Le riforme indicate dal PNRR devono, in modo imprescindibile, tener conto dei principi di data protection previsti dalla normativa, finalizzati ad apprestare adeguate garanzie alla privacy individuale di ogni cittadino.
Lo ha di recente ribadito anche il Garante privacy, evidenziando la doppia valenza dell’iscrizione dei principi previsti dal Regolamento 2016/679 (GDPR) nell’ambito del progetto di riforme previste dal PNRR: da una parte, infondere fiducia nei cittadini in relazione all’attività svolta dai soggetti pubblici nell’ambito dello svolgimento delle proprie funzioni e, dall’altra, garantire la sicurezza del processo di innovazione e quindi migliorare la competitività senza che ciò comporti limitazioni ai diritti e alle libertà individuali.
Certificazioni privacy, è tempo di “bollini”: come ottenerli e le FAQ del Garante
Innovazione è la parola chiave, il Pnrr è la risposta
Accelerare sulla strada dell’innovazione è difatti indispensabile dato che il protrarsi dello stato emergenziale a livello globale ha reso ancora più evidente l’arretratezza dell’Italia rispetto agli altri Paesi Europei. Infatti, tra gli Stati Membri dell’Unione, l’Italia è la nazione che per prima è stata colpita dalla crisi pandemica e anche quella che, ad oggi, ne ha subito le maggiori conseguenze, non solo in termini di vite umane. A questo proposito è sufficiente pensare che, nel 2020, il prodotto interno lordo italiano si è ridotto dell’8,9 per cento, contro un calo medio del 6,2 nel resto d’Europa.
La crisi si è abbattuta su un Paese fragile dal punto di vista economico e produttivo e che – anche a causa delle inadeguate infrastrutture e della peculiarità del tessuto produttivo composto in prevalenza da PMI – ha avuto evidenti difficoltà a sfruttare le opportunità connesse alla transizione digitale.
In Italia il processo di digitalizzazione è infatti andato a rilento per una combinazione di fattori: da una parte, la difficoltà delle PMI di far fronte agli ingenti investimenti necessari per l’adozione di nuove tecnologie finalizzate al rinnovamento delle filiere produttive e, dall’altra, la mancanza di adeguati investimenti nelle pubbliche amministrazioni.
In questo contesto, l’approvazione del Next Generation EU (NGEU) – un pacchetto di misure e stimoli economici che fornisce agli Stati Membri dell’Unione nuovi strumenti per ripartire – rappresenta per l’Italia un’imperdibile occasione per recuperare i ritardi decennali accumulati in termini di sviluppo, di investimenti e di riforme strutturali dei propri apparati amministrativi.
Tra gli Stati Membri dell’Unione, l’Italia è la prima beneficiaria dei due principali strumenti di cui si compone il NGEU: il Dispositivo per la Ripresa e Resilienza (RRF) e il Pacchetto di Assistenza alla Ripresa per la Coesione e i Territori d’Europa (REACT-EU). Solo il RRF prevede l’erogazione di risorse per un valore pari a 191,5 miliardi di euro, da impiegare nel periodo 2021- 2026, e di questi 68,9 miliardi sono sovvenzioni a fondo perduto.
Il NGEU rappresenta quindi un’imperdibile occasione di rilancio per il nostro Paese e l’opportunità di intraprendere un nuovo percorso di crescita economica finalizzato a superare gli ostacoli che ne hanno limitato la crescita negli ultimi anni.
Il dispositivo RRF ha richiesto agli Stati Membri di presentare un pacchetto di investimenti e di riforme, il c.d. Piano Nazionale di Ripresa e Resilienza (PNRR). Tra le Missioni del PNRR figura in primis la digitalizzazione del Paese, da intendersi come un rinnovamento della Pubblica Amministrazione tramite l’introduzione di servizi pubblici digitali accessibili a tutti i cittadini e l’innovazione di prodotti, processi e servizi offerti dalle PMI. Inoltre, affinché tali obiettivi siano concretamente realizzabili, è necessario che venga promossa la cultura del digitale, per permettere ai cittadini e ai lavoratori di aumentare e migliorare le proprie competenze digitali (reskilling e upskilling) così da sfruttare a pieno le potenzialità che i nuovi strumenti tecnologici mettono loro a disposizione.
La realizzazione di questo ambizioso progetto, teso a recuperare il deficit tecnologico accumulato negli anni e finalizzato alla promozione di investimenti in tecnologia, infrastrutture e processi digitali, è un’irripetibile occasione per migliorare la competitività italiana ed europea.
