Più di 80 soggetti pubblici europei che utilizzano il cloud per i dati e servizi sono sotto la lente di ingrandimento dei garanti privacy europei.
L’indagine coordinata dei Garanti Privacy europei su oltre 80 soggetti pubblici
Da oggi è partita la prima indagine coordinata del Comitato europeo per la protezione dei dati personali (EDPB): 22 autorità nazionali di controllo del SEE (lo Spazio economico europeo), compreso il Garante privacy italiano, verificheranno l’utilizzo di servizi cloud da parte di più di 80 soggetti che operano in vari settori (come la sanità, il fisco, l’istruzione), incluse le Istituzioni europee, le centrali di committenza e i fornitori di servizi ICT della pubblica amministrazione centrale e locale.
Occhi puntati sul cloud nazionale e il Polo Strategico Nazionale
L’indagine avrà, quindi, un impatto sul futuro cloud nazionale per la Pubblica amministrazione e il Polo Strategico Nazionale, la ‘cassaforte’ dei dati e servizi critici e strategici dell’Italia. È un monito al Governo italiano, perché il nostro Garante Privacy avvierà l’indagine secondo diverse modalità, tra cui:
- la somministrazione di un questionario;
- l’avvio di specifiche istruttorie o la prosecuzione di quelle già in corso, anche attraverso accertamenti ispettivi.
Le autorità analizzeranno, in particolare, le procedure e le garanzie adottate nelle fasi di acquisizione e di utilizzo dei servizi cloud, le problematiche connesse ai trasferimenti internazionali di dati e all’impiego di misure supplementari, nonché la regolazione dei rapporti fra titolari e responsabili del trattamento.
Prendiamo il caso del futuro del Polo Strategico Nazionale. Il progetto della cordata TIM-CdP-Leonardo-Sogei, scelto dal ministro Vittorio Colao e dal dipartimento per la trasformazione digitale per scrivere il bando di gara per l’affidamento e gestione della prossima ‘cassaforte’ di Stato, è basato sui servizi cloud di Google, Microsoft e Oracle.
Rispetterà le norme privacy europee il soggetto che si aggiudicherà la gestione dei dati del PSN e l’erogazione dei servizi? Già nel 2020 il Garante Privacy europeo ha lanciato questo allarme: “Microsoft responsabile del trattamento non trasparente dei dati dell’Unione europea”.
Gli effetti della sentenza Schrem II: il sistema di protezione giuridica USA non considerato adeguato
Ad oggi il trasferimento dei dati personali dall’Ue ad incaricati del trattamento stabiliti in Paesi terzi, non obbligati a rispettare il GDPR, come gli Stati Uniti, è basato sulle clausole contrattuali tipo (Standard Contractual Clauses – SCCs). Il 4 giugno 2021 la Commissione ha approvato clausole contrattuali standard aggiornate, dopo la storica sentenza ‘Schrems II’ della Corte di Giustizia dell’Ue, che ha dichiarato invalido il Privacy Shield.
“La sentenza Schrems II non ha invalidato le SCC, ma ha già reso incerto il loro utilizzo per quanto riguarda il trasferimento dati verso gli USA, perché il suo sistema di protezione giuridica non è stato considerato adeguato.
L’indagine del Garante privacy italiano verificherà il rispetto del GDPR, nonché promuovere le migliori prassi per garantire un’adeguata protezione dei dati personali. In caso di violazioni, scatteranno “interventi anche di carattere correttivo”.