Il 17 gennaio 2023 il Comitato europeo per la Protezione dei Dati (EDPB) ha pubblicato un rapporto finalizzato ad indagare le problematiche insite nei trattamenti dei dati personali svolti dalle Pubbliche Amministrazioni mediante o anche solo parzialmente grazie ai servizi di archiviazione e di trattamento in cloud, suggerendo strategie e soluzioni ad hoc.
Cloud, i dati delle PA gestiti da aziende extra-Ue? Ecco i rischi
Il testo appena pubblicato non è definitivo ed è, dunque, suscettibile di modifiche ed aggiornamenti futuri per stessa ammissione del medesimo ente estensore.
Data l’importanza del tema, i suggerimenti oggetto del report sono tuttavia assai interessanti ancorché suscettibili di future integrazioni.
Le problematiche individuate e le soluzioni suggerite da EDPB
Il primo aspetto evidenziato da EDPB è l’importanza della valutazione d’impatto dei trattamenti.
Valutazione d’impatto dei trattamenti
Le PA devono effettuare la valutazione d’impatto dei trattamenti laddove essa sia imposta ai sensi dell’art. 35 del GDPR al fine di mettere in evidenza le misure tecniche ed organizzative utili a minimizzare i rischi che i trattamenti comportano per le libertà ed i diritti fondamentali delle persone fisiche.
Tale valutazione di impatto deve essere svolta in collaborazione col responsabile della protezione dei dati (del quale è fortemente raccomanda la nomina anche laddove non sia obbligatoria ai sensi del GDPR): essa è a tal punto importante da dover essere effettuata anche a posteriori rispetto all’inizio dei trattamenti.
È considerato infine assolutamente consigliabile che essa venga svolta anche al di fuori dei casi nei quali è imposta dall’art. 35 del GDPR.
In ogni caso, la valutazione d’impatto dovrà essere periodicamente aggiornata per valutare i trattamenti nel tempo, nonché l’impatto di nuovi trattamenti introdotti successivamente.
Per chiarezza, le PA, così come tutti i titolari dei trattamenti devono effettuare una valutazione d’impatto quando avviene:
- la valutazione sistematica di profili relativi all’esistenza delle persone mediante processi automatizzati, ivi compresa la profilazione, quando da essa dipendono decisioni comportanti effetti giuridici o di altra natura che impattano in modo rilevante sulle persone fisiche;
- il trattamento su larga scala di dati relativi a condanne penali, all’orientamento politico, religioso, sessuale, all’affiliazione a sindacati e partiti politici, a dati genetici e/o biometrici, alla salute delle persone fisiche;
- la sorveglianza su larga scala di un luogo accessibile al pubblico.
Determinazione precisa nei contratti degli aspetti rilevanti connessi con i trattamenti
I contratti che le PA stipulano con i fornitori dei servizi in cloud devono indicare in modo chiaro ed inequivocabile i ruoli che i vari soggetti hanno rispetto ai trattamenti dei dati.
Esemplificativamente, deve essere chiaro anche al lettore meno preparato che la PA è titolare del trattamento; e poi, se vi siano dei responsabili del trattamento, il perimetro dei loro obblighi ed ancora, se i providers dei servizi in cloud pongano in essere trattamenti rispetto ai quali sono inquadrabili come titolari o contitolari dei medesimi.
Allo stesso modo, i contratti devono individuare con chiarezza adamantina se esistano o possano essere successivamente individuati dai provider dei servizi in cloud responsabili del trattamento altri soggetti corresponsabili del medesimo; e ciò, per ogni singolo trattamento.
In tali casi il contratto deve prevedere le procedure e/o gli strumenti negoziali utili a consentire alle PA titolari dei trattamenti di mettere in discussione le nomine dei corresponsabili del trattamento da parte dei providers dei servizi in cloud.
Il contratto deve altresì individuare gli eventuali trasferimenti dei dati, con particolare attenzione ai trasferimenti dei dati fuori dallo Spazio Economico Europeo.
Allo stesso modo, in tali casi, devono essere individuate dal contratto le procedure e gli strumenti di trasferimento dei dati capaci di mantenere la tutela degli stessi e delle persone fisiche titolari allo stesso livello di quella garantita dal GDPR.
L’asimmetria negoziale tra PA e hyperscalers
Le indicazioni appena esaminate non costituiscono qualcosa di peculiare rispetto a quanto il GDPR impone ai titolari del trattamento che attuano trattamenti su larga scala o sistematici ai sensi dell’art. 35 e dell’art. 9 del GDPR.
In altre parole, tali indicazioni valgono per tutti i titolari del trattamento a prescindere dal loro essere PA o soggetti di diritto privato.
Allora perché questa enfasi sul mondo delle PA e dei servizi in cloud?
Questa enfasi si giustifica perché i soggetti che rendono servizi in cloud sono assai di frequente definibili come Hyperscalers: soggetti di dimensioni e potenza economica tali da porre quasi sempre le PA in una posizione di sudditanza economica e negoziale insostenibile.
Non solo le singole PA, ma spesso neppure i singoli stati possono confrontarsi su un piano di parità con Apple, Microsoft, Google, Amazon; perché questi sono tipicamente i soggetti in grado di erogare servizi in cloud alle PA, agli Stati ed agli organismi di natura sovranazionale come la UE o l’ONU.
Per quanto sembri assurdo, le PA nel negoziare con questi providers di servizi in cloud si trovano normalmente in una asimmetria negoziale insostenibile.
Le indicazioni EDPB per mitigare l’asimmetria
Vediamo allora cos’altro il EDPB consiglia per mitigare l’asimmetria negoziale della quale abbiamo appena preso atto:
- le PA dovrebbero, per quanto possibile, aggregarsi intorno ad una centrale di acquisto comune, in modo da assemblare una massa critica tale da, se non altro, mitigare l’asimmetria negoziale nei confronti degli Hyperscalers che forniscono i servizi in cloud;
- esse, inoltre, dovrebbero verificare a priori rispetto all’inizio dei trattamenti, la compatibilità dell’ecosistema giuridico che regola l’attività degli Hyperscalers con le garanzie offerte dal GDPR, introducendo per quanto possibile nei contratti gli strumenti utili ed idonei a minimizzare il rischio di trattamenti illeciti alla luce del GDPR (avvalendosi se del caso di altri meccanismi di natura extracontrattuale che il GDPR offre quando si verte in tema di trattamenti transfrontalieri e trasferimenti di dati in territorio extra UE).
Un esempio sarà utile: molti di noi hanno letto, anche sulle testate generaliste, le notizie ed i commenti relativi alla decisione della Corte di Giustizia UE con la quale sono stati dichiarati illegittimi i trasferimenti di dati verso gli USA posti in essere da Google sulla scorta dell’utilizzo di Analytics da parte di moltissimi soggetti pubblici e privati per godere delle statistiche di navigazione relative alle rispettive pagine web.
Bene, quella decisione si appoggia sulla constatazione che negli USA i dati ivi trasferiti possono essere legittimamente trattati in spregio delle garanzie poste dal GDPR, poiché la legislazione USA consente alle agenzie per la sicurezza di imporre agli Hyperscalers di mettere a disposizione i dati che trattano come titolari e come responsabili del trattamento ai fini della tutela degli interessi nazionali.
Non è un caso che sia in fase di negoziazione tra USA ed UE di uno strumento capace di rendere leciti i trasferimenti ed i trattamenti transfrontalieri sulla base di un giudizio di adeguatezza ai sensi dell’art. 45 del GDPR come avveniva prima della richiamata sentenza.