La Data Protection come presupposto per l’innovazione digitale
Il Presidente dell’Autorità Garante per la Protezione dei Dati Personali, in occasione della presentazione del report annuale dell’attività del Collegio, ha rilevato il preoccupante aumento di attacchi informatici registrato spesso a danno di soggetti pubblici. Infatti, a partire dal 2020, le PA sono state sempre più frequentemente nel mirino dei cybercriminali a causa dell’estrema vulnerabilità delle loro infrastrutture tecnologiche: tale debolezza strutturale risulta essere in parte dovuta al fatto che i sistemi informativi delle amministrazioni pubbliche non sono stati progettati sulla base di un organico piano di innovazione, comprensivo anche di adeguate misure per tutelare efficacemente i dati personali dei cittadini.
Nel proprio discorso, l’Autorità ha indicato come unica strada percorribile per la realizzazione delle Missioni previste dal PNRR l’attuazione di un’effettiva sinergia tra data protection e cybersecurity, in quanto solo una loro combinazione può garantire la concretizzazione di un efficace processo di digitalizzazione senza pregiudizio per la sicurezza nazionale (oggi assicurata dal Perimetro nazionale di sicurezza cibernetica), ma anche per la tutela della dignità di ogni cittadino.
Inoltre, nell’ambito della progettazione delle riforme e della loro attuazione, sarà di fondamentale importanza il dialogo tra le istituzioni e la consultazione del Garante che, in quanto Autorità indipendente, potrà fornire preziosi e costruttivi contributi volti al bilanciamento di interessi spesso contrapposti come quello del progresso tecnologico e la tutela dei diritti e libertà individuali.
PNRR, PMI e PA: le azioni da intraprendere per usufruire dei vantaggi del processo di digitalizzazione
La digitalizzazione e l’innovazione di processi, prodotti e servizi rappresentano un fattore determinante della trasformazione del sistema Paese e devono caratterizzare ogni riforma prevista dal Piano.
Negli ultimi decenni l’Italia ha accumulato un drammatico ritardo sia nell’adozione di tecnologie innovative applicate al sistema produttivo delle PMI che nell’erogazione di servizi pubblici da parte della PA.
Recuperare il tempo perduto, dando nuovo impulso agli investimenti per lo sviluppo di prodotti, processi e servizi digitali, è essenziale per favorire nuove strategie di diversificazione della produzione e migliorare l’adattabilità ai cambiamenti dei mercati sia a livello europeo che a livello mondiale.
A questo proposito, è importante ricordare come il PNRR si collochi nell’ambito di un più ampio framework di riforme per la regolamentazione del processo di innovazione tecnologica a livello dell’Unione Europea. Infatti, con la presentazione del Digital Service Package e del Data Governance Act, la Commissione Europea aveva mostrato la volontà di definire nuovi paradigmi europei per rafforzare il mercato interno dei servizi digitali.
L’impulso dato dal Next Generation EU alla rivoluzione digitale condurrà ad un inevitabile ed esponenziale aumento di trattamenti di dati personali, che non potranno prescindere dal rispetto dei principi cardine del GDPR. Pertanto, tutte le realtà (sia private che pubbliche) che intendono beneficiare dei vantaggi del PNRR dovranno necessariamente aver concluso – o almeno intrapreso – il percorso di messa in conformità al Regolamento 2016/679.
In questo frangente, particolare importanza assumeranno le certificazioni GDPR che permetteranno ai soggetti che riceveranno l’attestazione di dimostrare il raggiungimento di un traguardo di compliance in grado di accrescere la fiducia di utenti, clienti e fornitori, rendendo visibile a terzi il positivo esito del processo di adeguamento (sul punto si è recentemente espresso il Garante con la pubblicazione delle nuove FAQ sul tema della certificazione GDPR). La conformità di un’azienda ai principi di data protection incide infatti significativamente sulla sua reputazione, aumentando la sua competitività e costituendo un volano per la promozione dei suoi prodotti e servizi.
Oltre al rispetto dei principi del GDPR, tutti i soggetti che intendono beneficiare dei vantaggi offerti dal PNRR dovranno prestare particolare attenzione alle garanzie offerte dai subfornitori, in particolare – trattandosi di sistemi digitali – dai big player del mercato del cloud.
Nel PNRR viene espressamente menzionata una strategia “cloud first”, per cui le PA potranno scegliere se migrare verso una nuova infrastruttura cloud nazionale all’avanguardia (il cosiddetto “Polo Strategico Nazionale”, PSN) o verso un cloud “pubblico” sicuro, anche in considerazione della tipologia di dati personali coinvolti nel trattamento, del volume dei dati trattati e del tipo di servizi erogati.
Essendo i servizi cloud basati su sistemi complessi e stratificati, in cui le infrastrutture e le funzionalità di un servizio si basano spesso su altri servizi cloud (sub-service), è necessario che venga prestata particolare attenzione alla supply chain in modo che il soggetto (pubblico o privato) che agisce in qualità di titolare del trattamento abbia effettiva cognizione di tutti gli ulteriori player coinvolti nel trattamento.
La corretta definizione di tutti i fornitori coinvolti nella supply chain ha particolare rilevanza anche in considerazione dei trasferimenti di dati personali verso Paesi Extra EU.
La sentenza Schrems II della CGUE ha imposto a tutte le organizzazioni, sia pubbliche che private, profonde riflessioni sulle strategie di compliance da adottare e ha significativamente alterato gli equilibri dell’ecosistema digitale a livello globale. Tale decisione avrà inevitabili conseguenze anche sull’attuazione del PNRR essendo il cloud computing una tecnologia imprescindibile per un effettivo processo di digitalizzazione del Paese e per garantire l’effettiva erogazione di servizi al cittadino a livello omogeneo su tutto il territorio nazionale.
Questo tema è stato recentemente oggetto delle attenzioni dell’European Data Protection Supervisor (EDPS), che ha aperto delle indagini volte a verificare la compatibilità con i principi espressi dalla sentenza Schrems II dei contratti stipulati da Istituzioni Europee con due dei principali Over The Top (OTT) statunitensi, Amazon Web Service (AWS) e Microsoft. Per l’Autorità, i trasferimenti di dati personali verso gli USA assumono connotati di particolare criticità quando i dati trasferiti riguardano Istituzioni Europee poiché – una volta esportati in territorio statunitense – questi risulterebbero essere potenzialmente soggetti ad attività di sorveglianza da parte delle agenzie di intelligence di un Paese straniero.
Per tale motivo l’EDPS – consapevole che il cloud computing continuerà a rappresentare l’infrastruttura digitale di riferimento anche per le pubbliche amministrazioni – ha ritenuto opportuno delineare un’apposita strategia europea per i trasferimenti di dati personali da parte di soggetti pubblici, che utilizzi un approccio risk-based e in grado di offrire orientamenti mirati alla compliance anche in relazione ai trasferimenti di dati personali verso Paesi extra-EU. Alla base della strategia dell’EDPS vi sono il principio di accountability (che impone ai Titolari del trattamento di garantire, verificare e dimostrare la conformità al GDPR anche in relazione ai trasferimenti di dati personali verso Paesi extra-EU) e il principio di cooperazione (relativo all’effettiva collaborazione tra le Data Protection Authority degli Stati Membri e le Pubbliche Amministrazioni).
Sempre in relazione all’utilizzo dei servizi offerti dai Cloud Service Provider, assume rilevanza la proposta di schema di certificazione presentata dall’European Union Agency for Cybersecurity. Tale schema mira a rafforzare la fiducia dei consumatori nella società digitale e a supportare le imprese europee che si occupano di innovazione, al fine di offrire una valida alternativa ai servizi erogati dai grandi provider americani e cinesi.
Inoltre, nel mese di luglio, l’European Data Protection Board ha adottato delle nuove Linee Guida relative ai Codici di Condotta come strumento per i trasferimenti di dati personali al fine di fare chiarezza in merito all’applicazione degli articoli 40, par. 3 e 46, par. 2 del GDPR. Secondo quanto previsto dalla Linee Guida, a tali codici di condotta potranno aderire anche titolari e responsabili del trattamento non soggetti al GDPR, che potranno così fornire garanzie adeguate ai trasferimenti di dati al di fuori del SEE.
Conclusione
Il NGEU rappresenta un’imperdibile occasione di rilancio: questo strumento mette a disposizione dell’Italia le risorse necessarie ad avviare un nuovo capitolo di crescita economica del Paese e per superare gli ostacoli che ne hanno limitato la crescita negli ultimi decenni. La prima Missione prevista dal PNRR consiste nel dare rapido impulso al processo di digitalizzazione, con l’introduzione di servizi pubblici digitali accessibili a tutti i cittadini e l’innovazione di prodotti, processi e servizi offerti dalle PMI.
L’accelerazione di tale processo – e il conseguente incremento dei trattamenti di dati personali – renderà imprescindibile un’attenta analisi e valutazione delle connesse implicazioni in ambito data protection. Pertanto, tutti i soggetti (sia pubblici che privati) che vorranno beneficiare dei vantaggi di questo piano di rilancio dovranno aver necessariamente concluso il proprio percorso di messa in conformità al GDPR e dovranno continuare a prestare massima attenzione all’evoluzione giurisprudenziale e normativa – inclusi orientamenti e raccomandazioni delle autorità europee e nazionali – in materia di tutela dei dati personali.
