Sovranità dei dati: cos’è la Data Sovereignty

La sovranità dei dati si riferisce all’autorità di disporre dei dati, e funge da termine collettivo che comprende le molte sfaccettature relative al trattamento dei dati digitali, che includono la protezione, la crittografia, la trasmissione e la conservazione. Chiunque memorizzi dati nel cloud o utilizzi servizi IT provenienti da fornitori terzi deve assicurarsi che vi sia una protezione dei dati adeguata e conoscere le rispettive norme legali. Quali sono i requisiti per la sovranità dei dati e cosa può essere fatto per garantirla?

La sovranità dei dati è un termine giuridico che si riferisce alle linee guida legali in relazione ai dati. La sovranità dei dati è anche strettamente legata alla protezione dei dati, al cloud computing e alla sovranità tecnologica. Le leggi sulla sovranità dei dati stabiliscono le regolamentazioni per il potere dei governi e delle aziende di disporre dei dati digitali degli utenti e delle imprese. La sovranità dei dati fa riferimento quindi specificamente alle seguenti domande:

• A chi appartengono i dati?
• Chi è autorizzato a conservare i dati?
• Come possono essere conservati i dati?
• Come possono essere utilizzati i dati?
• Come devono essere protetti i dati?
• Cosa succede se i dati vengono utilizzati in modo illecito?

Poiché sono sempre più le piccole e medie imprese che apprezzano e si servono del cloud computing, ovvero l’esternalizzazione dei dati e della tecnologia aziendale su server esterni, l’importanza della sovranità dei dati non dovrebbe essere trascurata. Soprattutto quando i server sono situati in paesi in cui le linee guida sulla protezione dei dati non soddisfano gli standard europei, è necessario che la questione della sovranità dei dati sia resa il più trasparente possibile.

I vantaggi del cloud computing sono ben noti. Ma non appena i dati sensibili non sono immagazzinati in loco, bensì su server esterni e magari in altri paesi, sorgono questioni di sicurezza di proprietà dei dati.

In assenza di vincoli contrattuali, i fornitori terzi corrono il rischio che i loro dati vengano analizzati e venduti. Tuttavia, all’interno dell’Unione Europea, le aziende che trattano i dati personali sono obbligate a garantire il massimo livello di sicurezza dei dati. Pertanto, una protezione verificabile dei dati e la conformità alle moderne linee guida sono due requisiti imprescindibili, sia per le aziende che esternalizzano i loro servizi IT, che per quelle che li offrono. Se un’azienda perde o trascura la sovranità sui propri dati aziendali e quelli dei suoi clienti, questo può avere gravi conseguenze legali.

I dati su Internet, nelle reti aziendali e nel cloud possono assumere le seguenti forme:

• Data-in-use: dati attualmente in uso
• Data-in-motion: dati in corso di trasmissione
• Data-at-rest: dati memorizzati localmente o nel cloud

Prima della crescente digitalizzazione, la sovranità dei dati era principalmente discussa in relazione ai data-at-rest, ovvero i dati memorizzati. Oggi si applicano altri standard: la sicurezza dei dati, la sicurezza dell’audit e la sovranità dei dati si applicano indipendentemente dal luogo in cui i dati sono archiviati, specialmente quando sono fornitori esterni a trattare i dati aziendali. Le aziende devono mantenere la sovranità dei dati per tutte e tre le fasi. Questo elevato standard di protezione dei dati può essere implementato attraverso un software di crittografia che assicura che solo le aziende autorizzate possano decodificare i dati sensibili e criptati.

Oggigiorno, per garantire la sicurezza dei dati, le aziende devono osservare due regole fondamentali:

1. l’infrastruttura IT deve essere sempre sicura, flessibile e moderna;
2. deve essere garantita la sovranità dei dati dei clienti, degli utenti e delle imprese.

Solo con garanzie appropriate e accordi contrattuali adeguati le aziende possono proteggere i segreti commerciali e trattare i dati personali in conformità con le direttive europee sulla protezione dei dati. Le aziende dovrebbero sempre essere al corrente delle modalità con cui i fornitori di servizi terzi gestiscono i dati e quali sono i diritti d’uso da essi detenuti. Dato che quando si parla di sovranità dei dati sussistono anche incertezze legali e zone grigie, è necessario regolamentare contrattualmente tutto ciò che accade con i dati, oltre che le modalità con cui questi vengono immagazzinati, trattati e trasferiti.

Un piccolo esempio:

Se un’azienda desidera aumentare le proprie prestazioni, può affidarsi ai servizi cloud e web offerti da un Managed Service Provider. Attraverso l’analisi dei dati, questo fornitore potrebbe, per esempio, fare previsioni sulle attività di manutenzione e determinare il potenziale di ottimizzazione dell’azienda.

