PA e trattamento dati dei cittadini: le ultime raccomandazioni dello European Data Protection Board

L’European Data Protection Board (EDPB) viene tradotto, in italiano, nel Comitato europeo per la Protezione dei Dati e ha sostituito – a partire da maggio 2018 – quello che prima era il gruppo di lavoro “Articolo 29”. Lo scopo di questo organismo europeo indipendente è quello di garantire una coerente applicazione del Regolamento generale della Protezione dei Dati (GDPR) promuovendo la cooperazione tra le autorità di protezione dei dati dell’Unione europea. Tra le varie raccomandazioni e le direttive date dall’organo troviamo quelle in merito all’uso del cloud Pubblica Amministrazione, come sottolineato da Monitora PA (comunità di hacker attivisti che puntano a proteggere i dati degli italiani) nella loro lettera in cui chiedono agli atenei italiani, spiegando le ragioni, di smettere di utilizzare i servizi di Google.

LEGGI ANCHE >>> Monitora PA ha chiesto a 45 Atenei italiani di smettere di utilizzare i servizi di Google

Cloud Pubblica Amministrazione, le raccomandazioni EDPB

Nella lettera di Monitora PA le raccomandazione dello European Data Protection Board vengono definite «cristalline» e, del documento aggiornato a inizio 2023, vengono citati un paio di paragrafi chiarificatori: «Risulta dall’analisi fatta dalle autorità che l’uso esclusivo di un CSP (Content Services Platform, uno strumento basato sul cloud che permette alle aziende di archiviare e gestire dati n.d.R.) che sia parte di un gruppo multinazionale soggetto a leggi di paesi terzi può fare sì che le leggi del paese terzo in questione si applichino anche ai dati conservati nel SEE (European Economic Area, lo Spazio economico europeo n.d.R.)».

«In questo caso – prosegue il documento – le eventuali richieste dovrebbero essere indirizzate direttamente al CSP all’interno del SEE e dovrebbero riguardare i dati presenti nell’area e non quelli già in corso di trasferimento. In tale contesto, il responsabile del trattamento dati/CSP non avrebbe dovuto effettuare questa valutazione di questo quadro giuridico al fine di applicare le relative garanzie».

Infine: «L’analisi di tutti gli elementi che potrebbero condurre a situazioni differenti e a violazioni differenti delle suddette disposizioni pertinenti il GDPR relativamente al trattamento effettuato dall’incaricato (che agisce come titolare autonomo ai sensi dell’articolo 28, paragrafo 10 del GDPR quando agisce in violazione delle istruzioni del responsabile del trattamento) e/o dall’autorità pubblica stessa se non vengono fornite le adeguate istruzioni le dovute istruzioni ai sensi dell’articolo 28, paragrafo 1 del GDPR».

Cosa vuol dire questo per la gestione dei dati nel cloud Pubblica Amministrazione? In parole povere, il punto è che se affidassi i miei dati a Google – che ha sede negli Stati Uniti – sarebbe la legge del paese in cui ha sede il CSP a contare. Da parte dell’ente che sceglie di avvalersi del servizio di Google (nel caso del nostro monografico di oggi, le università italiane) dovrebbe esserci un’esplicita richiesta proveniente del titolare del trattamento affinché sia tenuto presente il quadro giuridico italiano e non quello americano per il trattamento dei dati degli studenti delle università italiane. In questo modo Google dovrebbe essere indirizzato ad agire così come disposto dalla legge europea.

Come sottolineato da MonitoraPA, la corrispondenza tra un docente e uno studente potrebbe contenere categorie di dati particolari come quelle oggetto di divieto nell’articolo 9 comma 1 del GDPR (ad esempio informazioni relative allo stato di salute di uno studente affetto da DSA che sta preparando un esame).

Quali sono le competenze dello European Data Protection Board

L’organo in questione ha un’autorevolezza che deve necessariamente essere tenuta presente per garantire – in tutta l’Unione – uno standard di protezione dati dei cittadini comune. Tra le varie competenze e i vari compiti che gli sono affidati, il Board si occupa di pubblicare una serie di linee guida e di raccomandazioni volte e identificare le migliori pratiche relative all’interpretazione e all’applicazione del GDPR. L’attività di monitoraggio compiuta, inoltre, permette di riferire poi alla Commissione europea relativamente a tutto ciò che accade nello Spazio economico europeo relativamente alla protezione dei dati personali.

Spetta inoltre a questo board porsi come garante della coerenza dell’applicazione del GDPR da parte delle autorità nazionali di vigilanza (soprattutto in riferimento a quelle decisioni che hanno effetti che varcano i confini). Oltre a incoraggiare lo sviluppo di codici di condotta univoci per i paesi dell’Ue in modo da introdurre meccanismi di certificazione nel campo della protezione dei dati, l’organo promuove scambio e cooperazione tra i garanti dei vati paesi di quelle che sono le buone pratiche e le informazioni utili.

Lo European Data Protection Board, infine, agisce anche come organo di risoluzione nelle controversie tra autorità nazionali che cooperano nell’applicare la legge in casi transfrontalieri.