Prende il via la prima indagine coordinata del Comitato europeo per la protezione dei
dati personali (EDPB). 22 autorità nazionali di controllo del SEE (lo Spazio economico
europeo), compreso il Garante privacy italiano, verificheranno l’utilizzo di servizi cloud da
parte dei soggetti pubblici.
L’iniziativa si inserisce nel Quadro di attuazione coordinata (CEF – Coordinated
Enforcement Framework) adottato dall’EDPB nel mese di ottobre 2020, al fine di potenziare
le attività di enforcement e cooperazione fra le autorità di controllo.
La trasformazione digitale innescata dalla pandemia da COVID-19 ha infatti indotto
molti soggetti pubblici, anche in Italia, a ricorrere a servizi cloud. Tuttavia, risulta spesso
complesso per le pubbliche amministrazioni ottenere prodotti e servizi ICT che siano in linea
con le norme UE sulla protezione dei dati.
Con questa indagine, le autorità di controllo intendono pertanto verificare il rispetto
del GDPR, nonché promuovere le migliori prassi per garantire un’adeguata protezione dei
dati personali.
L’indagine riguarderà complessivamente più di 80 soggetti che operano in vari settori
(come la sanità, il fisco, l’istruzione), incluse le Istituzioni europee, le centrali di
committenza e i fornitori di servizi ICT della pubblica amministrazione centrale e locale.
Sulla base di un modello operativo condiviso elaborato dalle autorità di controllo
partecipanti, l’indagine sarà declinata a livello nazionale secondo diverse modalità, tra cui: la
somministrazione di un questionario; l’avvio di specifiche istruttorie o la prosecuzione di
quelle già in corso, anche attraverso accertamenti ispettivi. Le autorità analizzeranno, in
particolare, le procedure e le garanzie adottate nelle fasi di acquisizione e di utilizzo dei
servizi cloud, le problematiche connesse ai trasferimenti internazionali di dati e all’impiego
di misure supplementari, nonché la regolazione dei rapporti fra titolari e responsabili del
trattamento.
Gli esiti delle indagini saranno esaminati in maniera coordinata con le altre autorità
europee per approfondire ulteriormente la tematica e consentire un follow-up mirato a livello
UE. Le singole autorità, in ogni caso, decideranno eventuali interventi successivi, anche di
carattere correttivo. L’EDPB intende pubblicare un report sugli esiti di questa indagine
coordinata entro la fine del 2022.