Il Comitato europeo per la protezione dati (EDPB) ha adottato una relazione sui risultati della sua prima azione di applicazione coordinata relativa all’uso di servizi cloud da parte del settore pubblico.
Il Report è frutto dell’attività di 22 Autorità privacy dello Spazio economico europeo che, nell’ambito del Quadro di attuazione coordinata (CEF – Coordinated Enforcement Framework), hanno avviato indagini coordinate sull’utilizzo del cloud nelle amministrazioni pubbliche, interpellando un centinaio di enti, attivi in settori cruciali come sanità, fisco e istruzione, ma anche centrali di acquisto e fornitori ICT.
Nella relazione, l’EDPB ha sottolineato la necessità per gli enti pubblici di agire nel pieno rispetto del GDPR, fornendo alle PA una serie di raccomandazioni, a cominciare dalla rinegoziazione dei contratti cloud, con il coinvolgimento del responsabile della protezione dati. Il Comitato europeo invita inoltre le Autorità di protezione dati a promuovere la conformità delle soluzioni cloud, attraverso la pubblicazione di pareri non vincolanti (o raccomandazioni) sugli obblighi dei titolari e sull’importanza di condurre una valutazione d’impatto.
All’indagine ha partecipato anche il Garante privacy. Dal contesto italiano emerge una generale “mancanza di consapevolezza” sui trasferimenti verso Paesi terzi e sulle richieste di accesso ai dati conservati nello Spazio economico europeo da parte di autorità pubbliche di Paesi terzi, oltre che sull’eventuale ulteriore trattamento dei dati realizzato dai fornitori di servizi cloud tramite la telemetria (utilizzata per monitorare il funzionamento dell’infrastruttura). Un altro aspetto delicato riguarda l’audit: alcuni enti hanno lamentato come i cloud provider non permettano lo svolgimento di attività di verifica e ispezione e come sia difficile accordarsi su clausole specifiche.
Fonte: Garante per la protezione dei dati personali