A Axencia Española de Protección de Datos (
O informe, que ofrece unha visión europea do sector público nesta materia, aglutina os resultados das 22 autoridades de protección de datos que participaron na iniciativa e o Supervisor Europeo de Protección de Datos. Estudáronse un centenar de organismos públicos no conxunto de países membros, 12 deles analizados pola AEPD, y abarca una amplia gama de sectores como salud, finanzas, impuestos, educación y proveedores de servicios de tecnologías de la información. La finalidad del informe global es contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.
Para levalo a cabo, a Axencia remitiu un cuestionario a diversos organismos públicos para que estes identificasen os retos aos que se enfrontan para dar cumprimento ao Regulamento Xeral de Protección de Datos (
As autoridades de protección de datos, aínda sendo conscientes das dificultades que poden ter os organismos públicos para contratar provedores de servizos de cloud con garantías, pon de manifesto no informe a importancia de cumprir cos requirimentos do Regulamento Xeral de Protección de Datos tendo en conta a natureza e a cantidade de datos persoais que manexan.
A seguir recóllense de maneira sistemática algunhas das recomendacións para organismos públicos que se explican no informe de forma máis detallada:
- Implicar ao delegado de protección de datos;
- Realizar unha Avaliación de Impacto na Protección de Datos;
- Garantir que os roles de responsable do tratamento e encargado estean clara e inequivocamente determinados;
- Garantir que o provedor de cloud computing actúa como encargado seguindo as instrucións que lle facilitou o organismo público;
- Garantir que o organismo público poida oporse a que outros encargados traten os datos;
- Vixiar que os datos persoais só se traten para os fins determinados;
- Cooperar con outros organismos públicos na contratación de provedores de cloud;
- Revisar se os tratamentos realízanse de acordo con a avaliación de impacto;
- Identificar se o provedor de servizos de cloud realiza o tratamento de datos nun país fóra da UE. Se é ese o caso, débese ter en conta o aplicable ás transferencias internacionais de datos segundo o RGPD;
- Analizar se a lexislación do país de orixe de provedor de servizos de cloud permite que se lle requira o acceso aos datos que almacena en territorio da UE;
- Comprobar que o organismo público ten a posibilidade de realizar auditorías ao provedor de servizos de cloud e asegurar que se realizan;
- Examinar o contrato co provedor de servizos e, se fose necesario, renegocialo.
O