Privacy “blindata” nel cloud della Pa: il Garante per la protezione dei dati personali ha dato parere favorevole sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud della Pa, predisposto dall’Agenzia per la cybersicurezza nazionale (Acn) e che sostituisce l’atto adottato in precedenza dall’Agenzia per l’Italia digitale (Agid). Il documento tiene conto delle indicazioni fornite dal Garante privacy nel corso delle interlocuzioni.
Lo schema introduce un nuovo articolo dedicato alla corretta applicazione della normativa privacy volto ad assicurare il controllo, da parte delle Pubbliche amministrazioni, su tutti i soggetti che intervengono nel trattamento dei dati. In particolare, attribuisce alle Pa il ruolo di titolari del trattamento, mentre gli operatori di infrastrutture digitali e i fornitori di servizi cloud vengono indicati quali responsabili del trattamento (Rdp).
Privacy e PA: gli obblighi per i fornitori cloud
Il testo stabilisce, inoltre, l’obbligo per i Responsabili della protezione dati (Rdp) di adottare misure che garantiscano una tempestiva e adeguata informazione da parte delle amministrazioni in caso di data breach, considerata la mole e la delicatezza dei dati trattati (dati sulla salute, dati fiscali).
Gli Rdp dovranno poi fornire alle Pa idonei strumenti di controllo delle attività di trattamento effettuate da eventuali sub responsabili.
In tema di trasferimenti dei dati al di fuori dello Spazio economico europeo, i Responsabili del trattamento saranno tenuti ad attenersi alle istruzioni delle amministrazioni e a mettere a disposizione delle stesse ogni informazione necessaria per valutare l’effettività delle misure adottate.
Ok al Regolamento di Acn, avanti con la Strategia cloud Italia
Il Regolamento si inserisce all’interno della Strategia cloud Italia, messa in campo dal Dipartimento per la trasformazione digitale e da Acn, che contiene gli indirizzi per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica amministrazione, anche grazie al Polo strategico nazionale (Psn), quale infrastruttura cloud realizzata su impulso del governo.
Proprio per tutelare la sicurezza dei dati nel cloud delle imprese e della Pa, nei giorni scorsi il Psn ha fatto sapere di aver adottato il modello di responsabilità condivisa per la sicurezza (Shared Security Responsibility Model – Ssrm), un framework che delinea chiaramente le responsabilità tra il provider di servizi cloud e l’utente finale. Nel Ssrm, il Polo strategico nazionale è responsabile della sicurezza “del” cloud, gestendo le infrastrutture fisiche come server, rete e data center. D’altra parte, la Pubblica amministrazione, come utente, si occupa della sicurezza “nel” cloud, che include la protezione dei dati, le configurazioni di sicurezza delle applicazioni e il controllo degli accessi.
La Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e da Acn, contiene gli indirizzi strategici per il percorso di migrazione verso il cloud di dati e servizi digitali della Pubblica amministrazione. La Strategia traccia un percorso guidato per accompagnare circa il 75% delle Pa italiane nella migrazione dei dati e degli applicativi informatici verso il cloud entro il 2026, in coerenza con gli obiettivi del Pnrr.