Servizi cloud per le PA e protezione dei dati: cosa prevede il nuovo Regolamento ACN

L’Agenzia per la cybersicurezza nazionale (ANC) il 27 giugno 2024 ha adottato il Regolamento unico per le infrastrutture e i servizi cloud per la pubblica amministrazione (regolamentocloud (acn.gov.it).
Si tratta di un testo che definisce le misure tecnico-organizzative e le modalità di qualificazione e adeguamento di servizi e infrastrutture cloud delle PA, in sostituzione del precedente Regolamento AGID.

Tale Regolamento si inserisce all’interno della Strategia Cloud Italia (innovazione.gov.it) che si pone l’obiettivo di guidare e favorire l’adozione sicura e controllata delle tecnologie cloud da parte del settore pubblico, in linea con i principi di protezione dei dati personali.

Dal 1° agosto 2024 avrà inizio il regime ordinario di qualificazione dell’offerta dei servizi cloud che consente all’ACN di svolgere verifiche preventive sul livello di conformità dei servizi cloud offerti da operatori privati, dei quali si possono avvalere le PA in alternativa all’erogazione in proprio dei servizi digitali. Il processo di qualificazione dei servizi cloud permetterà di regolare e semplificare l’acquisizione di tali servizi da parte delle amministrazioni

Le PA hanno la possibilità di consultare il catalogo ACN (Catalogo delle Infrastrutture digitali e dei Servizi cloud - ACN) per individuare i servizi e il livello di qualificazione concesso e per verificare in via preventiva se sono conformi al livello di classificazione necessario per gestire i propri dati o servizi.  

Le classi dei dati

Al fine di scegliere servizi cloud qualificati, il primo passo che una PA deve compiere riguarda la predisposizione di un elenco dei dati e dei propri servizi digitali, che includa la loro caratterizzazione e classificazione. Grazie a questa classificazione viene stabilito l’impatto dei servizi e dei dati trattati da una PA in relazione al loro livello di criticità per il Paese.

L’articolo 3 del Regolamento al paragrafo 2 individua tre classi di dati:

1. strategici, se la loro compromissione può determinare un pregiudizio alla sicurezza nazionale;
2. critici, se la loro compromissione può determinare un pregiudizio al mantenimento di funzioni rilevanti per la società, la salute, la sicurezza pubblica e il benessere economico e sociale del Paese;
3. ordinari, qualora la loro compromissione non determini i pregiudizi di cui alle lettere b) e c).

Fonti per la classificazione

Le modalità per la predisposizione e l’aggiornamento dell’elenco e della classificazione dei dati e dei servizi digitali sono state elaborate tenendo in considerazione:

1. il rischio e l’evoluzione della minaccia di natura cibernetica;
2. la normativa e gli standard nazionali, europei e internazionali;
3. in presenza di dati personali, i rischi per i diritti e le libertà delle persone fisiche diversificati sulla base della tipologia di dato trattato e delle categorie di interessati coinvolti.

Particolare attenzione è stata rivolta ai dati che sono riconducibili a categorie di soggetti vulnerabili, se si tratta di categorie particolari di dati previste dall’articolo 9 GDPR (tra cui quelli relativi alla salute) o dati personali relativi a condanne penali e reati di cui all’articolo 10 del GDPR.

Il processo di classificazione

L’ACN, con l’obiettivo di fornire un aiuto concreto alle PA nella predisposizione dell’elenco e della classificazione dei propri dati e servizi digitali, ha reso disponibile una piattaforma digitale accessibile tramite la sezione “cloud” del suo sito istituzionale (Classifica PA - PA digitale 2026).

Le funzionalità offerte da questa piattaforma, in particolare, permettono alle PA di scegliere una delle seguenti opzioni:

1. Accettare, se ritenuto esaustivo, l’elenco predefinito di dati e/o servizi, già corredati dalla relativa classificazione;
2. Qualora non siano trattati tutti i dati e/o i servizi digitali presenti nell’elenco predefinito, compilare il questionario per modificare l’elenco predefinito, eliminando i dati e i servizi che non sono trattati. Trasmesso il questionario, sarà l’ACN ad effettuare la verifica di conformità entro 90 giorni e a comunicare l’approvazione mediante la medesima piattaforma digitale;
3. Qualora siano trattati ulteriori dati e/o servizi digitali rispetto a quelli presenti nell’elenco predefinito, compilare il questionario ed integrare l’elenco predefinito e la relativa classificazione. Anche in questo caso sarà necessario inviare i questionari con la nuova classificazione per ogni dato e servizio digitale trattato e non presente nell’elenco predefinito per la verifica di conformità da parte dell’ANC;
4. Qualora non sia ritenuta coerente la classificazione proposta per dei dati e/o dei servizi digitali presenti nell’elenco predefinito, variare la relativa classificazione. In tal caso, l’elenco trasmesso all’ACN per la verifica di conformità dovrà riportare la variazione di classificazione per ogni dato e servizio trattato e di cui non si ritiene la classificazione proposta coerente.

In deroga alle opzioni fin qui previste, le PA, per motivate e documentate ragioni di natura normativa o tecnica, possono presentare telematicamente ad ACN l’elencazione e la classificazione dei propri dati e servizi digitali, unitamente alle motivazioni e all’analisi del rischio svolta per addivenire alla classificazione prodotta, secondo il modello reso disponibile tramite i canali di comunicazione dell’ACN.

Ruoli privacy e obblighi connessi

L’ACN chiarisce i ruoli delle PA ai sensi della normativa in materia di protezione dei dati personali prevedendo che la PA è Titolare del trattamento di dati personali effettuati nell’ambito delle infrastrutture digitali per le PA, delle infrastrutture dei servizi cloud per le PA e dei servizi cloud per le PA.

Gli operatori di infrastrutture digitali, i fornitori di servizi cloud e gli ulteriori soggetti coinvolti nei trattamenti di dati personali operano come Responsabili del trattamento.

I relativi obblighi stabiliti per i fornitori richiamano le previsioni del GDPR e riguardano, in particolare, la gestione dei subfornitori, dei trasferimenti di dati personali tramite il cloud al di fuori dello Spazio Economico Europeo e delle violazioni di dati personali (data breach).

Per le violazioni dei dati personali contenuti nelle infrastrutture digitali e nei servizi cloud delle PA, resta ferma la competenza del Garante privacy; tuttavia, si segnala che l’ACN comunica al Garante le evidenze, di cui venga a conoscenza, relative a possibili violazioni di dati personali.