L’EDPB dà il via alla prima azione di attuazione coordinata sui servizi cloud

di  Rossella Bucca -

Il 18 ottobre 2021, l’EDPB ha dato avvio alla sua prima azione per l’applicazione coordinata sull’uso dei servizi cloud nell’ambito del settore pubblico. Tale decisione traccia il primo passo del percorso comune di digitalizzazione in Europa.

Nel documento pubblicato dal Comitato Europeo per la Protezione dei Dati (“EDPB”) sul quadro di attuazione coordinata del 20 ottobre 2020, ai sensi del Regolamento (UE) 2016/679 (“GDPR”), viene definita la cosiddetta “Azione Coordinata Annuale”.

Tale quadro (denominato anche “CEF – Coordinate Enforcement Framework”) garantisce l’attuazione di un piano di coordinamento delle attività annuali delle singole Autorità di Controllo nazionali da parte dell’EDPB. Si tratta di una strategia volta a:

  • semplificare ed uniformare le azioni poste a protezione dei dati personali;
  • sensibilizzare la raccolta di informazioni congiunte, favorendo il rispetto del GDPR, dei diritti e delle libertà degli interessati;
  • ridurre il rischio legato a servizi basati sulle nuove tecnologie nel settore della protezione dei dati.

Il fondamento giuridico del CEF

È l’art 57, par. 1, lett. g) del Regolamento ad attribuire alle autorità di controllo nazionali il compito di collaborare, “anche tramite scambi di informazioni, con le altre autorità di controllo e presta[re] assistenza reciproca al fine di garantire l’applicazione e l’attuazione coerenti del presente regolamento”. Inoltre, le autorità di controllo nazionali coadiuvano l’azione coordinata annuale in conformità dei poteri consultivi e delle funzioni di monitoraggio e sensibilizzazione previsti dal GDPR, ai sensi dell’art. 57, par. 1 e dell’art. 58, par. 3. L’art. 58 e l’art. 70 dello stesso Regolamento delineano un ulteriore quadro di cooperazione tra le autorità di controllo nazionali – che devono esplicare i loro poteri nei confronti dei soggetti che effettuano il trattamento dei dati personali al fine di garantire la conformità alla normativa privacy – e l’EDPB, il quale svolge principalmente la funzione di “supervisore” in ordine alla corretta applicazione del Regolamento.

L’utilizzo dei servizi cloud al livello nazionale nel settore pubblico

Il 18 ottobre 2021, l’EDPB ha dato avvio alla sua prima azione per l’applicazione coordinata sull’uso dei servizi cloud nell’ambito del settore pubblico. Tale decisione traccia il primo passo del percorso comune di digitalizzazione in Europa, con l’ambizioso obiettivo di implementare le soluzioni tecnologiche in svariati ambiti, tra i quali quello sanitario per consentire ai cittadini l’accesso alle informazioni mediche attraverso il sistema cloud.

Il perseguimento di detta finalità verrà concretizzato tramite un’azione coordinata ed una cooperazione annuale da parte sia delle istituzioni europee che degli Stati membri. Proprio lo strumento del CEF rafforza il coordinamento tra le attività annuali ricorrenti delle Autorità di controllo e dell’EDPB. Allo stato attuale, appare evidente la sfida degli Stati membri nell’adottare soluzioni cloud locali nei piani di sviluppo digitale.

L’Italia ha recentemente promosso la costituzione del cd. “cloud nazionale”, la Germania e la Francia si impegnano da diverso tempo alla creazione del progetto “Gaia-X. A livello istituzionale europeo il consolidamento del cloud computing diventa prioritario per il futuro prossimo. L’intento è quello di ideare soluzioni che prescindano da infrastrutture messe a disposizione necessariamente ed unicamente da fornitori internazionali e di preferire piattaforme cloud europee, nate grazie ad iniziative avanzate dalla Commissione europea, quali parti di un ecosistema di modelli strategici comuni. A tal riguardo appare opportuno citare il documento della Commissione europea Una strategia europea per i dati”, il cui elemento principale è la costituzione di una European federation of cloud infrastructures and services,  di un European marketplace for cloud services, di una governance framework and an EU Cloud Rulebook.

Conclusioni

Emerge, quindi, in maniera chiara, la volontà delle istituzioni europee di costituire infrastrutture cloud sotto il controllo degli Stati membri dell’Unione, nel contesto creato dalla ormai celebre sentenza della Corte di giustizia europea, meglio conosciuta come “Schrems II” (Caso C-311/18), che ha invalidato il “Privacy Shield”, l’accordo stipulato tra Unione europea e Stati Uniti per il trasferimento transfrontaliero dei dati personali. La sentenza ha stabilito che, nonostante si possa fare affidamento sulle cosiddette Clausole Contrattuali Standard (“Standard Contractual Clauses”), è necessaria una valutazione d’impatto per accertare che il Paese terzo in cui i dati personali siano trasferiti assicuri un livello di protezione adeguato a quello prescritto dal GDPR.

L’effetto dirompente di tale pronuncia non può essere tralasciato in relazione allo sviluppo del fenomeno del cloud computing nazionale ed europeo.

Difatti, l’EDPB, attraverso il meccanismo CEF, disciplina lo strumento dello sportello unico che intensifica la cooperazione delle autorità di controllo competenti per il trattamento dei dati all’interno del territorio dell’Unione. Esso potrebbe essere attivato qualora si concretizzino attività di trattamento transfrontaliero in relazione al tema dell’attività coordinata. A tal riguardo, l’EDPB chiarisce di “seguire le procedure descritte per trattare i casi transfrontalieri determinando caso per caso la linea d’azione migliore.”

Infine, oltre al pericolo derivante dal trasferimento transnazionale, occorre ponderare il rischio derivante da eventuali violazioni delle misure di “cybersecurity”, le cui conseguenze possono risultare particolarmente intrusive per la tutela dei diritti e delle libertà dei soggetti interessati.