Prende il via martedì 15 febbraio la prima azione coordinata annuale del Comitato europeo sulla protezione dei dati (EDPB): un’indagine sull’uso dei servizi basati sul cloud nella pubblica amministrazione.
L’attività si colloca nell’ambito del quadro di attuazione coordinata (CEF, Coordinated Enforcement Framework), adottato il 20 ottobre 2020 dall’ EDPB ai sensi del Regolamento (UE) 2016/679, che fornisce uno schema procedurale per coordinare le attività annuali ricorrenti delle 22 Autorità nazionali di controllo del SEE (Spazio Economico Europeo).
Dal rapporto Eurostat (Cloud computing – statistics on the use by enterprises, December 2021) emerge che, nel 2021, il 42% delle aziende dell’Unione Europea ha fatto uso del cloud. Nel 2020 la percentuale era stata del 36% e quattro anni prima, nel 2016, eravamo solo a quota 19%. Nel 2021 l’Italia vanta una media decisamente più alta di quella europea nell’utilizzo della tecnologia cloud e si piazza in quinta posizione con una percentuale del 60%. Le imprese che utilizzano servizi di cloud computing si trovano nel settore dell’informazione e della comunicazione (77%), mentre in quasi tutti gli altri comparti economici la percentuale è inferiore al 50% e varia dal 33 al 47%.
E il settore pubblico?
E’ innegabile che la pandemia di Covid19 abbia accelerato la trasformazione digitale anche del settore pubblico e in questa accelerazione molte organizzazioni hanno scelto di affidarsi al cloud, una tecnologia capace di fornire, a costi relativamente accessibili, una vasta gamma di risorse informatiche configurabili, inclusi server, database, applicazioni software e una grande capacità di archiviazione e potenza di calcolo. Però, a fronte di una innegabile convenienza dal punto di vista gestionale (ed economico, vista la clausola di invarianza finanziaria che chiude quasi tutte le norme che riguardano la PA), spesso i prodotti e i servizi offerti nell’ambito del cloud computing si sono rivelati non completamente conformi alle norme europee sulla protezione dei dati.
Basti pensare al trasferimento internazionale di dati e alla necessità dell’impiego di misure supplementari a seguito della Sentenza Schrems II della CGUE (Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, novembre 2020) o alle disposizioni che regolano il rapporto tra titolare e responsabile del trattamento: ambiti in cui il principio dell’accountability nella scelta di misure tecniche e organizzative adeguate all’eventuale rischio, pende come una spada di Damocle sulla testa dei Titolari.
Pare che questa indagine coordinata sull’uso del cloud, condotta dalle 22 Autorità nazionali di controllo e rivolta a circa 80 enti pubblici, sia proprio finalizzata “… a promuovere le migliori pratiche e quindi a garantire un’adeguata protezione dei dati personali.”( Launch of coordinated enforcement on use of cloud by public sector – European Data Protection Board, 15 Febrary 2022).
Diversi i settori pubblici interessati: sanità, fisco, istruzione, centrali di committenza e fornitori di servizi ICT della pubblica amministrazione centrale e locale e persino istituzioni dell’UE.
Tra le varie attività l’indagine prevede la somministrazione di un questionario e l’avvio di specifiche istruttorie o la prosecuzione di quelle già in corso (anche attraverso accertamenti ispettivi), con specifico riguardo alle procedure e alle garanzie adottate nelle fasi di acquisizione e di utilizzo dei servizi cloud.
Gli esiti dell’indagine confluiranno in un report che vedrà la luce entro la fine del 2022 e che consentirà un follow-up mirato a livello europeo.
Rosa Maria Sanrocco – RPD Università degli Studi di Bari Aldo Moro