L’European Data Protection Board (Edpb) ha rilasciato un importante documento di indirizzo sull’uso dei servizi cloud-based nel settore pubblico.
Il documento, dal titolo “Use of cloud-based services by the public sector”, risponde alla necessità di armonizzare le misure previste nei vari Paesi in un ambito -quello dell’uso delle tecnologie cloud – in rapida evoluzione, e che pertanto configura nuovi rischi che è bene affrontare tempestivamente. Soprattutto dalla pandemia da Covid, infatti, sono molte le organizzazioni che hanno implementato la propria trasformazione digitale con un uso massiccio di sistemi cloud per condividere e archiviare documenti e risorse.
Il report è stato redatto nell’ambito dell’azione coordinata di enforcement (CEF) che l’organismo europeo ha intrapreso per supportare questo processo di armonizzazione, riportando l’esito della consultazione presso più di 100 istituzioni pubbliche da 15 Paesi dell’EU, operanti in settori che spaziano dall’educazione alla finanza, dalla giustizia all’ambito infrastrutturale. Ne emergono una serie di raccomandazioni utili, quali:
- l’importanza di effettuare specifiche valutazioni di impatto (DPIA), così da avere un chiaro quadro delle misure tecniche e organizzative di implementazione che si rendono necessarie a seguito dell’adozione di uno o più servizi cloud. Strettamente collegato a questo punto è la raccomandazione di orientarsi verso aziende fornitrici di servizi cloud che forniscano sufficienti garanzie dal punto di vista della data protection;
- determinare chiaramente il ruolo che un’organizzazione pubblica assume nell’uso di uno o più tali servizi specificandolo chiaramente nei contratti di fornitura. Se la società cloud prescelta riveste il ruolo di responsabile del trattamento (data controller) è bene verificare che questa agisca attenendosi precisamente alle istruzioni fornite dall’organizzazione titolare e che offra i propri servizi nella piena compliance al Gdpr, senza trascurare il dovere di fornire precise informazioni al titolare qualora questa ricorra a sub-responsabili;
- assicurarsi che siano pienamente rispettate le prescrizioni del Gdpr in merito alle finalità per cui i dati sono trattati, con particolare attenzione a che non si configurino ulteriori trattamenti per finalità eventualmente incompatibili: a questo scopo il documento sottolinea l’importanza di prevedere contratti chiari, con dettagli in merito alle clausole di nomina a responsabile del trattamento, alle misure di mitigazione dei rischi, ai protocolli di sicurezza adottati;
- con particolare riferimento al trasferimento di dati, le pubbliche organizzazioni titolari del trattamento devono saper distinguere quali trasferimenti sono previsti nel corso della normale fornitura del servizio, e se sono previste richieste di accesso ai dati da parte di autorità terze parti, comprese autorità. È compito del titolare, infatti, analizzare il quadro normativo di eventuali terze parti che siano coinvolte, così come fornire al responsabile istruzioni adeguate ed eventualmente anche tool appropriati per i trasferimenti, da implementare via via che se ne presenti la necessità;
- da ultimo, il report enfatizza il ruolo cruciale svolto dal Responsabile per la protezione dati dell’istituzione, sia per il lavoro di analisi e negoziazione del contratto con la società fornitrice, sia per la sensibilizzazione presso il personale dell’istituzione.
Il documento è scaricabile al link https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
Recent Comments