Il processo di migrazione della pubblica amministrazione verso l’uso di infrastrutture digitali e servizi cloud è in atto e vede coinvolto anche il Garante della privacy, il quale, lo scorso 9 maggio, ha dato parere favorevole allo schema di Regolamento predisposto dall’Agenzia per la cyber sicurezza nazionale, in sostituzione di quello emanato in precedenza dall’AgId.
In particolare, lo schema di regolamento si occupa di disciplinare:
-la “Caratterizzazione e classificazione dei dati e dei servizi digitali della pubblica amministrazione” (capo II, artt. 3-5);
-i “Livelli minimi delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e caratteristiche dei servizi cloud per le pubbliche amministrazioni” (capo III, artt. 6-8);
-la “Migrazione dei dati e dei servizi digitali della pubblica amministrazione” (capo IV, artt. 9- 11); -l’“Adeguamento delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e qualificazione dei servizi cloud per le pubbliche amministrazioni” (capo V, artt. 12-21);
Uno dei temi cruciali della digitalizzazione degli apparati amministrativi è sicuramente quello del trattamento dei dati di cui la PA è in possesso e che attengono a informazioni sensibili o sensibilissime dei privati cittadini; per questo motivo lo schema di regolamento in analisi ha introdotto un nuovo articolo 22 dedicato specificamente alla disciplina del trattamento dei dati personali.
I gestori dei servizi cloud sono qualificati come responsabili del trattamento ai sensi dell’art. 28 GDPR, mentre le amministrazioni sono i titolari del trattamento secondo quanto stabilito dall’art. 24 GDPR.
Ciò significa che i gestori dei servizi cloud saranno tenuti ad adottare misure adeguate per garantire all’amministrazione un’informazione costante e aggiornata sullo stato del trattamento e su eventuali data breach (ossia sull’eventuale violazione dei dati), tenuto conto della mole e della delicatezza dei dati trattati; dal canto loro le pubbliche amministrazioni devono dotarsi di strumenti idonei al controllo delle attività di trattamento, anche nel caso in cui esse venissero svolte da sub responsabili.
Inoltre, in presenza di trasferimenti extra UE (SEE), i fornitori di servizi cloud quali responsabili del trattamento, saranno tenuti ad attenersi alle istruzioni delle PA in veste di titolari del trattamento, mettendo a disposizione ogni informazione necessaria per valutare l’effettività delle misure adottate.
Lo schema di regolamento sembra declinare la disciplina della tutela della privacy (contenuta nel GDPR) all’interno della più generale Strategia cloudche il Dipartimento per la trasformazione digitale e ACN hanno messo in campo, contenente tutti quegli indirizzi per il percorso di migrazione verso il cloud dei dati e servizi digitali della Pubblica Amministrazione, cercando di conciliare l’esigenza di digitalizzazione con quella di tutela dei diritti fondamentali dei cittadini.
Come ogni grande sfida, anche la digitalizzazione dell’amministrazione pone qualche interrogativo circa l’efficienza (ma ancor di più) l’affidabilità di processi che coinvolgeranno sempre più operatori privati gestori di servizi cloud e capaci di mettere a disposizione delle PA quanti più servizi online; se da un lato lo schema di regolamento prevede già obblighi di informazione e costante aggiornamento, dall’altro lato, il rischio è che questo formalismo possa, in primis, appesantire i procedimenti amministrativi facendoli allontanare dal paradigma di efficacia, efficienza ed economicità, e, inoltre, finisca per non essere rispettato dai gestori dei servizi online.
Il parere del Garante della Privacy è fruibile qui.