EDPB, parte l'attuazione coordinata sui servizi cloud di Stato - Agenda Digitale

Dati e privacy

EDPB, parte l’attuazione coordinata sui servizi cloud di Stato

L’EDPB – European Data Protection Board interviene sull’utilizzo del cloud nella PA attraverso il Coordinate Enforcement Framework, il piano di coordinamento delle autorità nazionali. Obiettivo: costruire infrastrutture per i servizi PA senza ricorrere a fornitori extra UE. I dettagli

19 Nov 2021
Micol Sabatini

praticante avvocato, Studio Previti

Rossella Bucca

Studio Previti Associazione professionale

Un primo passo verso il percorso comune di digitalizzazione in Europa: il 18 ottobre 2021 il Comitato Europeo per la Protezione dei Dati (di seguito anche “EDPB”) ha avviato la prima azione per l’applicazione del piano di coordinamento sull’uso dei servizi cloud nell’ambito del settore pubblico.

Il cloud per trasformare l’Italia: ecco le opportunità del momento

Il comitato ha infatti istituito il CEF – Coordinate Enforcement Framework, che per la prima volta nel contesto dell’Unione Europea consente all’EDPB di coordinare le attività annuali delle Autorità di Controllo nazionali. Il documento delinea l’“Azione Coordinata Annuale” sulla scorta di quanto già prospettato dal GDPR, il Regolamento (UE) 2016/679 in materia di protezione dei dati personali.

Le finalità sono molteplici: innanzitutto, attraverso la strategia di unificazione dell’organismo europeo, è possibile semplificare ed indirizzare le azioni delle varie autorità verso il rafforzamento e l’implementazione delle misure a tutela dei dati personali; in secondo luogo, le informazioni congiunte, reperibili attraverso l’operato degli uffici di controllo degli Stati membri, contribuiscono ad incrementare la sensibilità verso l’osservanza delle norme indicate dal GDPR, oltre che dei diritti e delle libertà dei soggetti interessati, riducendo a livelli pressoché minimi il pericolo di violazione delle disposizioni nell’impiego dei servizi cloud nel settore pubblico.

EDPB e CEF: il quadro normativo di riferimento

Focalizzare l’azione coordinata su un tema predefinito agevola l’operato dell’EDPB, che, come organismo comunitario, ha la facoltà ed il dovere di promuovere l’adozione di istruzioni comuni a tutti gli Stati dell’Unione e di svolgere una costante attività di sensibilizzazione nei riguardi di tutti quei temi che possano registrare significative ripercussioni sulla protezione dei dati personali.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

Proprio per queste ragioni, nel contesto del GDPR – e in particolare degli artt. 56 e ss. e dei relativi considerando, 127 e ss. – era stato introdotto il “meccanismo di sportello unico” per la gestione dei casi di tutela dei dati personali e, in particolare, all’attività svolta dalle autorità di controllo cosiddette “capofila” insieme alle altre autorità eventualmente coinvolte ed interessate per ciascuna fattispecie.

L’articolo 57 conferisce alle autorità di controllo nazionali l’incarico di cooperare ai fini dell’osservanza delle norme del Regolamento. Più precisamente, il par. 1, alle lettere g) ed h), prescrive che ogni autorità di controllo, tra le altre attività, è tenuta a collaborare “anche tramite scambi di informazioni, con le altre autorità di controllo e presta[re] assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerenti del presente regolamento” oltre a svolgere “indagini sull’applicazione del presente regolamento, anche sulla base di informazioni ricevute da un’altra autorità di controllo o da un’altra autorità pubblica”.

D’altra parte, il successivo articolo 58, nell’individuare i poteri delle autorità di controllo, definisce specificamente la possibilità che le stesse svolgano funzioni di indagine sulla corretta applicazione delle norme del GDPR, con particolare riferimento alla promozione della sensibilizzazione del pubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, in linea con quanto altresì suggerito dal considerando 122.

A completamento del quadro normativo finora rappresentato, gli articoli 68 e ss. sottolineano il ruolo dell’EDPB quale fulcro imprescindibile del nuovo sistema di rapporti tra le autorità nazionali che ha sostituito le attività del “Working Party art.29”. L’EDPB esplica i propri poteri supervisionando le attività poste in esplicazione della normativa comunitaria, con il precipuo compito di redigere una relazione annuale sulla protezione delle persone fisiche con riguardo al trattamento nell’Unione.

