Sovranità dei dati: cos’è la Data So­ve­rei­gn­ty

La sovranità dei dati si riferisce all’autorità di disporre dei dati, e funge da termine col­let­ti­vo che comprende le molte sfac­cet­ta­tu­re relative al trat­ta­men­to dei dati digitali, che includono la pro­te­zio­ne, la crit­to­gra­fia, la tra­smis­sio­ne e la con­ser­va­zio­ne. Chiunque memorizzi dati nel cloud o utilizzi servizi IT pro­ve­nien­ti da fornitori terzi deve as­si­cu­rar­si che vi sia una pro­te­zio­ne dei dati adeguata e conoscere le ri­spet­ti­ve norme legali. Quali sono i requisiti per la sovranità dei dati e cosa può essere fatto per ga­ran­tir­la?

La sovranità dei dati è un termine giuridico che si riferisce alle linee guida legali in relazione ai dati. La sovranità dei dati è anche stret­ta­men­te legata alla pro­te­zio­ne dei dati, al cloud computing e alla sovranità tec­no­lo­gi­ca. Le leggi sulla sovranità dei dati sta­bi­li­sco­no le re­go­la­men­ta­zio­ni per il potere dei governi e delle aziende di disporre dei dati digitali degli utenti e delle imprese. La sovranità dei dati fa ri­fe­ri­men­to quindi spe­ci­fi­ca­men­te alle seguenti domande:

• A chi ap­par­ten­go­no i dati?
• Chi è au­to­riz­za­to a con­ser­va­re i dati?
• Come possono essere con­ser­va­ti i dati?
• Come possono essere uti­liz­za­ti i dati?
• Come devono essere protetti i dati?
• Cosa succede se i dati vengono uti­liz­za­ti in modo illecito?

Poiché sono sempre più le piccole e medie imprese che ap­prez­za­no e si servono del cloud computing, ovvero l’ester­na­liz­za­zio­ne dei dati e della tec­no­lo­gia aziendale su server esterni, l’im­por­tan­za della sovranità dei dati non dovrebbe essere tra­scu­ra­ta. So­prat­tut­to quando i server sono situati in paesi in cui le linee guida sulla pro­te­zio­ne dei dati non sod­di­sfa­no gli standard europei, è ne­ces­sa­rio che la questione della sovranità dei dati sia resa il più tra­spa­ren­te possibile.

I vantaggi del cloud computing sono ben noti. Ma non appena i dati sensibili non sono im­ma­gaz­zi­na­ti in loco, bensì su server esterni e magari in altri paesi, sorgono questioni di sicurezza di proprietà dei dati.

In assenza di vincoli con­trat­tua­li, i fornitori terzi corrono il rischio che i loro dati vengano ana­liz­za­ti e venduti. Tuttavia, all’interno dell’Unione Europea, le aziende che trattano i dati personali sono obbligate a garantire il massimo livello di sicurezza dei dati. Pertanto, una protezione ve­ri­fi­ca­bi­le dei dati e la con­for­mi­tà alle moderne linee guida sono due requisiti im­pre­scin­di­bi­li, sia per le aziende che ester­na­liz­za­no i loro servizi IT, che per quelle che li offrono. Se un’azienda perde o trascura la sovranità sui propri dati aziendali e quelli dei suoi clienti, questo può avere gravi con­se­guen­ze legali.

I dati su Internet, nelle reti aziendali e nel cloud possono assumere le seguenti forme:

• Data-in-use: dati at­tual­men­te in uso
• Data-in-motion: dati in corso di tra­smis­sio­ne
• Data-at-rest: dati me­mo­riz­za­ti lo­cal­men­te o nel cloud

Prima della crescente di­gi­ta­liz­za­zio­ne, la sovranità dei dati era prin­ci­pal­men­te discussa in relazione ai data-at-rest, ovvero i dati me­mo­riz­za­ti. Oggi si applicano altri standard: la sicurezza dei dati, la sicurezza dell’audit e la sovranità dei dati si applicano in­di­pen­den­te­men­te dal luogo in cui i dati sono ar­chi­via­ti, spe­cial­men­te quando sono fornitori esterni a trattare i dati aziendali. Le aziende devono mantenere la sovranità dei dati per tutte e tre le fasi. Questo elevato standard di pro­te­zio­ne dei dati può essere im­ple­men­ta­to at­tra­ver­so un software di crit­to­gra­fia che assicura che solo le aziende au­to­riz­za­te possano de­co­di­fi­ca­re i dati sensibili e criptati.

