Registro dei provvedimenti
n. 289 del 9 maggio 2024
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);
VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);
VISTO l’art. 33-septies del d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla l. 17 dicembre 2012, n. 221, e ss.mm., ai sensi del quale, in particolare:
“1. Al fine di tutelare l'autonomia tecnologica del Paese, consolidare e mettere in sicurezza le infrastrutture digitali delle pubbliche amministrazioni di cui all'articolo 2, comma 2, lettere a) e c) del decreto legislativo 7 marzo 2005, n. 82, garantendo, al contempo, la qualità, la sicurezza, la scalabilità, l'efficienza energetica, la sostenibilità economica e la continuità operativa dei sistemi e dei servizi digitali, la Presidenza del Consiglio dei ministri promuove lo sviluppo di un'infrastruttura ad alta affidabilità localizzata sul territorio nazionale per la razionalizzazione e il consolidamento dei Centri per l'elaborazione delle informazioni (CED) definiti al comma 2, destinata a tutte le pubbliche amministrazioni. Le amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nel rispetto dei principi di efficienza, efficacia ed economicità dell'azione amministrativa, migrano i loro Centri per l'elaborazione delle informazioni (CED) e i relativi sistemi informatici, privi dei requisiti fissati dal regolamento di cui al comma 4, verso l'infrastruttura di cui al primo periodo o verso altra infrastruttura propria già esistente e in possesso dei requisiti fissati dallo stesso regolamento di cui al comma 4. Le amministrazioni centrali, in alternativa, possono migrare i propri servizi verso soluzioni cloud, nel rispetto di quanto previsto dal regolamento di cui al comma 4.
1-bis. Le amministrazioni locali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n.196, nel rispetto dei principi di efficienza, efficacia ed economicità dell'azione amministrativa, migrano i loro Centri per l'elaborazione delle informazioni (CED) e i relativi sistemi informatici, privi dei requisiti fissati dal regolamento di cui al comma 4, verso l'infrastruttura di cui al comma 1 o verso altra infrastruttura già esistente in possesso dei requisiti fissati dallo stesso regolamento di cui al comma 4. Le amministrazioni locali, in alternativa, possono migrare i propri servizi verso soluzioni cloud nel rispetto di quanto previsto dal regolamento di cui al comma 4. […]
2. Con il termine CED è da intendere il sito che ospita uno o più sistemi informatici atti alla erogazione di servizi interni alle amministrazioni pubbliche e servizi erogati esternamente dalle amministrazioni pubbliche che al minimo comprende risorse di calcolo, apparati di rete per la connessione e sistemi di memorizzazione di massa.
3. Dalle attività previste al comma 1 sono esclusi i CED soggetti alla gestione di dati classificati secondo la normativa in materia di tutela amministrativa delle informazioni coperte da segreto di Stato e di quelle classificate nazionali secondo le direttive dell'Autorità nazionale per la sicurezza (ANS) che esercita le sue funzioni tramite l'Ufficio centrale per la segretezza (UCSe) del Dipartimento delle informazioni per la sicurezza (DIS).
4. L'Agenzia per la cybersicurezza nazionale, con proprio regolamento, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri, nel rispetto della disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione, ivi incluse le infrastrutture di cui al comma 1. Definisce, inoltre, le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione. Con lo stesso regolamento sono individuati i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni di cui ai commi 1 e 1-bis nonché le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione.
4-bis. Le disposizioni del presente articolo si applicano, fermo restando quanto previsto dalla legge 3 agosto 2007, n. 124, nel rispetto dell'articolo 2, comma 6, del decreto legislativo 7 marzo 2005, n. 82 e della disciplina e dei limiti derivanti dall'esercizio di attività e funzioni in materia di ordine e sicurezza pubblici, di polizia giudiziaria, nonché quelle di difesa e sicurezza nazionale svolte dalle infrastrutture digitali dell'amministrazione della difesa. […]
4-quater. Gli obblighi di migrazione previsti ai commi precedenti non si applicano alle amministrazioni che svolgono le funzioni di cui all'articolo 2, comma 6, del decreto legislativo 7 marzo 2005, n. 82. […]”;
VISTO l’art. 17, comma 6, ultimo periodo, del d.l. 14 giugno 2021, n. 82, convertito, con modificazioni, dalla l. 4 agosto 2021, n. 109, ai sensi del quale, nelle more dell'operatività dell’Agenzia per la cybersicurezza nazionale (ACN), “il regolamento di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, è adottato dall'AgID, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri”;
VISTO il Regolamento recante i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, sicurezza, performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione, adottato, ai sensi del menzionato art. 33-septies, comma 4, del d.l. 179/2012 (in combinato disposto con l’art. 17, comma 6, ultimo periodo, del d.l. 82/2021), con determinazione del Direttore dell’Agenzia per l’Italia digitale (AgID) n. 628 del 2021, e su cui il Garante si è pronunciato con parere favorevole con condizioni (provv. n. 449 del 2021, disponibile su www.garanteprivacy.it, doc. web n. 9740711);
VISTA la nota inviata, da ultimo, il 4 aprile 2024, anche a seguito delle interlocuzioni intrattenute con l’Ufficio del Garante, con cui l’ACN ha trasmesso all’Autorità, ai fini dell’acquisizione del parere, lo schema di Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione, ai sensi dell’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 (corredato di quattro allegati), volto a sostituire il menzionato regolamento adottato dall’AglD nel 2021;
