il rapporto

Cloud e trattamento dei dati personali da parte delle PA: problemi e soluzioni indicati da EDPB

Le problematiche insite nei trattamenti dei dati personali svolti dalle Pubbliche Amministrazioni sono al centro di un rapporto EDPB. Gli aspetti critici esaminati, in particolare riguardo la valutazione d’impatto, le clausole contrattuali e l’asimmetria negoziale con gli hyperscaler

Pubblicato il 02 Feb 2023

Giovanni Ricci

Avvocato presso lo Studio legale Edoardo Ricci – Avvocati

hybrid cloud

Il 17 gennaio 2023 il Comitato europeo per la Protezione dei Dati (EDPB) ha pubblicato un rapporto finalizzato ad indagare le problematiche insite nei trattamenti dei dati personali svolti dalle Pubbliche Amministrazioni mediante o anche solo parzialmente grazie ai servizi di archiviazione e di trattamento in cloud, suggerendo strategie e soluzioni ad hoc.

Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi

Il testo appena pubblicato non è definitivo ed è, dunque, suscettibile di modifiche ed aggiornamenti futuri per stessa ammissione del medesimo ente estensore.

Data l’importanza del tema, i suggerimenti oggetto del report sono tuttavia assai interessanti ancorché suscettibili di future integrazioni.

Le problematiche individuate e le soluzioni suggerite da EDPB

Il primo aspetto evidenziato da EDPB è l’importanza della valutazione d’impatto dei trattamenti.

Valutazione d’impatto dei trattamenti

Le PA devono effettuare la valutazione d’impatto dei trattamenti laddove essa sia imposta ai sensi dell’art. 35 del GDPR al fine di mettere in evidenza le misure tecniche ed organizzative utili a minimizzare i rischi che i trattamenti comportano per le libertà ed i diritti fondamentali delle persone fisiche.

Tale valutazione di impatto deve essere svolta in collaborazione col responsabile della protezione dei dati (del quale è fortemente raccomanda la nomina anche laddove non sia obbligatoria ai sensi del GDPR): essa è a tal punto importante da dover essere effettuata anche a posteriori rispetto all’inizio dei trattamenti.

È considerato infine assolutamente consigliabile che essa venga svolta anche al di fuori dei casi nei quali è imposta dall’art. 35 del GDPR.

In ogni caso, la valutazione d’impatto dovrà essere periodicamente aggiornata per valutare i trattamenti nel tempo, nonché l’impatto di nuovi trattamenti introdotti successivamente.

Per chiarezza, le PA, così come tutti i titolari dei trattamenti devono effettuare una valutazione d’impatto quando avviene:

  • la valutazione sistematica di profili relativi all’esistenza delle persone mediante processi automatizzati, ivi compresa la profilazione, quando da essa dipendono decisioni comportanti effetti giuridici o di altra natura che impattano in modo rilevante sulle persone fisiche;
  • il trattamento su larga scala di dati relativi a condanne penali, all’orientamento politico, religioso, sessuale, all’affiliazione a sindacati e partiti politici, a dati genetici e/o biometrici, alla salute delle persone fisiche;
  • la sorveglianza su larga scala di un luogo accessibile al pubblico.

Determinazione precisa nei contratti degli aspetti rilevanti connessi con i trattamenti

I contratti che le PA stipulano con i fornitori dei servizi in cloud devono indicare in modo chiaro ed inequivocabile i ruoli che i vari soggetti hanno rispetto ai trattamenti dei dati.

Esemplificativamente, deve essere chiaro anche al lettore meno preparato che la PA è titolare del trattamento; e poi, se vi siano dei responsabili del trattamento, il perimetro dei loro obblighi ed ancora, se i providers dei servizi in cloud pongano in essere trattamenti rispetto ai quali sono inquadrabili come titolari o contitolari dei medesimi.

Allo stesso modo, i contratti devono individuare con chiarezza adamantina se esistano o possano essere successivamente individuati dai provider dei servizi in cloud responsabili del trattamento altri soggetti corresponsabili del medesimo; e ciò, per ogni singolo trattamento.

