Ogni giorno vengono generate quantità di dati esprimibili con cifre a 18 zeri che si accumulano in modo esponenziale con tassi di crescita annui di decine di punti percentuali. Mentre Cefriel conteggia così in un report l’ondata di informazioni prodotte e condivise negli ultimi decenni – tra e-mail, social network, e-commerce ma anche IoT e sistemi embedded – è importante quantificarne anche il valore e renderlo commensurabile a quello percepito dai loro proprietari.
Lasciare tracce digitali senza proteggerle per un individuo significa raccontare abitudini, personalità e, anche, punti deboli. I dati delle aziende sono altrettanto preziosi perché possono svelare processi produttivi, segreti industriali, utilizzi di macchinari ed eventuali vulnerabilità.
Se da sempre i dati sono fondamentali, con la digital transformation l’importanza di assicurarne la protezione e il corretto trattamento sono aumentati notevolmente. È chiaro che nessuno si può permettere un comportamento disinvolto. La consapevolezza del singolo, sia esso cittadino o organizzazione, non basta però: è necessario che il controllo dei dati diventi una priorità a livello di società civile e di ecosistema imprenditoriale e che i due soggetti collaborino guidati da questa urgenza.
Il valore dei dati, in Italia e in Europa
Dato l’indiscusso valore economico e strategico dei dati in circolazione, sia personali che aziendali, è necessario fare chiarezza sul significato e sulle modalità di controllo dei dati.
Il primo passo, il più evidente e che tocca tutti i processi, anche i più semplici, è quello dell’accesso ai dati. Esistono già numerose soluzioni e un susseguirsi di proposte tecnologicamente all’avanguardia sviluppate in risposta alle necessità di protezione. Oltre alla sicurezza informatica vi sono altre importanti esigenze, come quelle racchiuse nei tre acronimi DLP (Data Leak/Loss Prevention), DRM (Digital Rights Management) e UMA (User Managed Access), quest’ultimo proprio legato alla possibilità per il proprietario di controllare l’autorizzazione della condivisione dei dati.
Nel caso delle aziende, in particolare, ogni applicazione e ogni dispositivo utilizzato dai dipendenti produce e raccoglie dati, così come ogni sensore IoT e ogni macchinario, software o soluzione tecnologica. Si ha quindi un’enorme mole di dati che, prima di essere valorizzata per ottimizzare il business, va tenuta sotto controllo. Si può iniziare, ad esempio, facendo attenzione a dove viene conservata e a chi vi può accedere. In tal modo si costruisce una delle barriere di protezione fondamentali per una buona “cybersecurity-posture”.
Per un singolo Paese come l’Italia, quindi, intervenire sul controllo giurisdizionale dei dati diventa non solo prioritario per la tutela dei cittadini ma anche strategico per l’economia. Il nostro sistema imprenditoriale potrebbe infatti trarre grandi benefici da un patrimonio informativo “made in Italy” altamente redditizio. Questo ragionamento può essere esteso a tutta l’Europa, un continente che ad oggi non è indipendente per quanto riguarda l’offerta tecnologica.
Localizzazione dei dati: obblighi e opportunità
Ben consapevole della quantità di dati prodotti da aziende e cittadini e del valore da essi generato, l’Unione Europea, già negli scorsi anni aveva dettato la linea a livello mondiale su privacy, controllo e protezione dei dati sviluppando il Regolamento per la protezione dei dati (GDPR). Approvato nel 2016 ma applicabile dal 2018, il GDPR mira a raggiungere il miglior compromesso tra due priorità irrinunciabili. Da un lato la necessità di garantire ad aziende e persone un pieno controllo dei dati generati e una condivisione sicura e compliant con i diritti di privacy. Dall’altro il permettere l’ideazione e l’abilitazione di nuovi prodotti e servizi basati sui dati e che dei dati si nutrono. Sicurezza ma senza bloccare il business europeo.
