Il Garante Privacy ha recentemente espresso parere favorevole rispetto al nuovo schema di regolamento per le infrastrutture digitali e i servizi cloud della Pubblica Amministrazione. Questo schema – redatto dall’Agenzia per la per la cybersecurity nazionale (ACN) – sostituisce il precedente decreto dell’Agenzia per l’Italia Digitale – AGID.
Effettività del regolamento
Il nuovo regolamento ACN relativo all’aggiornamento delle misure tecnico-organizzative e delle modalità di qualificazione di servizi e infrastrutture sostituisce l’atto adottato in precedenza ed entrerà in vigore a partire dal 01 Luglio 2024.
Schema di regolamento: i punti salienti
Lo schema di regolamento riporta testualmente i seguenti punti:
- “stabilisce i livelli minimi di sicurezza per le pubbliche amministrazioni, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni” (lett. a));
- “definisce le caratteristiche di qualità, sicurezza, performance e scalabilità, interoperabilità, portabilità dei servizi cloud per le pubbliche amministrazioni” (lett. b));
- “individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni. A tal fine stabilisce il processo e le modalità per la classificazione dei dati e dei servizi digitali” (lett. c))”.
Da questi punti si evince la necessità di imporre un alto livello di sicurezza nelle modalità del procedimento di qualificazione dei servizi cloud per le PA, definendo precisi procedimenti di adeguamento dei servizi e delle infrastrutture digitali delle pubbliche amministrazioni.
Contenuto dello schema e tema privacy
Il Regolamento tiene in considerazione le indicazioni del Garante fornite durante le interlocuzioni e include un nuovo articolo dedicato alla corretta applicazione della normativa sulla privacy.
Questo articolo è volto a garantire che le pubbliche amministrazioni possano controllare tutti i soggetti coinvolti nel trattamento dei dati. In particolare, attribuisce alle pubbliche amministrazioni il ruolo di titolari del trattamento, mentre gli operatori delle infrastrutture digitali e i fornitori di servizi cloud sono designati come responsabili del trattamento.
Il testo stabilisce anche che i responsabili del trattamento devono adottare misure per garantire che le amministrazioni siano informate tempestivamente e adeguatamente in caso di violazione dei dati, considerando la quantità e la sensibilità dei dai trattati, come quelli sanitari e fiscali.
I responsabili del trattamento devono, inoltre, fornire alle Pubbliche Amministrazioni gli strumenti adeguati a monitorare le attività di trattamento effettuate da eventuali sub-responsabili.
Per quanto riguarda il trasferimento dei dati al di fuori dello Spazio Economico Europeo, i responsabili del trattamento devono seguire le istruzioni delle amministrazioni per valutare l’efficacia delle misure adottate.
Questo regolamento fa parte della Strategia Cloud Italia, promossa dal Dipartimento per la trasformazione digitale e dall’ACN, che definisce le linee guida per la migrazione dei dati e dei servizi digitali della Pubblica Amministrazione verso il cloud, grazie anche al Polo Strategico Nazionale – PSN – un’infrastruttura cloud creata dal governo.