Di conseguenza, la scelta di un argomento predefinito consente all’EDPB di indirizzare più facilmente ed efficacemente il proprio ruolo, stimolando le autorità di controllo a condividere periodicamente sia i progressi raggiunti grazie alla raccolta di informazioni comuni e pertinenti ai singoli casi di specie sia la ricerca delle migliori pratiche da adottare, effettuando un monitoraggio continuo sulla tematica in oggetto a livello comunitario.

EDPB e l’utilizzo di servizi cloud nel settore pubblico

Il 18 ottobre 2021 si colloca nel contesto del lungimirante progetto di implementazione delle soluzioni tecnologiche nei più svariati ambiti, specie quello sanitario, che, soprattutto in seguito al diffondersi della pandemia da COVID-19, ha richiesto l’individuazione di soluzioni sicure ed efficienti per accedere alle informazioni mediche attraverso il cloud.

Il conseguimento di un obiettivo così ambizioso necessita di interventi mirati che non possono prescindere da un’azione coordinata tra le istituzioni europee e gli Stati membri. Grazie al meccanismo del CEF, l’adozione dei servizi di natura pubblica utilizzando il cloud non rappresenta più un miraggio.

Anche l’Italia, da qualche anno, ha dimostrato una crescente sensibilità sul tema, promuovendo strenuamente la realizzazione del cd. cloud nazionale, così come la Francia e la Germania hanno accelerato l’elaborazione del progetto Gaia-X.

L’intento è quello di progettare soluzioni che non abbiano bisogno solo ed esclusivamente di infrastrutture messe a disposizione da fornitori internazionali, ma, al contrario, di privilegiare, con sempre maggiore costanza, piattaforme cloud europee, nate grazie all’impulso innovativo avviato dalle iniziative della Commissione Europea, quindi regolamentate in conformità al GDPR per quel che riguarda il trattamento dei dati personali.

Basti pensare al documento Una strategia europea per i dati”, il cui perno è costituito dall’istituzione di una “European federation of cloud infrastructures and services”, di un “European marketplace for cloud services”, oltre che di una governance framework ed un regolamento comune per il cloud (EU Cloud Rulebook).

Inoltre, la tematica individuata e lo strumento del CEF possono essere collocati perfettamente all’interno della “bussola digitale” dell’UE, che presenta una visione d’insieme per la trasformazione digitale dell’Europa nel futuro prossimo.

EDPB: il cloud nazionale per i servizi della PA e i fornitori extra UE

Allo stato attuale, il mercato mondiale dei principali fornitori di infrastrutture cloud è dominato da cinque gruppi societari: quattro (Amazon, Microsoft, Google, IBM) hanno la sede principale negli Stati Uniti, uno (Alibaba) in Cina. Inoltre, quote residue del mercato sono suddivise tra diversi gruppi, con base prevalentemente nordamericana (es. Cisco Systems, Salesforce, Oracle).

Uno scenario che dipende sostanzialmente da dinamiche di mercato e di libera concorrenza, dalle capacità economiche, dagli investimenti promossi per la creazione delle infrastrutture e per la ricerca e lo sviluppo e dalla dotazione tecnologica di partenza dei fornitori.

Pare opportuno precisare che, per la realizzazione di un cloud nazionale, attraverso investimenti governativi, bisogna tenere in considerazione i fattori economici e di sostenibilità nel lungo periodo ed effettuare un confronto necessario con i parametri di efficienza imposti dal mercato, senza tralasciare le implicazioni giuridiche.

In Italia, difatti, è ormai da tempo funzionante il principio del “cloud first”, ribadito da ultimo nel Piano Triennale per l’Informatica 2019 – 2021, vale a dire l’obbligo per la Pubblica Amministrazione di delineare nuovi progetti o elaborare nuovi servizi privilegiando soluzioni in cloud, rispetto ad adottare altre opzioni tecnologiche e, altresì nel complesso, avvalersi del cloud una volta che si intenda “acquisire sul mercato nuove soluzioni e servizi ICT per la realizzazione di un nuovo progetto o nuovi servizi destinati a cittadini, imprese o utenti interni alla PA[1]

La ratio è chiara: il cloud è lo strumento più affermato che garantisce molteplici vantaggi individuati in aspetti di efficienza, scalabilità, economicità e resilienza rispetto a modelli IT tradizionali, quali l’housing e l’hosting.

