Il 18 gennaio 2023, l’European Data Protection Board ("EDPB") ha pubblicato una relazione sui risultati di un’indagine iniziata nel 2022 sull'uso di servizi cloud da parte di enti pubblici.
L’indagine si inserisce nell’ambito del quadro di attuazione coordinata (CEF – Coordinated Enforcement Framework), iniziativa adottata dall’EDPB nel mese di ottobre 2020, al fine di potenziare le attività di enforcement e cooperazione fra le autorità di controllo.
Per l’elaborazione dello studio sono stati contattati dalle autorità di protezione dati dei singoli paesi coinvolti più di 100 enti pubblici, in un’ampia gamma di settori, tra cui sanità, finanza, fiscale, fornitura e appalti di servizi IT e istruzione.
L’indagine ha posto l’attenzione su alcuni punti controversi che usualmente ricorrerebbero nei contratti con i fornitori di servizi di cloud. Secondo la prassi contrattuale esaminata dall’EDPB, vi sarebbe un significativo squilibrio di peso contrattuale tra enti pubblici e cloud provider, evidente già in fase precontrattuale e verosimilmente dovuto alla necessità da parte dei cloud provider di proporre i propri modelli contrattuali per ragioni che derivano dall’estrema eterogeneità della propria customer-base. Ciò, ha evidenziato l’EDPB, avrebbe l’effetto di limitare il peso contrattuale e negoziale da parte delle pubbliche amministrazioni.
Ulteriori punti da attenzionare, nei rapporti tra i cloud provider e le pubbliche amministrazioni, sono stati individuati, tra gli altri: nella mancata esecuzione di un risk assessment prima di dar inizio al contratto; nella difficoltà di negoziare un contratto su misura rispetto alle esigenze ed alle peculiarità delle pubbliche amministrazioni; nell’assenza di controllo sui trasferimenti internazionali e sull'accesso ai dati personali da parte di autorità pubbliche straniere, nella mancata regolamentazione dei trattamenti dei dati telematici; nella mancanza di una determinazione chiara circa i rispettivi ruoli delle parti; nell’assenza di poteri di audit da parte delle pubbliche amministrazioni.
Alla luce delle questioni emerse, l’EDPB ha quindi segnalato alcuni punti fermi che gli enti pubblici devono considerare nel momento in cui si apprestano a negoziare un contratto di fornitura con un cloud provider.
- Necessità di effettuare una Data Protection Impact Assessment (“DPIA”) già in fase precontrattuale.
Nonostante dal trattamento di dati personali da parte di enti pubblici possa facilmente emergere un rischio elevato per i diritti e le libertà degli interessati, solo il 32% degli enti pubblici intervistati ha risposto di aver effettuato una DPIA.
- Stabilire in modo inequivocabile i ruoli privacy delle parti.
Tipicamente il cloud provider agisce quale responsabile del trattamento, mentre l’ente pubblico è il titolare del trattamento. Occorre, dunque, assicurarsi che il provider agisca per conto del cliente e secondo le istruzioni da questo fornite. Ciò non toglie che il fornitore dei servizi possa prevedere nel contratto la possibilità di trattare i dati personali degli enti pubblici per proprie finalità, agendo come titolare del trattamento.In tale ipotesi, il contratto deve definire in modo chiaro ogni possibile trattamento da parte del cloud provider in qualità di titolare del trattamento.
- Previsione del diritto della PA di opporsi ad eventuali sub-responsabili del trattamento.
- Garantire che i dati personali siano sufficientemente determinati in relazione alle finalità per le quali sono trattati e che siano raccolti per finalità esplicite e specificate e non ulteriormente trattati per finalità incompatibili.
- Coinvolgere nella negoziazione il Data Protection Officer.
- Cooperare con altri enti pubblici nella negoziazione con i provider.
È emerso, infatti, che quando diversi enti pubblici cooperano nella negoziazione con i fornitori di servizi cloud, o se uno di essi negozia gli stessi servizi per conto di più enti, lo squilibrio nella negoziazione si riduca.
- Fare in modo che la procedura di appalto preveda già tutti i requisiti necessari per assicurare la conformità al GDPR.
- In relazione ad eventuali trasferimenti di dati personali verso paesi extra UE, (i) individuare in modo puntuale i relativi presupposti giuridici che legittimano il trasferimento, e (ii) verificare se il cloud provider sia soggetto alla legislazione del paese di destinazione e se ciò comporterebbe un obbligo di rispondere alle richieste di accesso ai dati conservati dal cloud provider da parte delle autorità straniere.
A ben vedere, si tratta di elementi già ampiamente esaminati in precedenti linee guida e opinion dell’EDPB. Un punto di maggior interesse è, invece, il trattamento e la conseguente regolamentazione dei dati di telemetria.
L’EDPB nota come tutti i cloud provider elaborino dati relativi all’utilizzo di infrastrutture e servizi (identificatori di risorse, tag, ruoli di sicurezza e di accesso, regole, policy di utilizzo, autorizzazioni, statistiche di utilizzo da parte di diversi tipi di utenti). Si tratta di informazioni che, in linea di principio, possono essere qualificati come dati personali e come tali devono essere disciplinati.
Il report ha evidenziato poca chiarezza in merito al ruolo attribuito ai cloud provider nell’elaborazione dei dati di telemetria. In alcuni casi, i provider sembrano agire in qualità di titolari del trattamento, mentre in altri casi vengono considerati responsabili del trattamento per conto del titolare. Lo studio ha rivelato come molti dei soggetti esaminati non avessero piena contezza del trattamento di tali dati da parte dei cloud provider, di eventuali trasferimenti verso paesi terzi, dell’eventuale rischio legato al trattamento di tali dati nonché della tipologia di dati effettivamente raccolti.
In conclusione, se da un lato il report ha messo in luce alcuni degli elementi da attenzionare che emergono nella prassi negoziale tra fornitori di servizi cloud ed enti pubblici, dall’altro, l’EDPB ha fornito ben pochi suggerimenti su come eventuali criticità possano essere superate. Ancora una volta, tutto è rimesso all’accountability di titolare e responsabile del trattamento.
