g-docweb-display Portlet

Parere all’AgID sullo schema di regolamento in materia di servizi cloud per la pubblica amministrazione, ai sensi dell’art. 33-septies del d.l. 179/2012 - 16 dicembre 2021 [9740711]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9740711 ]

Parere all’AgID sullo schema di regolamento in materia di servizi cloud per la pubblica amministrazione, ai sensi dell’art. 33-septies del d.l. 179/2012 - 16 dicembre 2021

Registro dei provvedimenti
n. 449 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 33-septies del decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, come da ultimo modificato dall’art. 7, comma 3, del decreto legge 6 novembre 2021, n. 152, ai sensi del quale, in particolare:

“1. Al fine di tutelare l'autonomia tecnologica del Paese, consolidare e mettere in sicurezza le infrastrutture digitali delle pubbliche amministrazioni di cui all'articolo 2, comma 2, lettere a) e c) del decreto legislativo 7 marzo 2005, n. 82, garantendo, al contempo, la qualità, la sicurezza, la scalabilità, l'efficienza energetica, la sostenibilità economica e la continuità operativa dei sistemi e dei servizi digitali, la Presidenza del Consiglio dei ministri promuove lo sviluppo di un'infrastruttura ad alta affidabilità localizzata sul territorio nazionale per la razionalizzazione e il consolidamento dei Centri per l'elaborazione delle informazioni (CED) definiti al comma 2, destinata a tutte le pubbliche amministrazioni. Le amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nel rispetto dei principi di efficienza, efficacia ed economicità dell'azione amministrativa, migrano i loro Centri per l'elaborazione delle informazioni (CED) e i relativi sistemi informatici, privi dei requisiti fissati dal regolamento di cui al comma 4, verso l'infrastruttura di cui al primo periodo o verso altra infrastruttura propria già esistente e in possesso dei requisiti fissati dallo stesso regolamento di cui al comma 4. Le amministrazioni centrali, in alternativa, possono migrare i propri servizi verso soluzioni cloud, nel rispetto di quanto previsto dal regolamento di cui al comma 4.

1-bis. Le amministrazioni locali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nel rispetto dei principi di efficienza, efficacia ed economicità dell'azione amministrativa, migrano i loro Centri per l'elaborazione delle informazioni (CED) e i relativi sistemi informatici, privi dei requisiti fissati dal regolamento di cui al comma 4, verso l'infrastruttura di cui al comma 1 o verso altra infrastruttura già esistente in possesso dei requisiti fissati dallo stesso regolamento di cui al comma 4. Le amministrazioni locali, in alternativa, possono migrare i propri servizi verso soluzioni cloud nel rispetto di quanto previsto dal regolamento di cui al comma 4.

1-ter. L'Agenzia per l'Italia digitale (AgID), effettua con cadenza triennale, anche con il supporto dell'Istituto Nazionale di Statistica, il censimento dei Centri per l'elaborazione delle informazioni (CED) della pubblica amministrazione di cui al comma 2 e, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri, nel rispetto di quanto previsto dai commi 1 e 1-bis e dalla disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, definisce nel Piano triennale per l'informatica nella pubblica amministrazione la strategia di sviluppo delle infrastrutture digitali delle amministrazioni di cui all'articolo 2, comma 2, lettere a) e c), del decreto legislativo 7 marzo 2005, n. 82, e la strategia di adozione del modello cloud per la pubblica amministrazione, alle quali le amministrazioni si attengono. Per la parte relativa alla strategia di sviluppo delle infrastrutture digitali e della strategia di adozione del modello cloud delle amministrazioni locali è sentita la Conferenza unificata di cui all'articolo 8 del decreto legislativo 28 agosto 1997, n. 281.

2. Con il termine CED è da intendere il sito che ospita uno o più sistemi informatici atti alla erogazione di servizi interni alle amministrazioni pubbliche e servizi erogati esternamente dalle amministrazioni pubbliche che al minimo comprende risorse di calcolo, apparati di rete per la connessione e sistemi di memorizzazione di massa.

3. Dalle attività previste al comma 1 sono esclusi i CED soggetti alla gestione di dati classificati secondo la normativa in materia di tutela amministrativa delle informazioni coperte da segreto di Stato e di quelle classificate nazionali secondo le direttive dell'Autorità nazionale per la sicurezza (ANS) che esercita le sue funzioni tramite l'Ufficio centrale per la segretezza (UCSe) del Dipartimento delle informazioni per la sicurezza (DE).

4. L'Agenzia per la cybersicurezza nazionale, con proprio regolamento, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri, nel rispetto della disciplina introdotta dal decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, stabilisce i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione, ivi incluse le infrastrutture di cui ai commi 1. Definisce, inoltre, le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione. Con lo stesso regolamento sono individuati i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni di cui ai commi 1 e 1-bis nonché le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione.