In tali casi il contratto deve prevedere le procedure e/o gli strumenti negoziali utili a consentire alle PA titolari dei trattamenti di mettere in discussione le nomine dei corresponsabili del trattamento da parte dei providers dei servizi in cloud.

Il contratto deve altresì individuare gli eventuali trasferimenti dei dati, con particolare attenzione ai trasferimenti dei dati fuori dallo Spazio Economico Europeo.

Allo stesso modo, in tali casi, devono essere individuate dal contratto le procedure e gli strumenti di trasferimento dei dati capaci di mantenere la tutela degli stessi e delle persone fisiche titolari allo stesso livello di quella garantita dal GDPR.

L’asimmetria negoziale tra PA e hyperscalers

Le indicazioni appena esaminate non costituiscono qualcosa di peculiare rispetto a quanto il GDPR impone ai titolari del trattamento che attuano trattamenti su larga scala o sistematici ai sensi dell’art. 35 e dell’art. 9 del GDPR.

In altre parole, tali indicazioni valgono per tutti i titolari del trattamento a prescindere dal loro essere PA o soggetti di diritto privato.

Allora perché questa enfasi sul mondo delle PA e dei servizi in cloud?

Questa enfasi si giustifica perché i soggetti che rendono servizi in cloud sono assai di frequente definibili come Hyperscalers: soggetti di dimensioni e potenza economica tali da porre quasi sempre le PA in una posizione di sudditanza economica e negoziale insostenibile.

Non solo le singole PA, ma spesso neppure i singoli stati possono confrontarsi su un piano di parità con Apple, Microsoft, Google, Amazon; perché questi sono tipicamente i soggetti in grado di erogare servizi in cloud alle PA, agli Stati ed agli organismi di natura sovranazionale come la UE o l’ONU.

Per quanto sembri assurdo, le PA nel negoziare con questi providers di servizi in cloud si trovano normalmente in una asimmetria negoziale insostenibile.

Le indicazioni EDPB per mitigare l’asimmetria

Vediamo allora cos’altro il EDPB consiglia per mitigare l’asimmetria negoziale della quale abbiamo appena preso atto:

  • le PA dovrebbero, per quanto possibile, aggregarsi intorno ad una centrale di acquisto comune, in modo da assemblare una massa critica tale da, se non altro, mitigare l’asimmetria negoziale nei confronti degli Hyperscalers che forniscono i servizi in cloud;
  • esse, inoltre, dovrebbero verificare a priori rispetto all’inizio dei trattamenti, la compatibilità dell’ecosistema giuridico che regola l’attività degli Hyperscalers con le garanzie offerte dal GDPR, introducendo per quanto possibile nei contratti gli strumenti utili ed idonei a minimizzare il rischio di trattamenti illeciti alla luce del GDPR (avvalendosi se del caso di altri meccanismi di natura extracontrattuale che il GDPR offre quando si verte in tema di trattamenti transfrontalieri e trasferimenti di dati in territorio extra UE).

Un esempio sarà utile: molti di noi hanno letto, anche sulle testate generaliste, le notizie ed i commenti relativi alla decisione della Corte di Giustizia UE con la quale sono stati dichiarati illegittimi i trasferimenti di dati verso gli USA posti in essere da Google sulla scorta dell’utilizzo di Analytics da parte di moltissimi soggetti pubblici e privati per godere delle statistiche di navigazione relative alle rispettive pagine web.

Bene, quella decisione si appoggia sulla constatazione che negli USA i dati ivi trasferiti possono essere legittimamente trattati in spregio delle garanzie poste dal GDPR, poiché la legislazione USA consente alle agenzie per la sicurezza di imporre agli Hyperscalers di mettere a disposizione i dati che trattano come titolari e come responsabili del trattamento ai fini della tutela degli interessi nazionali.

Non è un caso che sia in fase di negoziazione tra USA ed UE di uno strumento capace di rendere leciti i trasferimenti ed i trattamenti transfrontalieri sulla base di un giudizio di adeguatezza ai sensi dell’art. 45 del GDPR come avveniva prima della richiamata sentenza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3