Resultados da primeira acción europea que analizou o uso da nube no sector público

A Axencia Española de Protección de Datos ( AEPD ) participou en  la primera acción coordinada de autoridades europeas de protección de datos para analizar el uso de servicios en la nube por parte del sector público , unha iniciativa realizada no marco das actuacións coordinadas do Comité Europeo de Protección de Datos ( EDPB , polas súas siglas en inglés). Este documento proporciona unha visión integral para identificar e fomentar as mellores prácticas, detectar posibles deficiencias e realizar recomendacións na contratación e o uso de servizos na nube por parte dos organismos públicos.

El informe, que ofrece una visión europea del sector público en esta materia, aglutina los resultados de las 22 autoridades de protección de datos que han participado en la iniciativa y el Supervisor Europeo de Protección de Datos. Se han estudiado un centenar de organismos públicos no conxunto de países membros, 12 deles analizados pola AEPD, y abarca una amplia gama de sectores como salud, finanzas, impuestos, educación y proveedores de servicios de tecnologías de la información. La finalidad del informe global es contribuir a elevar el nivel de cumplimiento y la protección de los datos personales de los ciudadanos, no sólo a nivel nacional sino también en el conjunto de la UE.

Para levalo a cabo, a Axencia remitiu un cuestionario a diversos organismos públicos para que estes identificasen os retos aos que se enfrontan para dar cumprimento ao Regulamento Xeral de Protección de Datos ( RGPD ) cando utilizan servizos na nube no desenvolvemento das súas actividades (procedementos para a súa contratación, cuestións relacionadas coas transferencias internacionais de datos, o papel do delegado de protección de datos, a adopción de medidas complementarias e disposicións que rexen a relación entre responsables e encargados do tratamento, etc.).

As autoridades de protección de datos, aínda sendo conscientes das dificultades que poden ter os organismos públicos para contratar provedores de servizos de cloud con garantías, pon de manifesto no informe a importancia de cumprir cos requirimentos do Regulamento Xeral de Protección de Datos tendo en conta a natureza e a cantidade de datos persoais que manexan.

A seguir recóllense de maneira sistemática algunhas das recomendacións para organismos públicos que se explican no informe de forma máis detallada:

• Implicar ao delegado de protección de datos;   
• Realizar unha Avaliación de Impacto na Protección de Datos;
• Garantir que os roles de responsable do tratamento e encargado estean clara e inequivocamente determinados;
• Garantir que o provedor de cloud computing actúa como encargado  seguindo as instrucións que lle facilitou o organismo público;
• Garantizar que el organismo público pueda oponerse a que otros encargados traten los datos;
• Vixiar que os datos persoais só se traten para os fins determinados;
• Cooperar con outros organismos públicos na contratación de provedores de cloud;
• Revisar se os tratamentos realízanse de acordo con a avaliación de impacto;
• Identificar se o provedor de servizos de cloud realiza o tratamento de datos nun país fóra da UE. Se é ese o caso, débese ter en conta o aplicable ás transferencias internacionais de datos segundo o RGPD;
• Analizar se a lexislación do país de orixe de provedor de servizos de cloud permite que se lle requira o acceso aos datos que almacena en territorio da UE;
• Comprobar que o organismo público ten a posibilidade de realizar auditorías ao provedor de servizos de cloud e asegurar que se realizan;
• Examinar o contrato co provedor de servizos e, se fose necesario, renegocialo.

O EDPB xa está a organizar a posta en marcha dunha nova acción coordinada para este ano 2023, que abordará a designación e situación dos delegados de protección de datos.

Fonte orixinal da noticia