4-bis. Le disposizioni del presente articolo si applicano, fermo restando quanto previsto dalla legge 3 agosto 2007, n. 124, nel rispetto dell'articolo 2, comma 6, del decreto legislativo 7 marzo 2005, n. 82 e della disciplina e dei limiti derivanti dall'esercizio di attività e funzioni in materia di ordine e sicurezza pubblici, di polizia giudiziaria, nonché quelle di difesa e sicurezza nazionale svolte dalle infrastrutture digitali dell'amministrazione della difesa.

4-quater. Gli obblighi di migrazione previsti ai commi precedenti non si applicano alle amministrazioni che svolgono le funzioni di cui all'articolo 2, comma 6, del decreto legislativo 7 marzo 2005, n. 82.

[…]”;

VISTO l’art. 17, comma 6, ultimo periodo, del decreto legge 14 giugno 2021, n. 82, convertito, con modificazioni, legge 4 agosto 2021, n. 109, ai sensi del quale “Nelle more dell'adozione dei decreti di cui al comma 5, il regolamento di cui all'articolo 33-septies, comma 4, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, è adottato dall'AgID, d'intesa con la competente struttura della Presidenza del Consiglio dei ministri”;

VISTO l’art. 7, comma 2, del già citato d.l. 152/2021, che, nel modificare l’art. 11 del decreto legge 31 maggio 2021, n. 77, ha introdotto un comma 3-bis che stabilisce che “La Presidenza del Consiglio dei ministri si avvale della società Difesa servizi S.p.A. di cui all'articolo 535 del decreto legislativo 15 marzo 2010, n. 66, in qualità di centrale di committenza, per l'espletamento delle procedure di gara relative all'infrastruttura di cui all'articolo 33-septies, comma 1, del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221. Con apposite convenzioni da stipularsi fra la Presidenza del Consiglio dei ministri, il Ministero della difesa e la società Difesa servizi S.p.A. sono definite le modalità di attuazione del presente comma […]”;

VISTA la richiesta di parere, pervenuta in data 5 ottobre 2021, con la quale l’Agenzia per l’Italia digitale (di seguito, AgID) ha sottoposto all’Autorità lo schema di “Regolamento per stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, di sicurezza, di performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione”, comprensivo di due allegati, di cui al richiamato art. 33-septies, comma 4, del d.l. 179/2012;

RILEVATO che tale schema si occupa di (art. 2): stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la pubblica amministrazione; definire le caratteristiche di qualità, di sicurezza, di performance e scalabilità, interoperabilità, portabilità dei servizi cloud per la pubblica amministrazione; individuare i termini e le modalità con cui le amministrazioni devono effettuare le migrazioni, stabilendo a questo fine il processo e le modalità per la classificazione dei dati e dei servizi digitali; individuare le modalità del procedimento di qualificazione dei servizi cloud per la pubblica amministrazione;

RILEVATO che, al riguardo, lo schema in esame disciplina, nello specifico, i seguenti aspetti:

con riferimento a “Elenco, caratterizzazione e classificazione dei dati e dei servizi della pubblica amministrazione” (capo II):

l’obbligo per le amministrazioni di predisporre ed aggiornare un elenco dei loro dati e dei loro servizi digitali, comprensivi delle relazioni sia con i dati e servizi digitali delle altre amministrazioni che con i dati e servizi di terzi, individuando le seguenti tre classi di dati e servizi digitali: strategici, critici e ordinari (art. 3);

l’adozione di un modello, da parte dell’Agenzia per la cybersicurezza nazionale (di seguito, ACN), d’intesa con il Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri (di seguito, DTD), per la predisposizione e l’aggiornamento dell’elenco e della classificazione di cui all’art. 3, elaborato “in relazione al rischio e all’evoluzione della minaccia di natura cibernetica” e “tenuto conto della normativa e degli standard nazionali, europei e internazionali” (art. 4);

il processo di trasmissione dell’elenco e della classificazione di cui all’art. 3 da parte delle amministrazioni nei confronti dell’ACN, la quale procede con la successiva verifica di conformità (art. 5);

con riferimento ai “Livelli minimi delle infrastrutture digitali e caratteristiche dei servizi cloud per la pubblica amministrazione” (capo III), la definizione, nonché l’aggiornamento periodico, dei livelli minimi di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità delle infrastrutture digitali per la pubblica amministrazione, nonché delle caratteristiche dei servizi cloud per la pubblica amministrazione, da parte dell’ACN, con riferimento a ciascuna delle tre classi in cui sono classificati i dati e i servizi digitali (artt. 6-8 e all. A e B);

con riferimento alla “Migrazione dei dati e dei servizi della pubblica amministrazione” (capo IV):

