Criteri di selezione dei fornitori di servizi cloud alla PA

Al fine di potenziare le attività di enforcement e cooperazione fra le autorità di controllo il 15 febbraio scorso è partita la prima indagine coordinata del Comitato europeo per la protezione dei dati personali (EDPB) volta a verificare l’utilizzo di servizi cloud da parte dei soggetti pubblici. La trasformazione digitale innescata dalla pandemia da COVID-19 ha infatti indotto molti soggetti pubblici, anche in Italia, a ricorrere a servizi cloud.

Risultando spesso complesso per le pubbliche amministrazioni ottenere prodotti e servizi ICT che siano in linea con le norme UE sulla protezione dei dati, con questa indagine, le autorità di controllo (tra le quali parteciperà anche il Garante Privacy Italiano) intendono verificare il rispetto del GDPR e promuovere le migliori prassi per garantire un’adeguata protezione dei dati personali.

L’indagine riguarderà complessivamente più di 80 soggetti che operano in vari settori (come la sanità, il fisco, l’istruzione), incluse le Istituzioni europee, le centrali di committenza e i fornitori di servizi ICT della pubblica amministrazione centrale e locale.
Sulla base di un modello operativo condiviso elaborato dalle autorità di controllo partecipanti, l’indagine sarà declinata a livello nazionale secondo diverse modalità:

  • somministrazione di un questionario
  • avvio di specifiche istruttorie o prosecuzione di quelle già in corso
  • accertamenti ispettivi.

Le autorità analizzeranno:

  • le procedure e le garanzie adottate nelle fasi di acquisizione e di utilizzo dei servizi cloud
  • le problematiche connesse ai trasferimenti internazionali di dati e all’impiego di misure supplementari
  • la regolazione dei rapporti fra titolari e responsabili del trattamento.

Gli esiti delle indagini saranno esaminati in maniera coordinata con le altre autorità europee per approfondire ulteriormente la tematica e consentire un follow-up mirato a livello UE.
Le singole autorità, in ogni caso, decideranno eventuali interventi successivi, anche di carattere correttivo.
L’EDPB pubblicherà un report sugli esiti di questa indagine coordinata entro la fine del 2022.

Fonte: Garante Privacy 15 febbraio 2022

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

ASSOCIATI