Il Garante Privacy, con provvedimento n. 289 del 9 maggio 2024, ha reso il proprio parere favorevole sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud per la PA, predisposto dall’Agenzia per la cybersicurezza nazionale (ACN), in sostituzione dell’atto adottato in precedenza dall’Agenzia per l’Italia digitale (AGID).
Lo schema di Regolamento sulla cybersicurezza servizi cloud PA, in particolare, introduce un nuovo articolo (art. 22) dedicato alla corretta applicazione della normativa privacy, stabilendo:
- che le amministrazioni sono titolari dei trattamenti di dati personali effettuati nell’ambito delle infrastrutture digitali per le PA, delle infrastrutture dei servizi cloud per le PA e dei servizi cloud medesimi
- che gli operatori di infrastrutture digitali, i fornitori di servizi cloud e gli ulteriori soggetti coinvolti nei trattamenti di dati personali di cui al comma 1 o nelle attività di migrazione dei dati e dei servizi digitali della pubblica amministrazione di cui al capo IV, nonché i soggetti di cui questi si avvalgono per l’esecuzione di specifiche attività di trattamento per conto delle amministrazioni, operano come responsabili del trattamento ai sensi dell’art. 28 del GDPR
- che i responsabili della protezione dei dati adottano misure tecniche e organizzative idonee a garantire una tempestiva e adeguata informazione delle amministrazioni in caso di violazione dei dati personali, ai sensi dell’art. 33, paragrafo 2, GDPR (data breach)
- che il ricorso ad altri responsabili del trattamento da parte dei citati responsabili del trattamento è disciplinato in conformità all’art. 28, paragrafi 2 e 4, GDPR, prevedendo misure tecniche e organizzative per fornire alle amministrazioni idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità
- che in caso di trasferimento di dati personali al di fuori dello Spazio economico europeo, i responsabili del trattamento sono tenuti ad attenersi alle istruzioni delle amministrazioni impartite ai sensi dell’art. 28, paragrafo 3, lettera a), GDPR e a mettere a disposizione delle stesse ogni informazione necessaria per valutare l’effettività delle misure appropriate poste in essere ai sensi del capo V GDPR
- che, ferme restando le competenze del Garante per la protezione dei dati personali per le violazioni delle disposizioni contenute nel presente articolo, l’Agenzia per la cybersicurezza nazionale comunica al Garante le evidenze, di cui venga a conoscenza, relative a possibili violazioni dei dati personali (data breach).