Come è stato corretto il Regolamento cloud per le PA a livello di protezione dei dati personali

Il lungo percorso che porterà, dal prossimo 1° agosto, il nuovo Regolamento sui servizi cloud per la PA a entrare in vigore (in regime ordinario) non è stato molto lineare. Con il passare del mese, non è stato semplice trovare una quadra normativa per rendere il testo conforme a tutte le normative vigenti, comprese quelle europee. E un piccolo inciampo era avvenuto all’inizio dell’anno, quando l’Autorità Garante per la Protezione dei Dati Personali aveva segnalato alcune criticità (lacune, più che altro) in termini di definizione del perimetro per quel che concerne il trattamento dei dati.

LEGGI ANCHE > I punti salienti del nuovo regolamento cloud per la Pubblica Amministrazione

Era stata rilevata, dunque, l’assenza di un reale riferimento all’applicazione della normativa privacy, con l’assenza dell’ufficializzazione del riferimento al soggetto titolare del trattamento dei dati personali e del responsabile dello stesso. Una correzione richiesta e avvenuta nel giro di poche settimane, con l’inserimento di un articolo (il 22) che ora è parte integrante – e fondamentale per quel che riguarda la trasparenza – del nuovo regolamento cloud PA.

Regolamento Cloud PA, cosa non andava per la privacy

Il parere positivo da parte del Garante Privacy italiano è arrivato all’inizio del mese di maggio, quando l’Autorità ha ricevuto da ACN il testo modificato e integrato con la richiesta di inserire tutti i riferimenti alla conformità con l’attuale regolamento sulla protezione dei dati personali. Il tutto è definito, in modo specifico, all’interno dell’articolo 22 del testo che entrerà in vigore tra un mese:

«Le amministrazioni sono titolari dei trattamenti di dati personali effettuati nell’ambito delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e dei servizi cloud per le pubbliche amministrazioni.
Gli operatori di infrastrutture digitali, i fornitori di servizi cloud e gli ulteriori soggetti coinvolti nei trattamenti di dati personali di cui al comma 1 o nelle attività di migrazione dei dati e dei servizi digitali della pubblica amministrazione di cui al capo IV, nonché i soggetti di cui questi si avvalgono per l’esecuzione di specifiche attività di trattamento per conto delle amministrazioni, operano come responsabili del trattamento ai sensi dell’articolo 28 del regolamento (UE) 2016/679». 

Dunque, le PA sono i titolari del trattamento, mentre i fornitori sei servizi cloud per le Pubbliche Amministrazioni sono i responsabili del trattamento. Può sembrare una specifica ridondante, ma non è così. Vista la “delicatezza” dei dati che potranno essere trasferiti sul cloud dalle PA, occorreva scrivere nero su bianco i vari livelli di relazione per quel che riguarda il trattamento dei dati. E il Garante Privacy aveva sottolineato un aspetto diventato, poi, parte integrante del regolamento:

«Il testo stabilisce inoltre l’obbligo per i responsabili del trattamento di adottare misure che garantiscano una tempestiva e adeguata informazione da parte delle amministrazioni in caso di data breach, considerata la mole e la delicatezza dei dati trattati (dati sulla salute, dati fiscali). I responsabili del trattamento dovranno poi fornire alle PA idonei strumenti di controllo delle attività di trattamento effettuate da eventuali sub responsabili». 

Dunque, con la correzione e l’inserimento di quell’articolo che fornisce non solo una definizione, ma anche una gerarchia di responsabilità, il testo (ora definitivo) è stato giudicato conforme al Regolamento sulla Protezione dei Dati Personali in Italia (e in Europa).