Resultats de la primera acció europea que ha analitzat l'ús del núvol en el sector públic

L'Agència Espanyola de Protecció de Dades ( AEPD ) ha participat en  la primera acció coordinada d'autoritats europees de protecció de dades per analitzar l'ús de serveis en el núvol per part del sector públic , una iniciativa realitzada en el marc de les actuacions coordinades del Comitè Europeu de Protecció de Dades ( EDPB , per les seves sigles en anglès). Aquest document proporciona una visió integral per identificar i fomentar les millors pràctiques, detectar possibles deficiències i realitzar recomanacions en la contractació i l'ús de serveis en el núvol per part dels organismes públics.

L'informe, que ofereix una visió europea del sector públic en aquesta matèria, aglutina els resultats de les 22 autoritats de protecció de dades que han participat en la iniciativa i el Supervisor Europeu de Protecció de Dades. S'han estudiat un centenar d'organismes públics en el conjunt de països membres, 12 d'ells analitzats per l'AEPD, i abasta una àmplia gamma de sectors com a salut, finances, impostos, educació i proveïdors de serveis de tecnologies de la informació. La finalitat de l'informe global és contribuir a elevar el nivell de compliment i la protecció de les dades personals dels ciutadans, no només a nivell nacional sinó també en el conjunt de la UE.

Per dur-ho a terme, l'Agència va remetre un qüestionari a diversos organismes públics perquè aquests identifiquessin els reptes als quals s'enfronten per donar compliment al Reglament General de Protecció de Dades ( RGPD ) quan utilitzen serveis en el núvol en el desenvolupament de les seves activitats (procediments per a la seva contractació, qüestions relacionades amb les transferències internacionals de dades, el paper del delegat de protecció de dades, l'adopció de mesures complementàries i disposicions que regeixen la relació entre responsables i encarregats del tractament, etc).

Les autoritats de protecció de dades, àdhuc sent conscients de les dificultats que poden tenir els organismes públics per contractar proveïdors de serveis de cloud amb garanties, posen de manifest en l'informe la importància de complir amb els requeriments del Reglament General de Protecció de Dades tenint en compte la naturalesa i la quantitat de dades personals que manegen.

A continuació es recullen de manera sistemàtica algunes de les recomanacions per a organismes públics que s'expliquen en l'informe de forma més detallada:

• Implicar al delegat de protecció de dades;   
• Realitzar una Avaluació d'Impacte en la Protecció de Dades;
• Garantir que els rols de responsable del tractament i encarregat estiguin clara i inequívocament determinats;
• Garantir que el proveïdor de cloud computing actua com a encarregat  seguint les instruccions que li ha facilitat l'organisme públic;
• Garantir que l'organisme públic pugui oposar-se al fet que altres encarregats tractin les dades;
• Vigilar que les dades personals només es tractin per a les finalitats determinades;
• Cooperar amb altres organismes públics en la contractació de proveïdors de cloud;
• Revisar si els tractaments es realitzen d'acord amb l'avaluació d'impacte;
• Identificar si el proveïdor de serveis de cloud realitza el tractament de dades en un país fora de la UE. Si és aquest el cas, s'ha de tenir en compte l'aplicable a les transferències internacionals de dades segons el RGPD;
• Analitzar si la legislació del país d'origen de proveïdor de serveis de cloud permet que se li requereixi l'accés a les dades que emmagatzema en territori de la UE;
• Comprovar que l'organisme públic té la possibilitat de realitzar auditories al proveïdor de serveis de cloud i assegurar que es realitzen;
• Examinar el contracte amb el proveïdor de serveis i, si fos necessari, renegociar-ho.

El EDPB ja està organitzant l'engegada d'una nova acció coordinada per aquest any 2023, que abordarà la designació i situació dels delegats de protecció de dades.

Font original de la notícia