trasferimento dati

Cloud e PA, tutto in regola? Via all’indagine Ue: obiettivi e strategia

Ha preso il via un’indagine coordinata di EDPB sui cloud pubblici. Un’iniziativa non estemporanea, ma che nasce da un’esigenza ben ponderata e organizzata nel dettaglio in un framework riconosciuto a livello europeo. Il report entro fine anno. Cosa dobbiamo aspettarci?

Pubblicato il 25 Feb 2022

Diego Dimalta

Studio Legale Dimalta e Associati

cloud

È partita nei giorni scorsi la prima indagine coordinata di EDPB a livello europeo, a cui prendono parte tutte e 22 le autorità nazionali di controllo di cui si compone il board, finalizzata alla verifica dei servizi cloud in uso da parte dei soggetti pubblici di tutta l’Unione.

L’indagine EDPB su cloud PA

Secondo le stime, questa operazione dovrebbe riguardare complessivamente più di 80 soggetti pubblici che operano in settori chiave come sanità, fisco e istruzione; tra questi soggetti non mancheranno anche le Istituzioni europee, le centrali di committenza e i fornitori di servizi ICT della pubblica amministrazione centrale e locale.

Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi

La questione ha fatto notizia e in molti si sono chiesti: perché ci si sta muovendo in maniera così massiva? Esiste un problema impellente che necessita un’azione immediata e congiunta?

La risposta a tali domande non può che essere in parte positiva e in parte affermativa, vediamo meglio il perché.

Cloud, la necessità di un coordinamento europeo

In primo luogo, occorre precisare che tutta questa operazione non nasce all’improvviso, da un impeto momentaneo dei membri di European Data Protection Board ma, anzi, nasce dall’intenzione di meglio coordinare le attività delle varie autorità di controllo europee.

Il Coordinated Enforcement Framework (CEF)

Per questo il 20 ottobre 2020, il Comitato europeo per la protezione dei dati (EDPB), ha deciso di istituire un Coordinated Enforcement Framework (CEF).

Ebbene, il quadro di attuazione coordinata (CEF) fornisce un modello scalabile per coordinare le attività annuali ricorrenti delle autorità di controllo europee. Secondo questo modello organizzativo, ogni anno l’azione delle autorità, a livello europeo, si concentrerà su un determinato tema predefinito in concerto tra le stesse e porterà all’avvio di indagini effettuate secondo una metodologia unica e concordata a livello UE. Lo scopo di tali azioni coordinate annuali ricorrenti è promuovere la conformità, consentire agli interessati di esercitare i loro diritti, sensibilizzare e/o accrescere la conoscenza delle autorità di controllo.

In tal senso possiamo quindi affermare che il CEF è la struttura entro cui viene svolta un’azione coordinata annuale. Ma, in concreto, cosa prevede il CEF? In linea di principio, ogni anno il comitato decide un tema per un’azione coordinata e approva la metodologia corrispondente. Successivamente, le autorità di controllo delle singole nazioni definiscono l’ambito d’azione nel proprio territorio e realizzano l’attività concordata, condividendo risultati ed aggiornamenti con le altre autorità.

Da dove nasce l’esigenza dell’indagine

Non è quindi una necessità improvvisa che ha mosso EDPB ed EDPS nell’avvio di questa indagine coordinata sui cloud pubblici ma, anzi, un’esigenza ben ponderata e organizzata nel dettaglio in un framework riconosciuto a livello europeo.

Di fatto, per essere chiari, le autorità di controllo avevano da tempo organizzato il “come” ma non avevano ancora deciso il “cosa”. Anche quest’ultimo step in realtà non è frutto di una decisione recente in quanto l’esigenza di indagare sullo stato dei cloud nella PA europea è sorta già dal 2021.

E infatti, è nella seduta del 7 luglio 2021, che l’EDPB ha deciso di dedicare la propria attività di indagine coordinata, alla valutazione dello stato dei cloud nella pubblica amministrazione europea.

L’esigenza, come facilmente intuibile, nasce dalla necessità di coordinare l’approccio degli stati UE allo scenario creatosi a seguito della sentenza Schrems II.