Og­gi­gior­no, per garantire la sicurezza dei dati, le aziende devono osservare due regole fon­da­men­ta­li:

1. l’in­fra­strut­tu­ra IT deve essere sempre sicura, fles­si­bi­le e moderna;
2. deve essere garantita la sovranità dei dati dei clienti, degli utenti e delle imprese.

Solo con garanzie ap­pro­pria­te e accordi con­trat­tua­li adeguati le aziende possono pro­teg­ge­re i segreti com­mer­cia­li e trattare i dati personali in con­for­mi­tà con le direttive europee sulla pro­te­zio­ne dei dati. Le aziende do­vreb­be­ro sempre essere al corrente delle modalità con cui i fornitori di servizi terzi ge­sti­sco­no i dati e quali sono i diritti d’uso da essi detenuti. Dato che quando si parla di sovranità dei dati sus­si­sto­no anche in­cer­tez­ze legali e zone grigie, è ne­ces­sa­rio re­go­la­men­ta­re con­trat­tual­men­te tutto ciò che accade con i dati, oltre che le modalità con cui questi vengono im­ma­gaz­zi­na­ti, trattati e tra­sfe­ri­ti.

Un piccolo esempio:

Se un’azienda desidera aumentare le proprie pre­sta­zio­ni, può affidarsi ai servizi cloud e web offerti da un Managed Service Provider. At­tra­ver­so l’analisi dei dati, questo fornitore potrebbe, per esempio, fare pre­vi­sio­ni sulle attività di ma­nu­ten­zio­ne e de­ter­mi­na­re il po­ten­zia­le di ot­ti­miz­za­zio­ne dell’azienda.

Anche se in questo caso la società com­mit­ten­te dovrebbe detenere la sovranità dei dati, ciò non significa che abbia ne­ces­sa­ria­men­te anche accesso a tutte le analisi dei dati ef­fet­tua­te dalla società in­ca­ri­ca­ta. Se non di­ver­sa­men­te con­cor­da­to con­trat­tual­men­te, parte dei dati potrebbe anche essere riu­ti­liz­za­ta o venduta a terzi. In questo caso, la mancanza di sovranità dei dati crea un rischio per la sicurezza e uno svan­tag­gio com­pe­ti­ti­vo per le aziende.

Sia per i piccoli ri­ven­di­to­ri online che per la pro­du­zio­ne in rete su larga scala, l’analisi dei dati dei clienti e del business riveste un ruolo im­por­tan­te al fine di adattare la pro­du­zio­ne e i servizi alle aspet­ta­ti­ve e al com­por­ta­men­to dei clienti. Dal momento che oggi è quasi im­pos­si­bi­le pro­teg­ge­re to­tal­men­te i dati dall’accesso di terzi, è ne­ces­sa­rio fornire un quadro giuridico di base. Oltre agli accordi con­trat­tua­li in­di­vi­dua­li tra clienti e fornitori di servizi, questo ruolo è ricoperto dai re­go­la­men­ti nazionali e in­ter­na­zio­na­li sulla pro­te­zio­ne dei dati, come il Re­go­la­men­to generale sulla pro­te­zio­ne dei dati dell’Unione Europea (GDPR).

Per fare un paragone: negli Stati Uniti non esiste una legge generale sulla pro­te­zio­ne dei dati che fornisca le linee guida di base per la pro­te­zio­ne dei dati personali. Mentre nella UE esistono re­go­la­men­ti specifici sulla pro­te­zio­ne dei dati per le industrie, negli USA la pro­te­zio­ne dei dati si basa sull’impegno vo­lon­ta­rio delle aziende americane. Inoltre, le autorità sta­tu­ni­ten­si hanno ampi poteri di di­spo­si­zio­ne dei dati. Per questo, quando le aziende europee usano i servizi dei fornitori americani, possono sorgere delle lacune nella pro­te­zio­ne dei dati.