la migrazione di dati e servizi digitali verso le infrastrutture digitali che rispettino, in relazione alla richiamata classificazione di cui all’art. 3, i livelli minimi di cui all’art. 7, ovvero verso i servizi cloud che rispettino le caratteristiche di cui all’art. 8, e abbiano ottenuto la qualificazione ai sensi dell’art. 13 (art. 9);

l’obbligo per le amministrazioni di predisporre il piano di migrazione dei loro dati e servizi digitali secondo il modello adottato dal DTD, d’intesa con l’ACN, piano su cui il medesimo DTD, anche avvalendosi di AgID, effettua la verifica di conformità a fini di convalida (art. 10);

con riferimento alla “Qualificazione dei servizi cloud per la pubblica amministrazione” (capo V):

la qualificazione, da parte dell’ACN, d’intesa con il DTD, dei servizi cloud per la pubblica amministrazione secondo quattro tipologie, attraverso le quali erogare i dati e i servizi digitali classificati ai sensi dell’art. 3, criteri che devono essere elaborati “in relazione al rischio e all’evoluzione della minaccia tecnica di natura cibernetica”, “tenuto conto della normativa e degli standard nazionali, europei e internazionali” e “in considerazione degli schemi di certificazione europei progressivamente adottati ai sensi del Regolamento CSA [regolamento (UE) 2019/881]” (art. 11);

le modalità di trasmissione all’ACN, da parte dei soggetti richiedenti, della domanda di qualificazione dei servizi cloud (art. 12);

la verifica di conformità, svolta dall’ACN, sulla predetta domanda, ai fini del riconoscimento della qualificazione del servizio cloud per la pubblica amministrazione, della durata massima di due anni ma revocabile in caso di sopraggiunti elementi di criticità;

CONSIDERATO che lo schema di regolamento in esame non tiene in adeguata considerazione i profili di protezione dei dati personali non essendo prevista, in particolare, una valutazione degli specifici rischi per i diritti e le libertà degli interessati presentati dai trattamenti di dati personali destinati a essere posti in essere in attuazione del medesimo regolamento tramite infrastrutture digitali, nonché nell’avvalimento di servizi cloud, anche in termini di rispetto del principio di integrità e riservatezza e degli obblighi di sicurezza (artt. 5, par. 1, lett. f), e 32 del Regolamento), oltre che degli altri principi di cui agli artt. 5 e 25 del medesimo Regolamento;

CONSIDERATO, in generale, che le amministrazioni sono tenute a individuare i ruoli dei vari soggetti coinvolti nei trattamenti di dati personali connessi ai processi disciplinati dallo schema in esame (responsabili e sub-responsabili del trattamento), in conformità a quanto disposto dall’art. 28 del Regolamento, nonché adeguate garanzie in termini di trasparenza nei confronti degli interessati, nel rispetto dei principi di liceità, correttezza e trasparenza e di limitazione della finalità di cui all’art. 5, par. 1, lett. a) e b), del medesimo Regolamento;

CONSIDERATO, altresì, che gli aspetti di sicurezza devono essere focalizzati, al fine di una loro compiuta valutazione preliminare all’esercizio dei servizi cloud, non solo sui tradizionali rischi informatici relativi alle componenti infrastrutturali e ai servizi erogati, ma anche sulla potenziale lesività (rispetto a diritti e libertà delle persone fisiche) dei trattamenti che potranno essere realizzati dalle amministrazioni fruitrici dei servizi cloud, prevedendo idonee misure e accorgimenti per garantire la confidenzialità, l’integrità e la disponibilità dei dati e per prevenire violazioni dei dati personali trattati; ciò induce a ritenere che già la predisposizione delle infrastrutture e dei servizi di base, debba avvenire tenendo conto dei differenti scenari applicativi e prevedendo differenziati livelli di sicurezza, nel senso più ampio qui accennato, in base alle prevedibili caratteristiche del dominio applicativo, tenuto conto anche della variegata tipologia dei soggetti pubblici che fruiranno dei servizi cloud e delle differenti tipologie di dati trattati;

CONSIDERATO, pertanto, che lo schema di regolamento necessita di essere integrato, tenendo conto delle seguenti condizioni:

1) con riferimento alla classificazione dei dati e dei servizi digitali delle amministrazioni (art. 3 dello schema), tenere altresì conto dei rischi per i diritti e le libertà delle persone fisiche allorché ci si trovi in presenza di trattamenti di dati personali, rischi peraltro da diversificare anche rispetto alle tipologie di dati personali coinvolti (dati personali c.d. comuni, categorie particolari di dati personali di cui all’art. 9 del Regolamento, dati personali relativi a condanne penali e reati di cui all’art. 10 del Regolamento) e alle categorie di interessati (ad esempio, soggetti vulnerabili, minori, ecc.);