Gli effetti della sentenza Schrems II

In tal senso, è sicuramente di fondamentale importanza l’apporto che darà EDPS in quanto, come noto, già nelle scorse settimane ha sanzionato il Parlamento Europeo per aver utilizzato cookie di origine Google e Stripe ed avere effettuato trasferimenti illeciti di dati negli Stati Uniti. Certo, l’argomento di per sé è diverso da quello del cloud ma molto sono comunque le similitudini. Anche in questo caso l’oggetto dell’indagine è un organismo pubblico, anche in questo caso il problema principale è il trasferimento dei dati in America. Sappiamo del resto che in UE non vale la regola del precedente, tuttavia, è evidente che i percorsi logici/giuridici effettuati dal Garante Europeo serviranno sicuramente come traccia per l’attività che verrà effettuata dai membri di EDPB sulla base del CEF.

Del resto, dato per vero quanto affermato nella sentenza Schrems II, di fatto si tratta di fermare l’invio illegittimo di dati in USA da parte delle pubbliche amministrazioni le quali, come facile immaginare, sono tra i soggetti maggiormente attivi nel trattamento dei dati. Insomma, se un privato invia i dati in USA, questo trasferimento riguarda i suoi clienti che, per quanto numerosi, non saranno mai la totalità della popolazione. Diverso è per quanto riguarda la PA la quale, di fatto, tratta i dati di ogni cittadino, dalla nascita alla morte, tracciandone i principali accadimenti: istruzione, malattie, reddito ecc. ecc. Si ricorda a tal riguardo che gli enti del settore pubblico e le istituzioni, gli organi e gli organismi dell’UE (IUE) sono titolari del trattamento dei dati personali, che tipicamente trattano i dati sulla base di un obbligo di legge, nell’esecuzione dei loro compiti svolti nell’interesse pubblico o nell’esercizio di pubblici poteri. L’utilizzo di sistemi tecnologici e di servizi internet non conformi costituisce quindi una grave minaccia la protezione dei dati personali di tutti i residenti nel SEE.

Il rischio dell’uso di sistemi non conformi

Ma in concreto a quanto ammonta il rischio o, quantomeno, la probabilità di utilizzo di sistemi non conformi?

Per rispondere a questa domanda è sufficiente evidenziare come alcuni dei sistemi più utilizzati da privati ed aziende siano ad oggi già stati dichiarati illegittimi da parte dei granati nazionali.

Cookie, quanta confusione: rischi e costi delle decisioni dei garanti nazionali Ue

Si pensi al CNIL contro Google, al Garante Austriaco, sempre contro Google, ma anche alle decisioni contro Cookie Bot, contro l’Università Bocconi di Milano e altre ancora. Il minimo comune denominatore è che la sanzione è derivata dall’utilizzo di sistemi estremamente diffusi colpevoli, tra l’altro, di inviare i dati negli Stati Uniti. La probabilità è quindi davvero elevata come elevato è il rischio per i diritti di tutti i cittadini dell’Unione.

Non stupirà quindi se, da queste indagini dovessero emergere numerose violazioni. Dobbiamo quindi aspettarci una cascata di sanzioni nei prossimi mesi? Su questo non vi è certezza. L’indagine dei garanti europei difatti non tende necessariamente alla sanzione delle difformità quanto alla sensibilizzazione e alla creazione di linee guide chiare a cui, con molta probabilità si chiederà di aderire entro un certo lasso di tempo.

In tal senso, il Garante Privacy italiano precisa nel suo comunicato stampa: “Gli esiti delle indagini saranno esaminati in maniera coordinata con le altre autorità europee per approfondire ulteriormente la tematica e consentire un follow-up mirato a livello UE. Le singole autorità, in ogni caso, decideranno eventuali interventi successivi, anche di carattere correttivo. L’EDPB intende pubblicare un report sugli esiti di questa indagine coordinata entro la fine del 2022”.

Come facile osservare, non si parla di sanzioni ma di interventi correttivi e di suggerimenti, approccio questo più che condivisibile a parere di chi scrive anche se, forse, un po’ tardivo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3