Anche se in questo caso la società committente dovrebbe detenere la sovranità dei dati, ciò non significa che abbia necessariamente anche accesso a tutte le analisi dei dati effettuate dalla società incaricata. Se non diversamente concordato contrattualmente, parte dei dati potrebbe anche essere riutilizzata o venduta a terzi. In questo caso, la mancanza di sovranità dei dati crea un rischio per la sicurezza e uno svantaggio competitivo per le aziende.

Sia per i piccoli rivenditori online che per la produzione in rete su larga scala, l’analisi dei dati dei clienti e del business riveste un ruolo importante al fine di adattare la produzione e i servizi alle aspettative e al comportamento dei clienti. Dal momento che oggi è quasi impossibile proteggere totalmente i dati dall’accesso di terzi, è necessario fornire un quadro giuridico di base. Oltre agli accordi contrattuali individuali tra clienti e fornitori di servizi, questo ruolo è ricoperto dai regolamenti nazionali e internazionali sulla protezione dei dati, come il Regolamento generale sulla protezione dei dati dell’Unione Europea (GDPR).

Per fare un paragone: negli Stati Uniti non esiste una legge generale sulla protezione dei dati che fornisca le linee guida di base per la protezione dei dati personali. Mentre nella UE esistono regolamenti specifici sulla protezione dei dati per le industrie, negli USA la protezione dei dati si basa sull’impegno volontario delle aziende americane. Inoltre, le autorità statunitensi hanno ampi poteri di disposizione dei dati. Per questo, quando le aziende europee usano i servizi dei fornitori americani, possono sorgere delle lacune nella protezione dei dati.

Secondo il GDPR, le aziende che trattano i dati personali devono prendere “misure tecniche e organizzative appropriate per garantire un livello di protezione adeguato al livello di rischio”. La protezione e la sovranità dei dati sono quindi compiti complessi per le aziende. In particolare, trovare un equilibrio tra la protezione dei dati aziendali, dei dati personali e il mantenimento di una forte posizione sul mercato può rivelarsi difficile. Dal momento che il GDPR si concentra principalmente sui dati personali, le aziende devono garantire che gli utenti siano informati e acconsentano consapevolmente all’ulteriore trattamento dei loro dati personali. Allo stesso tempo, l’analisi dei dati degli utenti è un fattore cruciale di successo per le aziende digitali.

Per conciliare sovranità dei dati, protezione dei dati e successo aziendale, è consigliabile assumere personale responsabile per la protezione dei dati, che si occupi della sovranità dei dati della vostra azienda. Inoltre, è importante fornire linee guida chiare e individuali riguardo alla protezione e all’uso dei dati a ogni partner e azienda terza. Non bisogna dimenticare neanche l’informativa sulla privacy, che comunica in modo trasparente le misure da voi adottate per garantire un trattamento sicuro dei dati. Le misure tecniche e organizzative essenziali che le aziende devono osservare in questo caso sono:

• pseudonimizzazione e crittografia dei dati;
• riservatezza e integrità dei sistemi;
• resilienza tecnica dei sistemi;
• recupero e disponibilità di dati in seguito a emergenze tecniche;
• revisione, accertamento e valutazione regolari delle misure di protezione;
• conformità e incorporazione delle misure di protezione dei dati da parte dei dipendenti.

Gaia-X è l’iniziativa europea per un’infrastruttura di dati altamente sicura, conforme alla protezione dei dati e commerciabile in Europa. Gaia-X si considera una controproposta all’inadeguata regolamentazione della protezione dei dati dei paesi non europei, in particolare al US CLOUD Act, secondo il quale le autorità statunitensi possono legalmente accedere ai dati senza l’ordine di un giudice, se questi sono memorizzati su server soggetti all’US CLOUD Act. Questo vale anche in caso di fornitori americani con data center in Europa.

Gaia-X sta lavorando a un’infrastruttura di dati che diventerà l’alternativa europea al cloud computing di Amazon Web Services, IBM, Google, Alibaba o Microsoft Azure. Questo permetterà alle aziende di trattare i dati in modo altamente sicuro in data center intraeuropei, di godere della massima sicurezza e sovranità dei dati e di impedire la fuga di dati aziendali e personali verso operatori extraeuropei. Parte dell’infrastruttura sarà costituita da nodi di rete e centri dati trasparenti, liberamente selezionabili, con caratteristiche, capacità e requisiti indicati chiaramente. I clienti dovrebbero essere in grado di cambiare fornitore senza difficoltà, senza rimanere vincolati ai fornitori di servizi web o Managed Serivce Provider a causa di cloud o vendor lock in.