È partita nei giorni scorsi la prima indagine coordinata di EDPB a livello europeo, a cui prendono parte tutte e 22 le autorità nazionali di controllo di cui si compone il board, finalizzata alla verifica dei servizi cloud in uso da parte dei soggetti pubblici di tutta l’Unione.
L’indagine EDPB su cloud PA
Secondo le stime, questa operazione dovrebbe riguardare complessivamente più di 80 soggetti pubblici che operano in settori chiave come sanità, fisco e istruzione; tra questi soggetti non mancheranno anche le Istituzioni europee, le centrali di committenza e i fornitori di servizi ICT della pubblica amministrazione centrale e locale.
Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi
La questione ha fatto notizia e in molti si sono chiesti: perché ci si sta muovendo in maniera così massiva? Esiste un problema impellente che necessita un’azione immediata e congiunta?
La risposta a tali domande non può che essere in parte positiva e in parte affermativa, vediamo meglio il perché.
Cloud, la necessità di un coordinamento europeo
In primo luogo, occorre precisare che tutta questa operazione non nasce all’improvviso, da un impeto momentaneo dei membri di European Data Protection Board ma, anzi, nasce dall’intenzione di meglio coordinare le attività delle varie autorità di controllo europee.
Il Coordinated Enforcement Framework (CEF)
Per questo il 20 ottobre 2020, il Comitato europeo per la protezione dei dati (EDPB), ha deciso di istituire un Coordinated Enforcement Framework (CEF).
Ebbene, il quadro di attuazione coordinata (CEF) fornisce un modello scalabile per coordinare le attività annuali ricorrenti delle autorità di controllo europee. Secondo questo modello organizzativo, ogni anno l’azione delle autorità, a livello europeo, si concentrerà su un determinato tema predefinito in concerto tra le stesse e porterà all’avvio di indagini effettuate secondo una metodologia unica e concordata a livello UE. Lo scopo di tali azioni coordinate annuali ricorrenti è promuovere la conformità, consentire agli interessati di esercitare i loro diritti, sensibilizzare e/o accrescere la conoscenza delle autorità di controllo.
In tal senso possiamo quindi affermare che il CEF è la struttura entro cui viene svolta un’azione coordinata annuale. Ma, in concreto, cosa prevede il CEF? In linea di principio, ogni anno il comitato decide un tema per un’azione coordinata e approva la metodologia corrispondente. Successivamente, le autorità di controllo delle singole nazioni definiscono l’ambito d’azione nel proprio territorio e realizzano l’attività concordata, condividendo risultati ed aggiornamenti con le altre autorità.
Da dove nasce l’esigenza dell’indagine
Non è quindi una necessità improvvisa che ha mosso EDPB ed EDPS nell’avvio di questa indagine coordinata sui cloud pubblici ma, anzi, un’esigenza ben ponderata e organizzata nel dettaglio in un framework riconosciuto a livello europeo.
Di fatto, per essere chiari, le autorità di controllo avevano da tempo organizzato il “come” ma non avevano ancora deciso il “cosa”. Anche quest’ultimo step in realtà non è frutto di una decisione recente in quanto l’esigenza di indagare sullo stato dei cloud nella PA europea è sorta già dal 2021.
E infatti, è nella seduta del 7 luglio 2021, che l’EDPB ha deciso di dedicare la propria attività di indagine coordinata, alla valutazione dello stato dei cloud nella pubblica amministrazione europea.
L’esigenza, come facilmente intuibile, nasce dalla necessità di coordinare l’approccio degli stati UE allo scenario creatosi a seguito della sentenza Schrems II.
Gli effetti della sentenza Schrems II
In tal senso, è sicuramente di fondamentale importanza l’apporto che darà EDPS in quanto, come noto, già nelle scorse settimane ha sanzionato il Parlamento Europeo per aver utilizzato cookie di origine Google e Stripe ed avere effettuato trasferimenti illeciti di dati negli Stati Uniti. Certo, l’argomento di per sé è diverso da quello del cloud ma molto sono comunque le similitudini. Anche in questo caso l’oggetto dell’indagine è un organismo pubblico, anche in questo caso il problema principale è il trasferimento dei dati in America. Sappiamo del resto che in UE non vale la regola del precedente, tuttavia, è evidente che i percorsi logici/giuridici effettuati dal Garante Europeo serviranno sicuramente come traccia per l’attività che verrà effettuata dai membri di EDPB sulla base del CEF.
Del resto, dato per vero quanto affermato nella sentenza Schrems II, di fatto si tratta di fermare l’invio illegittimo di dati in USA da parte delle pubbliche amministrazioni le quali, come facile immaginare, sono tra i soggetti maggiormente attivi nel trattamento dei dati. Insomma, se un privato invia i dati in USA, questo trasferimento riguarda i suoi clienti che, per quanto numerosi, non saranno mai la totalità della popolazione. Diverso è per quanto riguarda la PA la quale, di fatto, tratta i dati di ogni cittadino, dalla nascita alla morte, tracciandone i principali accadimenti: istruzione, malattie, reddito ecc. ecc. Si ricorda a tal riguardo che gli enti del settore pubblico e le istituzioni, gli organi e gli organismi dell’UE (IUE) sono titolari del trattamento dei dati personali, che tipicamente trattano i dati sulla base di un obbligo di legge, nell’esecuzione dei loro compiti svolti nell’interesse pubblico o nell’esercizio di pubblici poteri. L’utilizzo di sistemi tecnologici e di servizi internet non conformi costituisce quindi una grave minaccia la protezione dei dati personali di tutti i residenti nel SEE.
Il rischio dell’uso di sistemi non conformi
Ma in concreto a quanto ammonta il rischio o, quantomeno, la probabilità di utilizzo di sistemi non conformi?
Per rispondere a questa domanda è sufficiente evidenziare come alcuni dei sistemi più utilizzati da privati ed aziende siano ad oggi già stati dichiarati illegittimi da parte dei granati nazionali.
Cookie, quanta confusione: rischi e costi delle decisioni dei garanti nazionali Ue
Si pensi al CNIL contro Google, al Garante Austriaco, sempre contro Google, ma anche alle decisioni contro Cookie Bot, contro l’Università Bocconi di Milano e altre ancora. Il minimo comune denominatore è che la sanzione è derivata dall’utilizzo di sistemi estremamente diffusi colpevoli, tra l’altro, di inviare i dati negli Stati Uniti. La probabilità è quindi davvero elevata come elevato è il rischio per i diritti di tutti i cittadini dell’Unione.
Non stupirà quindi se, da queste indagini dovessero emergere numerose violazioni. Dobbiamo quindi aspettarci una cascata di sanzioni nei prossimi mesi? Su questo non vi è certezza. L’indagine dei garanti europei difatti non tende necessariamente alla sanzione delle difformità quanto alla sensibilizzazione e alla creazione di linee guide chiare a cui, con molta probabilità si chiederà di aderire entro un certo lasso di tempo.
In tal senso, il Garante Privacy italiano precisa nel suo comunicato stampa: “Gli esiti delle indagini saranno esaminati in maniera coordinata con le altre autorità europee per approfondire ulteriormente la tematica e consentire un follow-up mirato a livello UE. Le singole autorità, in ogni caso, decideranno eventuali interventi successivi, anche di carattere correttivo. L’EDPB intende pubblicare un report sugli esiti di questa indagine coordinata entro la fine del 2022”.
Come facile osservare, non si parla di sanzioni ma di interventi correttivi e di suggerimenti, approccio questo più che condivisibile a parere di chi scrive anche se, forse, un po’ tardivo.
