Il 17 gennaio 2023 l’EDPB ha pubblicato il rapporto conclusivo dell’indagine svolta sull’uso del cloud nel settore pubblico. Tale indagine, intrapresa dalle Autorità Garanti in tutto lo Spazio Economico Europeo, si colloca nel quadro dell’applicazione coordinata (CEF Coordinated Enforcement Framework), che sostiene e rinforza i meccanismi di cooperazione previsti dal GDPR.
La pubblicazione dell’EDPB, dunque, mette insieme i risultati delle indagini svolte dalle Autorità di vigilanza europee, nei confronti di 100 soggetti pubblici operanti in vari ambiti, e identifica i punti di attenzione che le autorità pubbliche dovrebbero considerare quando sottoscrivono contratti con un Cloud Service Provider (CSP). L’autorità italiana assieme ad altre, ad esempio, ha contattato gli stakeholders operanti nell’ambito della digitalizzazione della pubblica amministrazione/ settore e-government.
Secondo Eurostat la diffusione dei servizi cloud è raddoppiata per le imprese in tutta l’UE tra il 2016 e il 2021. Nel settore pubblico, la pandemia di COVID-19 ha intensificato la trasformazione digitale delle organizzazioni, con molte organizzazioni del settore pubblico che si rivolgono ai servizi cloud.
Si può comprendere l’importanza di tale indagine pensando alla grande quantità di dati trattati dagli enti pubblici, che possono comprendere anche dati sensibili. L’EDPB sottolinea la necessità che le pubbliche amministrazioni garantiscano il rispetto del diritto fondamentale alla protezione dei dati personali, in conformità a quanto previsto nel GDPR anche al fine di favorire la fiducia dei cittadini nell’affidare i propri dati ad una pubblica amministrazione, specialmente quando il trattamento viene svolto da parte di terzi
Il rapporto dell’EDPB non ha lo scopo di proporre nuove misure da adottare ma pone l’attenzione sulle valutazioni svolte dai Garanti europei e può servire come strumento di stimolo e di riflessione per le pubbliche amministrazioni che utilizzano i servizi di Cloud computer. In particolare, la prima parte di questo rapporto presenta statistiche sulle parti interessate affrontate, mentre la seconda parte analizza le sfide affrontate dagli organismi pubblici al momento dell’acquisto di servizi cloud.
In sintesi, punti di attenzione trattati nel documento sono:
Valutazione d’impatto – DPIA: Uno dei punti critici dell’indagine ha riguardato lo svolgimento delle valutazione d’impatto, al fine di stabilire le misure tecniche e organizzative che si rendono necessarie nel caso concreto. L’indagine delle Autorità Garanti in quest’ambito ha evidenziato che solo trentadue delle ottantasei parti interessate che utilizzano i CSP hanno indicato di aver effettuato una DPIA prima dell’inizio del trattamento; ciò aumenta il rischio del trattamento stesso ai sensi del GDPR.
Da sottolineare anche che in alcuni casi le parti interessate si erano affidate completamente alle misure di sicurezza del CSP; tuttavia delegare la valutazione del rischio unicamente al responsabile circoscrive l’analisi alla sicurezza delle informazioni, rischiando di trascurare le finalità, le modalità del trattamento ed i rischi sui diritti e le libertà degli interessati. Inoltre, l’EDPB sottolinea l’importanza di coinvolgere il DPO nella valutazione d’impatto e, in base al proprio modello organizzativo, eventuali altre figure interne, quali il CISO.
Una valutazione del rischio dovrebbe essere intrapresa, anche se non obbligatoria, al fine di rispettare il principio di accountability e garantire la sicurezza del trattamento ai sensi dell’art. 32 del GDPR. Il responsabile del trattamento dovrebbe, se del caso, fornire assistenza per la valutazione del rischio, dato che potrebbe trovarsi in una posizione privilegiata per determinare alcune delle misure di sicurezza.
Poiché i servizi cloud sono dinamici, soggetti a modifiche continue è necessario rivedere e rivalutare regolarmente la DPIA, e/o la valutazione del rischio.
