meccanismi di raccolta delle informazioni che sono spesso caratterizzate da trattamenti massivi e su larga scala.

Per questo motivo l’EDPB invita a redigere la DPIA prima di iniziare qualsiasi procedura, come previsto dal Regolamento UE 2016/679.

Le raccomandazioni dell’EDPB sul cloud

Ribadendo la necessità di agire nel pieno rispetto del GDPR, all’interno del report sono state formulate una serie di raccomandazioni utili a garantire maggiore chiarezza consentendo un monitoraggio mirato a livello europeo, in modo da promuovere un’interpretazione coordinata per la disciplina del data protection.

Le verifiche necessarie, secondo l’EDPB, consistono in:

• determinare in modo chiaro e inequivocabile i ruoli dei soggetti coinvolti negli accordi sottoscritti;
• in relazione alle finalità di trattamento, i dati personali devono essere sempre determinati;
• il cloud service provider deve operare in qualità di responsabile del trattamento, agendo sempre seguendo le istruzioni impartite dall’ente pubblico;
• qualora non li ritenga adeguati, l’ente può avere la possibilità di opporsi a eventuali sub-responsabili del trattamento nell’ambito della fornitura;
• la valutazione d’impatto deve essere redatta ogni qualvolta si presenti un rischio elevato per i diritti e le libertà dell’interessato. Deve inoltre essere effettuato un controllo periodico dell’attività in modo da valutare la conformità del trattamento;
• deve essere garantito il coinvolgimento effettivo del DPO;
• la procedura di appalto deve essere conforme ai requisiti normativi del GDPR;
• vengano individuati i trasferimenti che possono avvenire nel contesto della fornitura dei servizi e quelli relativi al trattamento dei dati personali per finalità proprie del CSP, così da garantire le disposizioni previste dal Capo V del GDPR;
• è necessario condurre un’analisi preliminare relativa alla legislazione del Paese Terzo in cui eventualmente opera il CSP, in modo da garantire la tutela dei diritti e dell’accesso dei dati degli interessati;
• devono sussistere condizioni specifiche per permettere all’ente di effettuare processi di audit e controlli.

La relazione del Garante Italiano

Tramite l’analisi del Garante italiano per quanto riguarda il cloud emerge un quadro di mancanza di consapevolezza riguardo i trasferimenti indirizzati ai Paesi terzi e sulle richieste di accesso dei dati conservati nello Spazio economico europeo da parte di autorità pubbliche di Paesi terzi.

Inoltre diversi enti hanno lamentato l’impossibilità sui cloud provider di provvedere allo svolgimento di attività di verifica e di ispezione e su difficile accordo riguardo clausole specifiche.

Secondo Andrea Jelinek, Presidente dell’EDPB, il rapporto: “fornisce un utile metro di paragone e confido che diventerà un importante punto di riferimento per le amministrazioni che cercano servizi cloud conformi al Regolamento europeo”.