Progetto CEBA della Cancelleria federale
L'IFPDT accompagna il progetto «Cloud Enabling Büroautomation» (CEBA) nella sua funzione di autorità di vigilanza. Al momento l'attenzione è rivolta alla valutazione d'impatto sulla protezione dei dati effettuata dall'amministrazione e all'attuazione della misura di etichettatura della confidenzialità dei documenti dell’amministrazione federale (cosiddetto labeling).
Il progetto «Cloud Enabling Büroautomation (CEBA)», avviato nel 2019, è gestito dal Settore «Trasformazione digitale e governance delle TIC» (Settore TDT) della Cancelleria federale (CaF). L'obiettivo del progetto è sostituire la suite di prodotti Office «Microsoft Office LTSC Professional Plus 2021» attualmente utilizzata nei sistemi di postazione di lavoro dell'Amministrazione federale con la soluzione basata su cloud «Microsoft Office 365» (M365). Il settore TDT ha coinvolto l’IFPDT nel progetto in una fase precoce. L’IFPDT ha quindi informato regolarmente sul progetto di outsourcing nell'Amministrazione federale (cfr. comunicato del 7 marzo 2023; 30° rapporto di attività 2022/2023; 31° rapporto di attività 2023/2024).
Dopo che, dal lancio del progetto, l'IFPDT è riuscito tra l'altro a far sì che il settore TDT esaminasse alternative a Microsoft Office 365 utilizzabili a medio termine (secondo il comunicato stampa del Consiglio federale del 15.02.2023: La Confederazione introduce Microsoft 365), l'attenzione della sua consulenza in materia di vigilanza è ora rivolta all'adeguamento e alla precisazione della valutazione d'impatto sulla protezione dei dati (VIPD) elaborata dal settore TDT e alla formazione iniziale del personale della Confederazione.
L'IFPDT ha chiesto che venga verificata la proporzionalità di una soluzione federale basata sul cloud e che vengano analizzati e valutati i rischi rilevanti per la protezione dei dati, in particolare per quanto riguarda l'accesso da parte delle autorità straniere e la dipendenza da fornitori di servizi cloud dominanti sul mercato. Con le sue prese di posizione sulle versioni costantemente aggiornate della VIPD l'IFPDT mira ad una descrizione più precisa dei rischi sostanziali e ad una definizione più chiara delle misure necessarie per ridurre al minimo i rischi. Attualmente, il settore TDT sta lavorando per aggiungere le dovute precisazioni e integrazioni. Allo stesso tempo, vengono effettuati audit indipendenti, i cui risultati dovrebbero essere presi in considerazione nella prossima versione della VIPD.
Una misura importante per ridurre al minimo i rischi del progetto CEBA è l'etichettatura della confidenzialità dei documenti dell'Amministrazione federale, il cosiddetto labeling. Questo per evitare che documenti contenenti dati personali sensibili o confidenziali (documenti classificati) siano registrati nel cloud. Tali documenti devono continuare ad essere trattati solo nei centri di calcolo dell’Amministrazione federale. A questo scopo, il personale federale deve essere adeguatamente formato. Alcuni collaboratori dell'IFPDT hanno partecipato ai primi corsi di formazione per garantire il rispetto dei requisiti di protezione dei dati e di sicurezza.