Secondo il GDPR, le aziende che trattano i dati personali devono prendere “misure tecniche e or­ga­niz­za­ti­ve ap­pro­pria­te per garantire un livello di pro­te­zio­ne adeguato al livello di rischio”. La pro­te­zio­ne e la sovranità dei dati sono quindi compiti complessi per le aziende. In par­ti­co­la­re, trovare un equi­li­brio tra la pro­te­zio­ne dei dati aziendali, dei dati personali e il man­te­ni­men­to di una forte posizione sul mercato può rivelarsi difficile. Dal momento che il GDPR si concentra prin­ci­pal­men­te sui dati personali, le aziende devono garantire che gli utenti siano informati e ac­con­sen­ta­no con­sa­pe­vol­men­te all’ulteriore trat­ta­men­to dei loro dati personali. Allo stesso tempo, l’analisi dei dati degli utenti è un fattore cruciale di successo per le aziende digitali.

Per con­ci­lia­re sovranità dei dati, pro­te­zio­ne dei dati e successo aziendale, è con­si­glia­bi­le assumere personale re­spon­sa­bi­le per la pro­te­zio­ne dei dati, che si occupi della sovranità dei dati della vostra azienda. Inoltre, è im­por­tan­te fornire linee guida chiare e in­di­vi­dua­li riguardo alla pro­te­zio­ne e all’uso dei dati a ogni partner e azienda terza. Non bisogna di­men­ti­ca­re neanche l’in­for­ma­ti­va sulla privacy, che comunica in modo tra­spa­ren­te le misure da voi adottate per garantire un trat­ta­men­to sicuro dei dati. Le misure tecniche e or­ga­niz­za­ti­ve es­sen­zia­li che le aziende devono osservare in questo caso sono:

• pseu­do­ni­miz­za­zio­ne e crit­to­gra­fia dei dati;
• ri­ser­va­tez­za e integrità dei sistemi;
• re­si­lien­za tecnica dei sistemi;
• recupero e di­spo­ni­bi­li­tà di dati in seguito a emergenze tecniche;
• revisione, ac­cer­ta­men­to e va­lu­ta­zio­ne regolari delle misure di pro­te­zio­ne;
• con­for­mi­tà e in­cor­po­ra­zio­ne delle misure di pro­te­zio­ne dei dati da parte dei di­pen­den­ti.

Gaia-X è l’ini­zia­ti­va europea per un’in­fra­strut­tu­ra di dati altamente sicura, conforme alla pro­te­zio­ne dei dati e com­mer­cia­bi­le in Europa. Gaia-X si considera una con­tro­pro­po­sta all’ina­de­gua­ta re­go­la­men­ta­zio­ne della pro­te­zio­ne dei dati dei paesi non europei, in par­ti­co­la­re al US CLOUD Act, secondo il quale le autorità sta­tu­ni­ten­si possono le­gal­men­te accedere ai dati senza l’ordine di un giudice, se questi sono me­mo­riz­za­ti su server soggetti all’US CLOUD Act. Questo vale anche in caso di fornitori americani con data center in Europa.

Gaia-X sta lavorando a un’in­fra­strut­tu­ra di dati che diventerà l’al­ter­na­ti­va europea al cloud computing di Amazon Web Services, IBM, Google, Alibaba o Microsoft Azure. Questo per­met­te­rà alle aziende di trattare i dati in modo altamente sicuro in data center in­traeu­ro­pei, di godere della massima sicurezza e sovranità dei dati e di impedire la fuga di dati aziendali e personali verso operatori ex­traeu­ro­pei. Parte dell’in­fra­strut­tu­ra sarà co­sti­tui­ta da nodi di rete e centri dati tra­spa­ren­ti, li­be­ra­men­te se­le­zio­na­bi­li, con ca­rat­te­ri­sti­che, capacità e requisiti indicati chia­ra­men­te. I clienti do­vreb­be­ro essere in grado di cambiare fornitore senza dif­fi­col­tà, senza rimanere vincolati ai fornitori di servizi web o Managed Serivce Provider a causa di cloud o vendor lock in.