Resultats de la primera acció europea que ha analitzat l'ús del núvol en el sector públic

L'Agència Espanyola de Protecció de Dades ( AEPD ) ha participat en  la primera acció coordinada d'autoritats europees de protecció de dades per a analitzar l'ús de servicis en el núvol per part del sector públic , una iniciativa realitzada en el marc de les actuacions coordinades del Comité Europeu de Protecció de Dades ( EDPB , per les seues sigles en anglés). Este document proporciona una visió integral per a identificar i fomentar les millors pràctiques, detectar possibles deficiències i realitzar recomanacions en la contractació i l'ús de servicis en el núvol per part dels organismes públics.

L'informe, que oferix una visió europea del sector públic en esta matèria, aglutina els resultats de les 22 autoritats de protecció de dades que han participat en la iniciativa i el Supervisor Europeu de Protecció de Dades. S'han estudiat un centenar d'organismes públics en el conjunt de països membres, 12 d'ells analitzats per l'AEPD, i abasta una àmplia gamma de sectors com a salut, finances, impostos, educació i proveïdors de servicis de tecnologies de la informació. La finalitat de l'informe global és contribuir a elevar el nivell de compliment i la protecció de les dades personals dels ciutadans, no solament a nivell nacional sinó també en el conjunt de la UE.

Per a dur-ho a terme, l'Agència va remetre un qüestionari a diversos organismes públics perquè estos identificaren els reptes als quals s'enfronten per a donar compliment al Reglament General de Protecció de Dades ( RGPD ) quan utilitzen servicis en el núvol en el desenvolupament de les seues activitats (procediments per a la seua contractació, qüestions relacionades amb les transferències internacionals de dades, el paper del delegat de protecció de dades, l'adopció de mesures complementàries i disposicions que regixen la relació entre responsables i encarregats del tractament, etc).

Les autoritats de protecció de dades, àdhuc sent conscients de les dificultats que poden tindre els organismes públics per a contractar proveïdors de servicis de cloud amb garanties, posen de manifest en l'informe la importància de complir amb els requeriments del Reglament General de Protecció de Dades tenint en compte la naturalesa i la quantitat de dades personals que manegen.

A continuació s'arrepleguen de manera sistemàtica algunes de les recomanacions per a organismes públics que s'expliquen en l'informe de forma més detallada:

• Implicar al delegat de protecció de dades;   
• Realitzar una Avaluació d'Impacte en la Protecció de Dades;
• Garantir que els rols de responsable del tractament i encarregat estiguen clara i inequívocament determinats;
• Garantir que el proveïdor de cloud computing actua com a encarregat  seguint les instruccions que li ha facilitat l'organisme públic;
• Garantir que l'organisme públic puga oposar-se al fet que altres encarregats tracten les dades;
• Vigilar que les dades personals només es tracten per a les finalitats determinades;
• Cooperar amb altres organismes públics en la contractació de proveïdors de cloud;
• Revisar si els tractaments es realitzen d'acord amb l'avaluació d'impacte;
• Identificar si el proveïdor de servicis de cloud realitza el tractament de dades en un país fora de la UE. Si és eixe el cas, s'ha de tindre en compte l'aplicable a les transferències internacionals de dades segons el RGPD;
• Analitzar si la legislació del país d'origen de proveïdor de servicis de cloud permet que se li requerisca l'accés a les dades que emmagatzema en territori de la UE;
• Comprovar que l'organisme públic té la possibilitat de realitzar auditories al proveïdor de servicis de cloud i assegurar que es realitzen;
• Examinar el contracte amb el proveïdor de servicis i, si fóra necessari, renegociar-ho.

El EDPB ja està organitzant la posada en marxa d'una nova acció coordinada per a enguany 2023, que abordarà la designació i situació dels delegats de protecció de dades.

Font original de la notícia