La Conferenza degli Incaricati svizzeri per la protezione dei dati, PRIVATIM, ha adottato una risoluzione sulle soluzioni cloud  tramite la quale afferma che  l’esternalizzazione di dati personali, che sono particolarmente degni di protezione o soggetti a un obbligo legale di riservatezza, da parte di enti pubblici verso soluzioni cloud di grandi provider internazionali (come Microsoft, Google o Amazon) è nella maggior parte dei casi inammissibile.

Gli enti pubblici, pur potendo essere interessati a servizi SaaS, hanno una responsabilità particolare verso i dati dei cittadini e devono garantirne protezione e sicurezza. Prima di esternalizzare i dati personali nei servizi cloud, le autorità devono quindi analizzare i rischi particolari in singoli casi, indipendentemente dalla sensibilità dei dati, e ridurli a un livello sostenibile con misure adeguate (cfr. foglio informativo cloud di privatim). Da questo punto di vista, le soluzioni SaaS offerte dalle big tech americane  presentano rischi significativi, come la mancanza di crittografia end-to-end, una scarsa trasparenza sulle misure di sicurezza, catene complesse di subappaltatori, perdita di controllo sui dati, incertezze giuridiche per le informazioni soggette a segreto professionale e rischi legati al CLOUD Act statunitense, che consente alle autorità USA di accedere ai dati anche se conservati in Svizzera.

In conclusione, PRIVATIM afferma che l’utilizzo di tali servizi è accettabile solo se gli enti pubblici crittografano autonomamente i dati personali e mantengono esclusivamente loro il controllo delle chiavi di cifratura, impedendo qualsiasi accesso al fornitore cloud.

‍