Questa normativa trova il suo completamento nel Regolamento sulla libera circolazione dei dati non personali n° 2018/1807 (detto anche Free flow data – FFD) e ci consegna un quadro globale per libera circolazione di tutti i dati all’interno dell’Unione Europea. Un quadro molto atteso, perché illustra anche come comportarsi dal punto di vista della localizzazione con quelli misti che costituiscono la maggior parte dei dati su cui le imprese si basano, raccolti tramite IoT, AI e software di big data analytics.
Quando si parla di obbligo di localizzazione, si fa riferimento a “qualsiasi imposizione, divieto, condizione, limite o altro requisito previsto dalle disposizioni legislative, regolamentari o amministrative di uno Stato membro o risultante dalle prassi amministrative generali e coerenti in uno Stato membro e negli organismi di diritto pubblico che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro” . Nel caso di obblighi diretti, si ha la precisa indicazione di conservare i dati, e quindi di situare i server, ad esempio, in una specifica posizione geografica, oppure di aderire a requisiti tecnici nazionali unici che possono riguardare formati o altri aspetti legati ai dati. Esistono però anche gli obblighi di localizzazione indiretti, meno evidenti ma ugualmente impattanti sul business di chi opera con i dati. Si tratta infatti sempre di limitazioni che costringono a trattare i dati in uno specifico territorio ma lo impongono in modo differente. Ad esempio, attraverso la richiesta di ‘utilizzare dispositivi tecnologici certificati o omologati in un determinato Stato o con altri vincoli che rendono impossibile portare i dati fuori da una specifica area geografica.
In generale, gli Stati membri dell’Unione Europea devono comunicare on line qualsiasi obbligo di localizzazione dei dati sia applicabile nel loro territorio, altrimenti valgono le regole dettate da FFD e GDPR. Il primo non prevede obblighi, anzi, li vieta – “a meno che siano giustificati da motivi di sicurezza pubblica” – e consente alle imprese di scegliere il luogo per il trattamento dei loro dati. Quando però si tratta di dati misti, sia personali che non, se si possono separare si applicano i due Regolamenti. Il GDPR in questo caso sulla localizzazione , impone limiti che valgono anche con dati misti non distinguibili perché vince la norma più restrittiva.
L’adozione di politiche di controllo giuridico dei dati e della loro localizzazione, apparentemente semplice così come presentata, comporta numerose complessità che evidenziano la necessità di accordi tra Paesi. Se i dati delle persone di una nazione vengono salvati altrove, i Paesi esteri possono richiederne accesso senza doverlo notificare al Paese d’origine e senza avere un concetto di privacy universalmente condiviso su cui ragionare. Esistono molte leggi differenti fuori dai confini di un singolo Paese, oltre ai regimi non democratici che poco badano a questo diritto. Ciò rende il controllo giuridico diretto dei dati fondamentale per non esporre quelli dei propri cittadini ad occhi indiscreti.
Gaia X, l’impegno e le sfide dell’Europa sui dati
Con l’arrivo del cloud la partita sul controllo dei dati si è fatta ancora più complessa. È in questa cornice che nasce Gaia X. Non è un Cloud Service Provider né una Cloud Management Platform ma una vera e propria strategia europea con l’ambizioso obiettivo di progettare la prossima generazione di un’infrastruttura dei dati federata.
L’idea è stata di creare un ecosistema del cloud aperto e inclusivo ma rispettoso dei valori bandiera dell’Unione Europea in particolare quelli relativi alla privacy, alla protezione dei dati e alla concorrenza. Il vero passaggio è da un cloud in cui affidiamo i nostri dati ad altri, verso un cloud con regole di accesso e uso dei dati eque e chiare e in cui il controllo e la localizzazione dei dati siano garantiti così come la loro libera circolazione attraverso i Paesi membri.