La concomitanza di queste due circostanze, ovvero sia le esigenze di mercato e il principio “cloud first”, determinano la correlazione dell’attività della Pubblica Amministrazione, nella sua operatività essenziale, se non altro in contesti di cloud pubblico, ad infrastrutture internazionali che rimandano ad uno dei provider sopra menzionati.

Riflessioni analoghe scaturiscono dalla già segnalata strategia europea per i dati della Commissione europea per cui “i fornitori di servizi cloud basati nell’UE dispongono soltanto di una piccola quota del mercato del cloud, il che rende l’UE estremamente dipendente dai fornitori esterni, vulnerabile alle minacce esterne a livello di dati e soggetta a una perdita di potenziale d’investimento per l’industria digitale europea nel mercato dell’elaborazione dati”.

Conclusioni

Alla luce di quanto evidenziato, è possibile ritenere, in conclusione, che la volontà delle istituzioni europee di elaborare infrastrutture cloud sotto il controllo degli Stati membri dell’Unione sia sempre più rafforzata, specie a valle del corso giurisprudenziale solcato dalla Corte di giustizia europea con la sentenza “Schrems II” (Caso C-311/18), che ha coraggiosamente invalidato l’accordo stipulato tra Unione europea e Stati Uniti per il trasferimento transfrontaliero dei dati personali, meglio noto come “Privacy Shield”.

Tale pronuncia ha specificato che le “Standard Contractual Clauses” – Clausole Contrattuali Standard costituiscono uno strumento pienamente utilizzabile per la regolamentazione di accordi che abbiano ad oggetto un trasferimento di questo tipo, ma non possono essere considerate sufficienti.

Infatti, per garantire un quadro di protezione il più completo possibile, è necessario porre in essere preliminarmente una valutazione d’impatto e verificare in concreto che il Paese terzo sede di destinazione dei dati garantisca un livello di tutela quantomeno analogo a quello prescritto dal GDPR, e predisponga di misure tecniche ed organizzative adeguate.

Non è, difatti, ammissibile che il progresso tecnologico, per quanto imprescindibile nello sviluppo della società moderna, pregiudichi i diritti e le libertà degli interessati. Occorre, quindi, tenere conto di ciò in relazione al fenomeno del cloud computing comunitario.

Invero, l’EDPB, tramite il CEF sopra menzionato, ha il potere di regolamentare il meccanismo dello sportello unico, indirizzando e rafforzando la cooperazione delle autorità di controllo competenti per il trattamento dei dati all’interno del territorio dell’Unione.

Tale strumento presenta due obiettivi:

  • attribuire agli organi competenti e ai titolari o responsabili del trattamento il mezzo per rivolgersi a un’autorità di controllo quale punto di riferimento centrale per l’Unione europea;
  • fornire agli interessati un organismo locale munito dei poteri e delle competenze indispensabili a far valere i loro diritti in materia di protezione dei dati personali.

Qualora uno specifico trattamento venga considerato transfrontaliero, ai sensi dell’articolo 4, paragrafo 23 del GDPR, l’applicazione dello sportello unico è obbligatoria, a prescindere dalla circostanza che detto trattamento si inserisca nel quadro di un’azione coordinata annuale.

Lo stesso Comitato Europeo per la protezione dei dati ha avuto modo di puntualizzare che risulta di vitale importanza “seguire le procedure descritte per trattare i casi transfrontalieri determinando caso per caso la linea d’azione migliore.”

In conclusione, appare opportuno sottolineare che il rischio derivante dal trasferimento transnazionale di dati personali deve essere attentamente ed adeguatamente bilanciato con il pericolo di possibili violazioni delle misure di cybersecurity, i cui effetti sarebbero potenzialmente devastanti per la salvaguardia dei diritti e delle libertà dei soggetti coinvolti.

______________________________________________________________________________________________

  1. “Il modello cloud nella PA”, 13 febbraio 2020, disponibile al seguente link https://docs.italia.it/italia/piano-triennale-ict/cloud-docs/it/stabile/index.html
WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 4