Resultados da primeira acción europea que analizou o uso da nube no sector público

A Axencia Española de Protección de Datos ( AEPD ) participou en  a primeira acción coordinada de autoridades europeas de protección de datos para analizar o uso de servizos na nube por parte do sector público , unha iniciativa realizada no marco das actuacións coordinadas do Comité Europeo de Protección de Datos ( EDPB , polas súas siglas en inglés). Este documento proporciona unha visión integral para identificar e fomentar as mellores prácticas, detectar posibles deficiencias e realizar recomendacións na contratación e o uso de servizos na nube por parte dos organismos públicos.

O informe, que ofrece unha visión europea do sector público nesta materia, aglutina os resultados das 22 autoridades de protección de datos que participaron na iniciativa e o Supervisor Europeo de Protección de Datos. Estudáronse un centenar de organismos públicos no conxunto de países membros, 12 deles analizados pola AEPD, e abarca unha ampla gama de sectores como saúde, finanzas, impostos, educación e provedores de servizos de tecnoloxías da información. A finalidade do informe global é contribuír a elevar o nivel de cumprimento e a protección dos datos persoais dos cidadáns, non só a nivel nacional senón tamén no conxunto da UE.

Para levalo a cabo, a Axencia remitiu un cuestionario a diversos organismos públicos para que estes identificasen os retos aos que se enfrontan para dar cumprimento ao Regulamento Xeral de Protección de Datos ( RGPD ) cando utilizan servizos na nube no desenvolvemento das súas actividades (procedementos para a súa contratación, cuestións relacionadas coas transferencias internacionais de datos, o papel do delegado de protección de datos, a adopción de medidas complementarias e disposicións que rexen a relación entre responsables e encargados do tratamento, etc.).

As autoridades de protección de datos, aínda sendo conscientes das dificultades que poden ter os organismos públicos para contratar provedores de servizos de cloud con garantías, pon de manifesto no informe a importancia de cumprir cos requirimentos do Regulamento Xeral de Protección de Datos tendo en conta a natureza e a cantidade de datos persoais que manexan.

A seguir recóllense de maneira sistemática algunhas das recomendacións para organismos públicos que se explican no informe de forma máis detallada:

• Implicar ao delegado de protección de datos;   
• Realizar unha Avaliación de Impacto na Protección de Datos;
• Garantir que os roles de responsable do tratamento e encargado estean clara e inequivocamente determinados;
• Garantir que o provedor de cloud computing actúa como encargado  seguindo as instrucións que lle facilitou o organismo público;
• Garantir que o organismo público poida oporse a que outros encargados traten os datos;
• Vixiar que os datos persoais só se traten para os fins determinados;
• Cooperar con outros organismos públicos na contratación de provedores de cloud;
• Revisar se os tratamentos realízanse de acordo con a avaliación de impacto;
• Identificar se o provedor de servizos de cloud realiza o tratamento de datos nun país fóra da UE. Se é ese o caso, débese ter en conta o aplicable ás transferencias internacionais de datos segundo o RGPD;
• Analizar se a lexislación do país de orixe de provedor de servizos de cloud permite que se lle requira o acceso aos datos que almacena en territorio da UE;
• Comprobar que o organismo público ten a posibilidade de realizar auditorías ao provedor de servizos de cloud e asegurar que se realizan;
• Examinar o contrato co provedor de servizos e, se fose necesario, renegocialo.

O EDPB xa está a organizar a posta en marcha dunha nova acción coordinada para este ano 2023, que abordará a designación e situación dos delegados de protección de datos.

Fonte orixinal da noticia