L’Italia è stato uno dei primi Paesi ad aderire a Gaia-X, dopo i suoi “fondatori” (Francia e Germania), e diverse aziende – tra cui il Gruppo TIM – hanno cominciato a puntare su questo progetto e anche le istituzioni. A dicembre 2021 è infatti nato Gaia-X Hub Italia, iniziativa condivisa con i ministeri dello Sviluppo Economico, dell’Innovazione e Transizione Digitale e dell’Università e della Ricerca. Oggi rappresenta un punto di riferimento per le imprese e le organizzazioni italiane interessate alla valorizzazione dei dati seguendo principi come l’interoperabilità, la privacy e il controllo. Questo nuovo progetto farà poi nascere una serie di “data space” divisi per settore, industrie o filiere, in cui le imprese e altre entità pubbliche o private potranno condividere tra loro in autonomia dati, informazioni e servizi.
È in declinazioni territoriali di Gaia-X come questa che meglio appaiono le sue potenzialità dal punto di vista della competitività europea perché si inizia a intravvedere la possibilità di garantire il controllo dei dati salvaguardando le esigenze delle aziende del continente che vogliono, nel rispetto delle norme in vigore, utilizzarli per il proprio business.
Cloud e controllo dati, un binomio possibile
Man mano che cresce, Gaia X conferma di aver colto appieno il bisogno di equilibrio tra aspirazioni del sistema imprenditoriale europeo e necessità di garantire un corretto uso dei dati.
Al di là del progetto europeo di cui seguiranno sviluppi, molte grandi aziende tuttora sollevano dubbi verso l’adozione di strategie di controllo e localizzazione dei dati. Il timore è che possano impedire loro di adottare e di beneficiare del cloud, ad esempio attraverso limitazioni sul back up o vietando di salvare i dati di cittadini europei in server situati fuori dal continente a un costo più basso. Questa posizione può essere vista come una sfida e un’opportunità per gli operatori europei del cloud chiamati a dimostrare che è invece possibile conciliare le esigenze di business con la salvaguardia dei diritti dei cittadini.
“In un mondo realmente multi-cloud, i dati gestiti dalle organizzazioni sono effettivamente disseminati in tutto il pianeta, creando problemi legati alla loro ubicazione effettiva, alla loro proprietà e alla capacità di accedervi e di modificarli. Dai reparti di ricerca e sviluppo – che hanno bisogno della sovranità digitale e dei dati per proteggere l’innovazione – fino alle Risorse Umane – che hanno la necessità di proteggere i dati dei dipendenti ovunque siano archiviati -, è vitale per tutta l’organizzazione che i nostri dati possano essere localizzati, protetti e utilizzati all’interno di un framework sicuro e che abbiamo il controllo delle nostre tecnologie digitali. Gli aspetti qui analizzati sono alla base dell’iniziativa Sovereign Cloud di VMware, presentata all’ultimo VMworld, il cui obiettivo è proprio riconoscere alle aziende libertà e controllo in un mondo multi-cloud. Questo permette loro di utilizzare cloud service provider nazionali affidabili che soddisfino i requisiti specifici delle diverse aree geografiche circa sovranità dei dati e controllo giurisdizionale, assicurando l’allineamento dei servizi Cloud con la sicurezza e la regolamentazione locale”, ha dichiarato Claudia Angelelli, Solution Engineering Manager di VMware SEMEA .
“La presenza di un Local Service Provider è fondamentale per garantire ai clienti la possibilità di archiviare i propri dati sul suolo nazionale, massimizzando la sicurezza e il controllo delle informazioni”, ha affermato Alfredo Nulli, Head of Portfolio & Center of Excellence di Noovle. “Affidandosi a Noovle, cloud company del Gruppo TIM, le aziende possono contare su competenze, tecnologie e partnership consolidate – come quella con VMware – e su un’infrastruttura che permette il deployment efficace ed efficiente dei carichi di lavoro in modalità ibrida per separare i dati critici da quelli non critici, le applicazioni dai dati, beneficiando di velocità, elasticità, affidabilità e sicurezza del cloud”.