RILEVATO che lo schema di regolamento in esame (art. 2):
- “stabilisce i livelli minimi di sicurezza per le pubbliche amministrazioni, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per le pubbliche amministrazioni e delle infrastrutture dei servizi cloud per le pubbliche amministrazioni” (lett. a));
- “definisce le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per le pubbliche amministrazioni” (lett. b));
- “individua i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni. A tal fine stabilisce il processo e le modalità per la classificazione dei dati e dei servizi digitali” (lett. c));
- “definisce le modalità del procedimento di qualificazione dei servizi cloud per le pubbliche amministrazioni” (lett. d));
individuando, a questi fini, le modalità dei procedimenti di adeguamento delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e dei servizi cloud per le pubbliche amministrazioni;
RILEVATO, a tal riguardo, che lo schema di regolamento si occupa di disciplinare:
- la “Caratterizzazione e classificazione dei dati e dei servizi digitali della pubblica amministrazione” (capo II, artt. 3-5);
- i “Livelli minimi delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e caratteristiche dei servizi cloud per le pubbliche amministrazioni” (capo III, artt. 6-8);
- la “Migrazione dei dati e dei servizi digitali della pubblica amministrazione” (capo IV, artt. 9-11);
- l’“Adeguamento delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e qualificazione dei servizi cloud per le pubbliche amministrazioni” (capo V, artt. 12-21);
RILEVATO, inoltre, che l’art. 22 dello schema, dedicato specificamente alla disciplina del trattamento dei dati personali, stabilisce che:
“1. Le amministrazioni sono titolari dei trattamenti di dati personali effettuati nell’ambito delle infrastrutture digitali per le pubbliche amministrazioni, delle infrastrutture dei servizi cloud per le pubbliche amministrazioni e dei servizi cloud per le pubbliche amministrazioni.
2. Gli operatori di infrastrutture digitali, i fornitori di servizi cloud e gli ulteriori soggetti coinvolti nei trattamenti di dati personali di cui al comma 1 o nelle attività di migrazione dei dati e dei servizi digitali della pubblica amministrazione di cui al capo IV, nonché i soggetti di cui questi si avvalgono per l’esecuzione di specifiche attività di trattamento per conto delle amministrazioni, operano come responsabili del trattamento ai sensi dell’articolo 28 del regolamento (UE) 2016/679.
3. I soggetti di cui al comma 2 adottano misure tecniche e organizzative idonee a garantire una tempestiva e adeguata informazione delle amministrazioni in caso di violazione dei dati personali, ai sensi dell’articolo 33, paragrafo 2, del regolamento (UE) 2016/679.
4. Il ricorso ad altri responsabili del trattamento da parte dei soggetti di cui al comma 2 è disciplinato in conformità all’articolo 28, paragrafi 2 e 4, del regolamento (UE) 2016/679, prevedendo misure tecniche e organizzative per fornire alle amministrazioni idonei strumenti di controllo delle attività di trattamento effettuate sotto la propria responsabilità.
5. In caso di trasferimento di dati personali al di fuori dello Spazio economico europeo, i responsabili del trattamento di cui ai commi 2 e 4 sono tenuti ad attenersi alle istruzioni delle amministrazioni impartite ai sensi dell’articolo 28, paragrafo 3, lettera a), del regolamento (UE) 2016/679 e a mettere a disposizione delle stesse ogni informazione necessaria per valutare l’effettività delle misure appropriate poste in essere ai sensi del capo V del regolamento (UE) 2016/679.
6. Ferme restando le competenze del Garante per la protezione dei dati personali per le violazioni delle disposizioni contenute nel presente articolo, l’Agenzia per la cybersicurezza nazionale comunica al Garante le evidenze, di cui venga a conoscenza, relative a possibili violazioni dei dati personali”;
CONSIDERATO che lo schema di regolamento in esame tiene conto delle considerazioni formulate dal Garante nel dicembre 2021 sullo schema di regolamento all’epoca di competenza dell’AgID, nonché delle osservazioni fornite dall’Ufficio nel corso delle interlocuzioni informali intercorse al fine di rendere conformi i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, con specifico riferimento ai ruoli assunti dai soggetti coinvolti negli stessi (a partire dalle pubbliche amministrazioni, dagli operatori di infrastrutture digitali e dai fornitori di servizi cloud) e alla necessità che siano adottate misure adeguate per assicurare, in particolare, la circolazione delle informazioni in caso di violazione dei dati personali, il controllo da parte delle amministrazioni sulle attività svolte da tutti i responsabili e il rispetto delle garanzie in caso di trasferimento di dati personali al di fuori dello Spazio economico europeo;
RITENUTO, pertanto, di poter esprimere parere favorevole sullo schema di regolamento in esame;
VISTA la documentazione in atti:
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Pasquale Stanzione;
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di Regolamento per le infrastrutture digitali e per i servizi cloud per la pubblica amministrazione, ai sensi dell’articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, da adottarsi da parte dell’Agenzia per la cybersicurezza nazionale ai sensi dell’art. 33-septies, comma 4, del d.l. 18 ottobre 2012, n. 179.
Roma, 9 maggio 2024
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
FONTE GARANTE PRIVACY