Il Garante Privacy, con il provvedimento n. 289 del 9 maggio 2024, pubblicato nell’odierna newsletter, ha espresso un parere favorevole sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud destinati alla Pubblica Amministrazione, elaborato dall’Agenzia per la cybersicurezza nazionale (ACN). Questo schema sostituisce il precedente atto predisposto dall’Agenzia per l’Italia digitale (AGID).
Lo scopo principale del nuovo Regolamento sulla cybersicurezza dei servizi cloud per la P.A. è di garantire una corretta applicazione della normativa privacy. A tal fine, l’articolo 22 del Regolamento introduce disposizioni cruciali: le amministrazioni sono identificate come titolari dei trattamenti di dati personali nell’ambito delle infrastrutture digitali e dei servizi cloud destinati alla P.A. Questo implica la responsabilità diretta delle amministrazioni per tali trattamenti.
Gli operatori delle infrastrutture digitali, i fornitori di servizi cloud e altri soggetti coinvolti nei trattamenti di dati personali per conto delle amministrazioni operano come responsabili del trattamento ai sensi dell’art. 28 del GDPR. Ciò include anche i soggetti che assistono nell’esecuzione di specifiche attività di trattamento per conto delle amministrazioni.
I responsabili della protezione dei dati (D.P.O.) devono adottare misure tecniche e organizzative adeguate per garantire che le amministrazioni siano tempestivamente informate in caso di violazione dei dati personali, conformemente all’art. 33, paragrafo 2, del GDPR (data breach).
L’impiego di altri responsabili del trattamento da parte dei suddetti responsabili è regolato in conformità all’art. 28, paragrafi 2 e 4, del GDPR. Questo include l’implementazione di misure tecniche e organizzative che permettano alle amministrazioni di esercitare adeguati controlli sulle attività di trattamento effettuate sotto la loro responsabilità.
Nel caso di trasferimenti di dati personali al di fuori dello Spazio economico europeo, i responsabili del trattamento devono seguire le istruzioni impartite dalle amministrazioni in base all’art. 28, paragrafo 3, lettera a), del GDPR e devono mettere a disposizione delle stesse tutte le informazioni necessarie per valutare l’efficacia delle misure di protezione adottate secondo il capo V del GDPR.
Ferme restando le competenze del Garante per la protezione dei dati personali per le violazioni di queste disposizioni, l’Agenzia per la cybersicurezza nazionale è tenuta a comunicare al Garante ogni evidenza relativa a possibili violazioni dei dati personali (data breach) di cui venga a conoscenza.
Queste disposizioni riflettono un approccio integrato alla protezione dei dati personali nell’ambito delle infrastrutture digitali e dei servizi cloud utilizzati dalla P.A., assicurando conformità normativa e efficace gestione dei rischi per la sicurezza dei dati.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Protezione dei Dati e Gig Economy: Analisi del Provvedimento del Garante n. 675/2024 su Foodinho e Glovo - Novembre 22, 2024
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- La Direttiva (UE) 2024/2831: un passo avanti per le condizioni di lavoro sulle piattaforme digitali - Novembre 12, 2024
- Domicilio digitale e notifiche telematiche: l’ordinanza n. 28532/2024 della Corte di Cassazione - Novembre 7, 2024
- Il nuovo quadro di protezione dati UE-USA: valutazione critica del rapporto dell’EDPB del 4 novembre 2024 - Novembre 5, 2024