2) al fine di consentire una più compiuta valutazione dei profili in materia di protezione dei dati personali, e, quindi, di assicurare le necessarie garanzie a tutela degli interessati, prevedere il coinvolgimento del Garante nell’elaborazione dei modelli e criteri adottati dagli organismi indicati nello schema di regolamento (ACN e DTD), tra cui rientrano, in particolare: il modello volto alla predisposizione e all’aggiornamento dell’elenco e della classificazione dei dati e dei servizi digitali (art. 4 dello schema); gli ulteriori livelli minimi di sicurezza, di capacità elaborativa e di affidabilità che le infrastrutture della pubblica amministrazione devono rispettare per trattare i dati e i servizi digitali (art. 7, comma 3, dello schema); le caratteristiche di qualità, di sicurezza, di performance e di scalabilità dei servizi cloud per la pubblica amministrazione che possono trattare i dati e i servizi digitali (art. 8, comma 3, dello schema); il modello sulla base del quale le amministrazioni sono tenute a predisporre il piano di migrazione dei loro dati e servizi digitali (art. 10 dello schema); i criteri per la qualificazione dei servizi cloud per la pubblica amministrazione (art. 11 dello schema);

3) prevedere che i livelli minimi di base di sicurezza, di capacità elaborativa, di risparmio energetico e di affidabilità delle infrastrutture per la pubblica amministrazione (art. 7 e all. A dello schema) e le caratteristiche di base di qualità, di sicurezza, di performance e di scalabilità, di interoperabilità, di portabilità dei servizi cloud per la pubblica amministrazione (art. 8 e all. B dello schema) siano conformi ai principi e alle regole stabiliti dalla disciplina in materia di protezione dei dati personali;

4) con riferimento al processo di migrazione dei dati e dei servizi digitali verso le infrastrutture digitali che rispettano i livelli minimi di cui all’art. 7, ovvero verso i servizi cloud che rispettano le caratteristiche di cui all’art. 8 e abbiano ottenuto la qualificazione ai sensi dell’art. 13 (artt. 9 e 10 dello schema):

4.1) individuare i soggetti coinvolti nel processo di migrazione e i ruoli e le responsabilità da costoro assunti sul piano della protezione dei dati personali, nonché le modalità attraverso le quali si intende definire, nei rapporti tra tali soggetti, le misure volte ad assicurare, nel trattamento dei dati personali, la tutela dei diritti degli interessati;

4.2) nel caso che tale migrazione coinvolga fornitori o subfornitori stabiliti fuori dallo Spazio economico europeo (SEE), assicurare il rispetto degli artt. 44 e ss. del Regolamento in relazione al trasferimento di dati personali verso Paesi terzi, alla luce della c.d. sent. Schrems II della Corte di giustizia dell’UE (sent. del 16 luglio 2020, causa C-311/18) e delle raccomandazioni del Comitato europeo per la protezione dei dati (cfr., spec., “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE”, adottate il 10 novembre 2020), con particolare riferimento alla necessità di garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati, comprese quelle volte ad impedire l’accesso ai dati personali da parte delle autorità del Paese terzo in questione sulla base di disposizioni che non siano proporzionate e necessarie in una società democratica. Ciò, ponderando rigorosamente le criticità derivanti dall’eventuale avvalimento di servizi cloud offerti da fornitori o subfornitori stabiliti fuori dal SEE in ragione delle caratteristiche del trattamento che si intende effettuare;

RITENUTO pertanto, alla luce di quanto rappresentato, di esprimere parere favorevole sullo schema di regolamento in esame, a condizione che si provveda a recepire le condizioni formulate ai suesposti punti da 1) a 4), al fine di introdurre le garanzie necessarie a tutelare adeguatamente i diritti e le libertà fondamentali degli interessati, considerato che le infrastrutture digitali di cui si avvalgono le pubbliche amministrazioni e, in alternativa, il ricorso, da parte di queste ultime, a servizi cloud per l’erogazione di servizi digitali, comportano il trattamento dei dati personali, anche appartenenti alle categorie di cui agli artt. 9 e 10 del Regolamento, riferiti a tutta la popolazione italiana e necessari per l’esecuzione dei compiti di interesse pubblico che l’ordinamento affida a ciascuna amministrazione;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole con le condizioni individuate in motivazione (punti da 1) a 4)) sullo schema di “Regolamento per stabilire i livelli minimi di sicurezza, capacità elaborativa, risparmio energetico e affidabilità delle infrastrutture digitali per la PA e le caratteristiche di qualità, di sicurezza, di performance e scalabilità, portabilità dei servizi cloud per la pubblica amministrazione, le modalità di migrazione, nonché le modalità di qualificazione dei servizi cloud per la pubblica amministrazione” di cui all’art. 33-septies del d.l. 18 ottobre 2012, n. 179.

Roma, 16 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi