Nel corso del 2023, le sfide digitali e della data protection in Italia saranno tante. L’attuazione del Piano Nazionale di Ripresa e Resilienza avrà un focus particolare sulla trasformazione digitale del paese e della Pubblica Amministrazione, nello specifico prevedendo diversi capitoli di spesa e di investimento che si svilupperanno nella realizzazione di riforme trasversali a tutti i settori di investimento.
Un impatto importante sarà rappresentato dalle novità in tema di cybersicurezza, sia a livello normativo che prettamente operativo, mentre non bisogna dimenticare il prezioso apporto che le disposizioni facenti parte della Strategia europea in materia di dati (European Data Strategy) daranno al progetto di evoluzione digitale del paese.
Una questione di bilanciamento
Per quanto riguarda la gestione dei dati, il tema verte attorno all’esigenza di bilanciare due necessità. Da un lato, la necessità di semplificare e ridefinire i processi di decisione e governance della PA per mantenere una gestione efficiente dei dati trattati e dei processi in un contesto sempre più digitale, incoraggiando le scelte decisionali e il perseguimento del pubblico interesse che abbia un approccio data-driven, e quindi influenzato da parametri che siano verificabili attraverso dati oggettivi. Dall’altro, la necessità di rispettare il principio di legalità e i diritti dei cittadini, riuscendo quindi a coniugare in modo corretto una innovazione digitale e tecnologica della macchina pubblica che si rende sempre più articolata e utile allo sviluppo del Paese. Resta quindi importantissimo saper associare ai principi di efficienza, efficacia e economicità dell’azione della PA, il rispetto dei diritti fondamentali dei cittadini, tenendo conto delle innumerevoli complessità e delle molteplici versioni in cui si presenta la macchina pubblica italiana, riconoscendo, allo stesso tempo, il bisogno di stabilire processi più ‘snelli’ e una definizione chiara dei ruoli dei diversi attori nel perseguire l’interesse pubblico.
Ridefinire i processi e stabilire i ruoli di ‘Data Governance’ nella PA
Il bisogno di ridefinire in modo profondo e complessivo i processi di ‘Data Governance’ della PA emerge in relazione ai rapporti tra enti pubblici. In chiave di gestione trattamento dati, questo contesto prevede sempre più temi di ‘data sharing’ molto complessi da gestire, con particolare riguardo alla realizzazione e implementazione dei sistemi. L’integrazione di questi sistemi ha il grande vantaggio di consentire, in modo più rapido, intuitivo ed efficace, l’erogazione di molti servizi pubblici in modalità digitale, riuscendo così a connettere fra loro diverse amministrazioni pubbliche su più livelli: dal locale al nazionale, tenendo anche conto di servizi offerti da enti pubblici o partecipati pubblici. L’altra faccia della medaglia è che questo nuovo contesto di interoperabilità dei sistemi utilizzati dalle diverse PA su diversi livelli necessita anche di regole chiare per l’individuazione dei ruoli Privacy all’interno dei vari soggetti interessati dalla condivisione dei dati degli individui attraverso sistemi di interscambio dati e piattaforme interoperabili. Ad oggi, infatti, anche le linee guida e i modelli teorici dell’EDPB rispetto a tutto ciò che ruota intorno ai concetti di ‘titolare’ e ‘responsabile del trattamento’ non sono in grado, a parere di chi scrive, di adattarsi a pieno ad una realtà pubblica complessa nel suo insieme e variegata nelle sue varie sfumature e strutturazioni territoriali.
Ridefinire i processi in chiave di legalità e rispetto per i diritti dell’interessato
Il punto di partenza è la definizione di regole di base condivise tra gli attori pubblici della PA (e non) in Italia, anche per attuare in modo corretto e comprensivo le policy europee, con particolare riguardo a quelle indirizzate allo sviluppo e alla diffusione di modelli di Smart Cities. Una nuova fondamentale innovazione tecnologica per il Vecchio Continente che permetterà di raccogliere, governare e scambiare una enorme quantità di dati, e che però necessita anche di un coordinamento regolamentare in linea con e a tutela dei diritti dei cittadini. A regole di base, sarà poi necessario valutare, con modalità case-by-case e in base alle priorità del singolo settore e/o del contesto specifico, regole precise nei processi di trattamento e protezione dati. Questo vale per il contesto della PA in generale e, in modo particolare, in ambito sanitario. Per esempio, il Garante ha da poco ricordato che, in caso di positività da HIV, il referto può essere inserito nel fascicolo sanitario solo e unicamente dopo che il medico comunichi di persona al paziente l’esito del test. Questo perché la notizia della presenza di una patologia così delicata deve essere data esclusivamente all’interessato, al quale va garantita la massima tutela, sia in termini di riservatezza che di riduzione delle ripercussioni psicologiche che potrebbero derivare da un errato trattamento dei dati e delle informazioni della persona affetta. Questo è uno dei più chiari esempi a dimostrazione del fatto che il trattamento e la protezione dei dati, a maggior ragione in un contesto pubblico, devono sempre tener conto dei diritti e della tutela dei cittadini.
Data Governance Act, come sarà l’ecosistema digitale UE: le regole
Le novità in tema di Cybersecurity
Durante la pandemia da Covid-19 si è registrato un aumento esponenziale degli attacchi cyber ai danni di persone fisiche e di enti pubblici e privati. Tali attacchi vengono spesso perpetrati sfruttando la presenza di numerose vulnerabilità nelle infrastrutture digitali, così come evidenziato anche dal Garante privacy nella relazione annuale del 2021, presentata nel luglio 2022. Questo trend risulta essere, purtroppo, in crescita e il report annuale della Polizia postale ha rilevato come il fenomeno degli attacchi informatici sia fortemente caratterizzato da una matrice geopolitica. Difatti, specialmente a seguito dello scopo della guerra russo-ucraina si sono intensificati gli attacchi dei cyber criminali russi e ciò rende necessario aumentare i presidi di cybersicurezza, allo scopo di rendere il paese più resiliente a fronte delle ormai quotidiane minacce cyber.
Tra le iniziative per contrastare il fenomeno degli attacchi informatici si ricorda l’adozione, con decreto del Presidente del Consiglio dei ministri del 17 maggio 2022, della Strategia nazionale di Cybersicurezza 2022-2026 la quale è stata definita dall’Agenzia per la Cybersicurezza Nazionale (ACN) e prevede il raggiungimento di 82 misure entro il 2026 per rendere il paese più cyber-resiliente sotto diversi fronti.
Importante considerare anche l’istituzione, con decreto-legge 105/2019, del Perimetro nazionale di sicurezza cibernetica (PSNC): una normativa avente l’obiettivo di assicurare un elevato livello di sicurezza delle reti, dei sistemi informativi e di quelli informatici di alcune pubbliche amministrazioni e di aziende private. Il PSNC coinvolge, infatti, soggetti – pubblici e privati – che svolgono un servizio o una funzione essenziale per gli interessi dello Stato in determinati settori ritenuti più “sensibili” e per i quali è necessario prevedere un livello di sicurezza maggiore (es. difesa, le telecomunicazioni, i sistemi bancari, finanziari ed i trasporti).
In proposito, bisogna ricordare che il 2023 sarà l’anno di avvio dei primi Laboratori Accreditati di Prova (LAP) adibiti al supporto dei Centri di valutazione e certificazione nazionale (CVCN) nell’attività di controllo della qualità tecnica di soluzioni 5G e cloud e nella valutazione della sicurezza di beni, sistemi e servizi ICT dei soggetti inseriti nel PSNC. Infatti, nell’agosto 2022 sono stati approvati dall’ACN i requisiti e le misure minime di sicurezza fisica e tecnica per l’accreditamento dei LAP del CVCN. Ciò risulta essere un passaggio essenziale per abilitare la realizzazione di alcune misure della Strategia Nazionale di Cybersicurezza 2022-2026.
Anche sul fronte del cloud computing si prevedono massicci investimenti. Fondamentale l’elaborazione della Strategia Cloud Italia, basata sul principio cloud first, la quale favorisce l’adozione da parte delle PA di strumenti e tecnologie di tipo cloud nello sviluppo di nuovi servizi e nell’acquisizione di software.
Un passo fondamentale per l’implementazione della strategia cloud nazionale e il punto di inizio del progressivo rafforzamento della resilienza cibernetica delle PA è rappresentato dal decreto direttoriale n. 29 del 2 gennaio 2023 adottato dall’Agenzia per la Cybersicurezza Nazionale (ACN) d’intesa con il Dipartimento per la trasformazione digitale, il quale traccia le tappe che definiscono le nuove modalità che imprese e amministrazioni dovranno seguire a partire dal 19 gennaio prossimo. In breve, il provvedimento disciplina il nuovo percorso di qualificazione cloud per la Pubblica Amministrazione, prevedendo che il processo di qualificazione dei servizi cloud diventi di competenza ACN a partire dal 19 gennaio 2023.
Infine, in ambito europeo, è importante ricordare l’adozione della Direttiva NIS II da parte del Parlamento europeo in data 10 novembre 2022. La Direttiva NIS II sostituirà l’attuale Direttiva NIS (Direttiva 2016/1148), determinando più chiari e stringenti obblighi in tema di cyber sicurezza, nonché la predisposizione di maggiori oneri e responsabilità sul punto.
L’apporto della Strategia europea in materia di dati
I dati – personali e non – stanno acquisendo un’importanza sempre maggiore. Essi, infatti, rappresentano il fulcro della trasformazione digitale, dal momento che l’accesso al crescente volume di dati e la capacità di sfruttarli correttamente sono fattori essenziali per l’innovazione. Inoltre, l’innovazione data driven comporta senza dubbio significativi e concreti benefici per i cittadini – ad esempio attraverso una medicina personalizzata o una mobilità più efficiente – e per l’economia europea, dal perfezionamento del processo decisionale al miglioramento dei servizi pubblici. La creazione di un mercato unico dei dati consentirà ai dati stessi di circolare liberamente all’interno dell’UE e in tutti i settori a vantaggio di imprese, ricercatori e PA.
Fondamentale ricordare l’importanza che la Strategia europea in materia di dati (European data strategy) riveste nel tessuto sociale europeo. Tale strategia non è altro che un insieme di iniziative legislative presentate dalla Commissione europea, di seguito elencate: Digital Services Act (DSA); Digital Markets Act (DMA); Data Governance Act (DGA); Data Act (DA). Attualmente, delle quattro iniziative legislative tre sono di recente entrate in vigore: Digital Services Act, Digital Markets Act e Data Governance Act.
Il DSA ha l’obiettivo di contribuire al corretto funzionamento del mercato interno dei servizi intermediari stabilendo norme armonizzate nei confronti delle piattaforme digitali di piccole, medie e grandi dimensioni. Nello specifico, il DSA interviene stabilendo maggiori responsabilità per la pubblicazione di contenuti alle piattaforme, sulla base del principio secondo cui ciò che è illegale offline deve esserlo anche online e cerca di garantire l’innovazione e al tempo stesso la protezione dei diritti fondamentali degli utenti.
Il DMA, invece, stabilisce norme armonizzate allo scopo di garantire condizioni di parità a tutte le imprese che operano nel settore digitale in cui sono presenti anche i gatekeeper. In altre parole, il DMA vuole contrastare le pratiche sleali e l’abuso di posizione dominante delle Big Tech sui mercati digitali, i quali devono essere competitivi ed equi.
Il DGA promuove la disponibilità e la condivisione dei dati personali e non personali (data sharing) creando uno spazio europeo dei dati affidabile, allo scopo di facilitarne l’uso per la ricerca e per la creazione di nuovi servizi e prodotti innovativi.
Infine, il DA (ancora nella forma di Proposta di Regolamento Ue) stabilirà norme armonizzate per l’accesso equo ai dati e per il loro utilizzo. In altre parole, il DA chiarirà chi potrà sfruttare e accedere ai dati generati in Ue e nell’ambito di diversi settori (ossia, quali soggetti possono generare valore dai dati e a quali condizioni). Inoltre, il DA eliminerà gli ostacoli all’accesso ai dati per operatori pubblici e privati, incentivando a investire nella generazione di dati tramite la garanzia di un controllo equilibrato sui dati per coloro che li creano.
Obiettivo della strategia europea in materia di dati è rendere l’UE leader di una società data driven (ossia una società basata sui dati), sicura e dinamica.
È tuttavia necessario contemperare le normative costituenti la Strategia europea in materia di dati (DSA, DMA, DGA e DA) con il Regolamento Ue 2016/679, rectius GDPR sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione dei dati. Allo stato attuale, è tuttavia ancora prematuro esprimere delle valutazioni in merito, dal momento che le normative della Strategia digitale europea non sono ancora pienamente applicabili. Ciò significa che solo al momento dell’applicazione concreta delle nuove disposizioni emergeranno gli eventuali punti di incontro (o scontro) con il GDPR.
Conclusioni
In conclusione, si può notare come gli investimenti nel digitale e con particolare riguardo al trattamento e alla protezione dei dati da parte degli attori pubblici e privati siano ormai diventati un passaggio obbligato. Tale spinta all’innovazione ha subito una notevole accelerazione per via delle conseguenze derivanti dalla pandemia da Covid-19, ma affonda le proprie radici nell’esigenza di progresso, frutto del passare del tempo. Il PNRR, così come le nuove normative in tema di cybersicurezza e le disposizioni della Strategia europea in materia di dati rappresentano delle risorse fondamentali per l’evoluzione digitale del paese, nonché un’importante occasione per dar via a un futuro sempre più sostenibile.