Parti coinvolte e ruoli GDPR: i ruoli delle parti coinvolte dovrebbero essere individuati e formalizzati.
l’EDPB ha ricordato che già il WP29 aveva affermato che i concetti chiave di titolare e responsabile sono concetti funzionali: mirano ad attribuire le responsabilità in base ai ruoli effettivi ricoperti. Ciò implica che il ruolo di una parte come “titolare del trattamento” o “responsabile del trattamento” deve essere ricavato dalle effettive attività svolte, piuttosto che dalla designazione formale (ad es. in un contratto). Nella maggior parte dei casi gli enti pubblici agiscono come titolari e i CSP come responsabili o sub-responsabili.
Se i ruoli e le responsabilità non sono correttamente identificati, diventa difficile individuare i rispettivi obblighi del CSP e degli enti pubblici, ai sensi del GDPR. Talvolta, nel caso della centralizzazione degli acquisti, gli enti pubblici hanno ritenuto che l’acquirente centrale fosse il responsabile del trattamento (altre volte titolare autonomo o contitolare); nonostante la difficoltà a chiarire i rispettivi ruoli è difficile che l’acquirente centrale possa essere individuato come responsabile del trattamento, in quanto non è chiaro quale attività di trattamento dovrebbe svolgere.
Lo stesso EDPB nelle Linee guida 07/2020 sui concetti di titolare e responsabile nel GDPR, evidenzia che sia i titolari che i responsabili del trattamento possono essere sanzionati in caso di mancato rispetto degli obblighi del GDPR che li riguardano, ed entrambi sono direttamente responsabili nei confronti delle Autorità di controllo in relazione agli obblighi di mantenere e fornire un’adeguata documentazione su richiesta, cooperare in caso di indagine e attenersi agli ordini amministrativi.
Formalizzazione dei ruoli – DPA: nei casi in cui il CSP è responsabile del trattamento dovrebbe agire secondo le istruzioni documentate dell’ente pubblico. Nei casi in cui, invece, agisca come titolare autonomo o congiunto l’ente pubblico dovrebbe individuare la base giuridica per la comunicazione dei dati. Un Data Protection Agreement, stipulato ai sensi dell’art. 28 par. 3 del GDPR dovrebbe prevedere che i dati siano trattati in relazione alle finalità esplicite per quali sono raccolti, e non ulteriormente trattati per finalità incompatibili da parte del CSP. L’accordo, inoltre, dovrebbe specificare i controlli di sicurezza che il Responsabile del trattamento è tenuto a adottare. Il DPO dovrebbe essere coinvolto nella formulazione o nell’accettazione delle relative clausole. Altra clausola importante nel DPA è quella relativa alla conduzione di audit da parte del soggetto pubblico o da un altro soggetto incaricato dal titolare. Tali audit devono essere svolti.
Sub responsabili: il rapporto dell’EDPB indica che alla domanda sui sub responsabili molti dei soggetti intervistati non ha fornito informazioni o ha fatto riferimento a un elenco on line di sub responsabili, tale prassi indica che gli enti pubblici non hanno il controllo sui sub responsabili né possono opporsi ad uno specifico sub responsabile. Ciò potrebbe avere ripercussioni sulla conformità al GDPR, in particolare per il trasferimento verso paesi extra UE. Gli enti pubblici dovrebbero potersi opporre alla nomina di nuovi sub responsabili, ad esempio prevedendo, a livello contrattuale, il diritto a rivedere l’elenco dei sub responsabili e trasmettere obiezioni motivate entro un determinato periodo di tempo. Una soluzione per ottenere un maggior controllo potrebbe essere quella di prevedere a livello contrattuale i requisiti che i sub responsabili devono possedere o definire quali informazioni il CSP deve fornire sui nuovi sub responsabili che propone.
Cooperare con altri enti pubblici nelle trattative con i CSP: talvolta si potrebbero verificare delle situazioni di squilibrio tra gli enti pubblici e i CSP; negoziare i servizi insieme ad altri enti pubblici potrebbe contribuire a ridurre tale situazione di squilibrio.
Richieste di accesso di paesi terzi ai dati conservati nel CSP: si tratta di verificare se ci sono legislazioni di paesi terzi che si applicano al CSP, e se il Provider potrebbe essere soggetto all’obbligo legale di fornire l’accesso ai dati da parte delle autorità pubbliche di paesi terzi.
Autore: Chiara Acciaioli
