- L’AEPD ha participat en aquesta iniciativa coordinada, que s’ha realitzat en el marc del Comité Europeu de Protecció de Dades
- L’objectiu de l’informe publicat és obtindre una visió europea integral que permeta identificar i fomentar les millors pràctiques, detectar possibles deficiències i realitzar recomanacions al sector
- S’han estudiat un centenar d’organismes públics, 12 d’ells analitzats per l’AEPD
(24 de gener de 2023). L’Agència Espanyola de Protecció de Dades (AEPD) ha participat en la primera acció coordinada d’autoritats europees de protecció de dades per a analitzar l’ús de serveis en el núvol per part del sector públic, una iniciativa realitzada en el marc de les actuacions coordinades del Comité Europeu de Protecció de Dades (EDPB, per les seues sigles en anglés). Aquest document proporciona una visió integral per a identificar i fomentar les millors pràctiques, detectar possibles deficiències i realitzar recomanacions en la contractació i l’ús de serveis en el núvol per part dels organismes públics.
L’informe, que ofereix una visió europea del sector públic en aquesta matèria, aglutina els resultats de les 22 autoritats de protecció de dades que han participat en la iniciativa i el Supervisor Europeu de Protecció de Dades. S’han estudiat un centenar d’organismes públics en el conjunt de països membres, 12 d’ells analitzats per l’AEPD, i abasta una àmplia gamma de sectors com a salut, finances, impostos, educació i proveïdors de serveis de tecnologies de la informació. La finalitat de l’informe global és contribuir a elevar el nivell de compliment i la protecció de les dades personals dels ciutadans, no sols a nivell nacional sinó també en el conjunt de la UE.
Per a dur-ho a terme, l’Agència va remetre un qüestionari a diversos organismes públics perquè aquests identificaren els reptes als quals s’enfronten per a donar compliment al Reglament General de Protecció de Dades (RGPD) quan utilitzen serveis en el núvol en el desenvolupament de les seues activitats (procediments per a la seua contractació, qüestions relacionades amb les transferències internacionals de dades, el paper del delegat de protecció de dades, l’adopció de mesures complementàries i disposicions que regeixen la relació entre responsables i encarregats del tractament, etc).
Les autoritats de protecció de dades, fins i tot sent conscients de les dificultats que poden tindre els organismes públics per a contractar proveïdors de serveis de cloud amb garanties, posen de manifest en l’informe la importància de complir amb els requeriments del Reglament General de Protecció de Dades tenint en compte la naturalesa i la quantitat de dades personals que manegen.
A continuació es recullen de manera sistemàtica algunes de les recomanacions per a organismes públics que s’expliquen en l’informe de forma més detallada:
- Implicar el delegat de protecció de dades;
- Realitzar una Avaluació d’Impacte en la Protecció de Dades;
- Garantir que els rols de responsable del tractament i encarregat siguen clara i inequívocament determinats;
- Garantir que el proveïdor de cloud computing actua com a encarregat seguint les instruccions que li ha facilitat l’organisme públic;
- Garantir que l’organisme públic puga oposar-se al fet que altres encarregats tracten les dades;
- Vigilar que les dades personals només es tracten per als fins determinats;
- Cooperar amb altres organismes públics en la contractació de proveïdors de cloud;
- Revisar si els tractaments es realitzen d’acord amb l’avaluació d’impacte;
- Identificar si el proveïdor de serveis de cloud realitza el tractament de dades en un país fora de la UE. Si és aqueix el cas, s’ha de tindre en compte l’aplicable a les transferències internacionals de dades segons el RGPD;
- Analitzar si la legislació del país d’origen de proveïdor de serveis de cloud permet que se li requerisca l’accés a les dades que emmagatzema en territori de la UE;
- Comprovar que l’organisme públic té la possibilitat de realitzar auditories al proveïdor de serveis de cloud i assegurar que es realitzen;
- Examinar el contracte amb el proveïdor de serveis i, si fora necessari, renegociar-lo.
El EDPB ja està organitzant la posada en marxa d’una nova acció coordinada per a aquest any 2023, que abordarà la designació i situació dels delegats de protecció de dades.