l’EDPB dà il via alla prima azione di attuazione coordinata sui servizi cloud

l’EDPB dà il via alla prima azione di attuazione coordinata sui servizi cloud
Il 18 ottobre 2021, l'EDPB ha dato avvio alla sua prima azione per l'applicazione coordinata sull'uso dei servizi cloud nell'ambito del settore pubblico. Tale decisione traccia il primo passo del percorso comune di digitalizzazione in Europa.

Nel documento dal Comitato Europeo per la Protezione dei Dati pubblicato (“EDPB”) sul quadro di attuazione coordinata del 20 ottobre 2020, ai sensi del Regolamento (UE) 2016/679 (“GDPR”) , viene definita la cosiddetta “Azione Coordinata Annuale” ”.

Tale quadro (denominato anche “CEF – Coordinate Enforcement Framework” ) garantisce l'attuazione di un piano di coordinamento delle attività annuali delle singole Autorità di Controllo nazionali da parte dell'EDPB. Si tratta di una strategia volta a:

  • semplificare ed uniformare le azioni poste a protezione dei dati personali;
  • sensibilizzare la raccolta di informazioni congiunte, favorendo il rispetto del GDPR, dei diritti e delle libertà degli interessati;
  • ridurre il rischio legato a servizi basati sulle nuove tecnologie nel settore della protezione dei dati.
Il fondamento giuridico del CEF

È l'art 57, par. 1, lett. g) del Regolamento ad attribuire alle autorità di controllo nazionali il compito di collaborare, “anche tramite scambi di informazioni, con le altre autorità di controllo e presta[re] assistenza reciproca al fine di garantire l'applicazione e l'attuazione obblighi del presente regolamento”. Inoltre, le autorità di controllo nazionali coadiuvano l'azione coordinata annuale in conformità dei poteri consultivi e delle funzioni di monitoraggio e sensibilizzazione previste dal GDPR, ai sensi dell'art. 57, par. 1 e dell'art. 58, par. 3. L'art. 58 e l'art.70 dello stesso Regolamento delineano un ulteriore quadro di cooperazione tra le autorità di controllo nazionali – che devono esplicare i loro poteri nei confronti dei soggetti che effettuano il trattamento dei dati personali al fine di garantire la conformità alla normativa privacy – e l'EDPB, il quale svolge principalmente la funzione di “supervisore” in ordine alla corretta applicazione del Regolamento.

L'utilizzo dei servizi cloud al livello nazionale nel settore pubblico

Il 18 ottobre 2021, l'EDPB ha dato avvio alla sua prima azione per l'applicazione coordinata sull'uso dei servizi cloud nell'ambito del settore pubblico. Tale decisione traccia il primo passo del percorso comune di digitalizzazione in Europa, con l'ambizioso obiettivo di implementare le soluzioni tecnologiche in svariati ambiti, tra i quali quello sanitario per consentire ai cittadini l'accesso alle informazioni mediche attraverso il sistema cloud .

Il perseguimento di detta finalità verrà concretizzato tramite un'azione coordinata ed una cooperazione annuale da parte sia delle istituzioni europee che degli Stati membri. Proprio lo strumento del CEF rafforza il coordinamento tra le attività annuali ricorrenti delle Autorità di controllo e dell'EDPB. Allo stato attuale, appare evidente la sfida degli Stati membri nell'adottare soluzioni cloud locali nei piani di sviluppo digitale.

L'Italia ha recentemente promosso la costituzione del cd. “cloud nazionale” , la Germania e la Francia si impegnano da diverso tempo alla creazione del progetto “Gaia-X . A livello istituzionale europeo il consolidamento del cloud computing diventa prioritario per il futuro prossimo. L'intento è quello di ideare soluzioni che prescindano da infrastrutture messe a disposizione necessariamente ed unicamente da fornitori internazionali e di preferire piattaforme cloud europee, nate grazie ad iniziative anticipate dalla Commissione europea, quali parti di un ecosistema di modelli strategici comuni.A tal proposito appare opportuno citare il documento della Commissione europea Una strategia europea per i dati ”, il cui elemento principale è la costituzione di una European Federation of Cloud Infrastructures and Services , di un European Marketplace for Cloud Services , di un Governance Framework e di un EU Cloud Rulebook.

Conclusioni

Emerge, quindi, in maniera chiara, la volontà delle istituzioni europee di costituire infrastrutture cloud sotto il controllo degli Stati membri dell'Unione, nel contesto creato dalla ormai celebre sentenza della Corte di giustizia europea, meglio conosciuta come “Schrems II” (Caso C -311/18), che ha invalidato il “ Privacy Shield” , l'accordo stipulato tra Unione europea e Stati Uniti per il trasferimento transfrontaliero dei dati personali. La sentenza ha stabilito che, nonostante si possa fare affidamento sulle cosiddette Clausole Contrattuali Standard, è necessaria una valutazione d'impatto per accertare che il Paese terzo in cui i dati personali siano colpiti da assicuri un livello di protezione adeguato a quello prescritto dal GDPR.

L'effetto dirompente di tale pronuncia non può essere tralasciato in relazione allo sviluppo del fenomeno del cloud computing nazionale ed europeo.

Difatti, l'EDPB, attraverso il meccanismo CEF, disciplina lo strumento dello sportello unico che intensifica la cooperazione delle autorità di controllo competenti per il trattamento dei dati all'interno del territorio dell'Unione. Esso potrebbe essere attivato qualora si concretizzino attività di trattamento transfrontaliero in relazione al tema dell'attività coordinata. A tal proposito, l'EDPB chiarisce di “ seguire le procedure descritte per trattare i casi transfrontalieri determinando caso per caso la linea d'azione migliore.”

Infine, oltre al pericolo derivante dal trasferimento transnazionale, occorre ponderare il rischio derivante da eventuali violazioni delle misure di “cybersecurity” , le cui conseguenze possono risultare particolarmente invadenti per la tutela dei diritti e delle libertà dei soggetti interessati.

 

Avv. Rossella Bucca e Dott.ssa Micol Sabatini

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori