L’Italia si muove sul fronte della digital transformation con varie iniziative, che sono volte ad incentivare l’adozione delle nuove tecnologie nei processi industriali, tramite i piani e gli incentivi di Industry 4.0, e con l’istituzione dell’apposito albo dei consulenti per l’innovazione.
Ma la digital transformation non può essere ricondotta unicamente all’adozione di una nuova tecnologia, implicando invece una serie di azioni che spesso portano anche a riconsiderare i business model su cui si basa un’azienda. Tale trasformazione, inoltre, deve basarsi fortemente sull’analisi dei dati, provenienti da varie fonti, volta ad ottimizzare, migliorare e dare maggiore impulso ai vari processi aziendali, dalla produzione dei beni e servizi da vendere, alla loro distribuzione e promozione.
In tale ottica, un progetto di digital transformation deve tenere anche in considerazione le varie normative che impattano sulle possibilità di utilizzo di tali dati, regole che cambiano in considerazione della loro natura, origine ed utilizzo.
Il trattamento dei dati non personali
Nell’ambito di un processo produttivo, il trattamento riguarda principalmente dati non personali. Si tratta delle informazioni che vengono rese dai macchinari, estrapolate e trattate al fine di misurare la produttività aziendale o per consentire un miglior approvvigionamento di materie prime.
La disciplina di tali dati è contenuta nel Regolamento (UE) 2018/1807 il quale vieta obblighi di localizzazione da parte degli Stati membri salvo esigenze specifiche per motivi di sicurezza pubblica. Ciò significa che i dati non personali possono liberamente circolare nell’ambito di tutta l’Unione Europea e che un’azienda è libera di decidere, senza poter essere sottoposta a vincoli specifici, il territorio europeo su cui essi saranno conservati e trattati.
E’ importante sottolineare che tali regole si applicano solamente a quei dati che non contengono informazioni inerenti ad una persona fisica identificata o identificabile. Se un insieme di dati contiene entrambe le tipologie, il Regolamento (UE) n. 2018/1807 sarà applicabile unicamente alla parte dell’insieme contente dati non personali. Se invece l’insieme non è scindibile (si pensi a dati relativi all’utilizzo di una macchina che incorporino l’identificazione dell’addetto alla stessa) allora prevarrà l’applicazione del Regolamento (UE) n. 679/2016 sulla protezione dei dati personali (GDPR).
Oltre a prevedere la libera circolazione in ambito UE dei dati non personali il Regolamento (UE) 2018/1807 mira a promuovere la creazione di un’economia dei dati, cercando di sollecitare l’adozione di codici di autoregolamentazione per la portabilità degli stessi, per stabilire gli obblighi di informazione minimi che devono essere garantiti agli utenti professionali inerenti le procedure e tempistiche in caso di cambio di fornitore e gli approcci in materia di sistemi di certificazione per agevolare il confronto tra le soluzioni.
Oltre ai dati non personali generati nell’ambito dei processi produttivi aziendali vi sono quelli che, ai sensi dell’art. 50 del Codice dell’Amministrazione Digitale (CAD) devono essere “resi disponibili e accessibili con l’uso delle tecnologie dell’informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall’ordinamento, da parte delle altre pubbliche amministrazioni e dai privati”. Si tratta dei cosiddetti Open Data su cui la Commissione Europea già dal 2011 con la comunicazione COM(2011) 882 dal titolo “Dati aperti. Un motore per l’innovazione, la crescita e una governance trasparente” ha posto l’accento quali strumenti fondamentali per la trasformazione digitale, e che oggi sono espressamente disciplinati nell’art. 52 del CAD.
L’integrazione dei dati provenienti dai processi aziendali con gli open data della pubblica amministrazione può portare efficienza nella produzione dei prodotti e servizi e servire da strumento di analisi per strategia di marketing e vendita. E’ opportuno notare che ci troviamo ancora nell’ambito dei dati non personali, e quindi al di fuori della normativa relativa alla privacy, i quali assumono comunque rilevanza al fine, ad esempio, di monitorare un dato territorio per comprenderne le dinamiche che possono porsi alla base di una strategia di vendita.
Infine, vi sono dati che sono esclusi dall’applicazione del GDPR – che si applica unicamente alle informazioni relative alle persone fisiche – e che possono sicuramente costituire un valido supporto per le decisioni aziendali. Ci si riferisce ai dati relativi alle società contenuti nel registro delle imprese. Da questo punto di vista tale registro, che per i controlli, la struttura e la qualità dei dati in esso contenuti costituisce una delle best practice europee, se usato in maniera “avanzata” è sicuramente un valido strumento per comprendere il mercato ed il territorio. Ad esempio, in pochi sono a conoscenza del fatto che è possibile estrarre dal registro degli elenchi di imprese secondo criteri di selezione vari, quali, tra gli altri, il territorio, la dislocazione geografica e la tipologia di attività esercitata (secondo la classificazione Ateco/Istat). Sulla base di tali dati un’azienda ad esempio potrebbe meglio individuare l’area geografica in cui si collocano le imprese verso cui vuole fornire i prodotti o i servizi, selezionandole tramite l’attività da esse esercitata. Si tratta, è opportuno ribadirlo, di dati i quali, se riferiti unicamente alla persona giuridica, non sono sottoposti alla disciplina del GDPR e come tali possono essere trattati senza dover porre in essere gli adempimenti previsti da tale normativa.
Il trattamento dei dati personali
Un processo di innovazione digitale implicherà il più delle volte anche il trattamento di dati personali per esigenze relative a varie attività, come quelle di marketing, gestione del CRM e degli utenti, trattamento dei dati per profilazione, utilizzo di applicazioni etc.
In tutte queste ipotesi è noto che sarà necessario attenersi alle previsioni del GDPR, prestando particolare attenzione a quei trattamenti effettuati con tecnologie estremamente innovative (che è uno dei criteri individuati dal WP29 per stabilire se sia o meno necessario lo svolgimento di una valutazione di impatto).
Sarà anche opportuno valutare in maniera approfondita i fornitori dei servizi e delle tecnologie di cui ci si intende avvalere, questo per valutare gli adempimenti inerenti all’eventuale trasferimento dei dati extra-UE.
Il GDPR sarà anche applicabile qualora i dati non personali siano congiunti a quelli di carattere personale, così come nell’ipotesi in cui vi siano dei metadati relativi a comportamenti o altre informazioni relative alle persone fisiche.
Sicurezza informatica
Un dato trasversale a tutte le tipologie di dati è quello relativo alla sicurezza informatica. Mentre tale requisito appare evidente in caso di trattamento di dati personali, anche per le espresse previsioni regolamentari e di diritto interno con particolare riguardo nel caso in cui si tratti di particolari categorie di dati come ad esempio quelli sanitari, in presenza di dati non personali spesso si tende a sottovalutarlo.
E’ necessario, però, tenere a mente che nel momento in cui si compie una trasformazione del business in ottica digitale la disponibilità ed integrità delle informazioni su cui si basano le attività imprenditoriali assurge a componente fondamentale per poter garantire il regolare svolgimento di dette attività.
Si pensi ai recenti casi di attacchi ransomware che hanno colpito le aziende in Italia. L’indisponibilità dei dati creati e raccolti durante i processi di produzione o di erogazione dei servizi renderebbe inutilizzabile il sistema su cui sono basati detti processi, vanificando in tal modo il percorso di digital transformation precedentemente realizzato.
Sarà, pertanto, necessario adottare dei piani dettagliati di business continuity contemporaneamente provvedendo ad adottare tutte le misure necessarie a scongiurare intrusioni nei sistemi, anche dal punto di vista della protezione degli stessi da utilizzi abusivi interni. Tutto ciò considerando che, soprattutto in campo industriale, la maggior connettività delle macchine e dei dispositivi amplia notevolmente il perimetro di esposizione dell’azienda.
Importanza del data sharing
Come sopra evidenziato nei progetti di innovazione digitale non è sufficiente limitarsi all’adozione di una nuova tecnologia nell’ambito dei processi esistenti, ma è necessario spingersi a volte fino a ridisegnare i processi aziendali per adeguarli a dei modelli digitali. Ciò implica un uso massivo dei dati, che vengono appunto sfruttati per la loro capacità di fornire informazioni in merito a molte delle fasi in cui si suddivide l’attività aziendale.
Dobbiamo, quindi, chiederci quale sia il regime giuridico di tali componenti e come, in un paese come il nostro, si possa dare impulso ai processi esaminati. Non bisogna, infatti, dimenticare che l’Italia è un Paese il cui tessuto produttivo è formato in gran parte da piccole e medie imprese, e che, dall’altra parte, si caratterizza per la forte sinergia che spesso si crea nell’ambito dei distretti produttivi o di aggregazioni spontanee di aziende.
Anche dal punto di vista dell’innovazione digitale sicuramente una maggior quantità di dati potrebbe supportare con più efficacia i processi produttivi aziendali, e potrebbe essere attuata tramite strumenti già presenti nel nostro ordinamento, quali i contratti di rete, i consorzi o anche forme contrattuali con cui si definiscono le regole per la condivisione dei dati tra più soggetti (in tal senso la strategia nazionale varata dal Gruppo di esperti del MISE suggerisce, in maniera lungimirante, la definizione di modelli di “Data Sharing Agreement”).
Tale forme di condivisione, però, potrebbero trovare un ostacolo nella mancata definizione del regime giuridico dei dati non personali, in assenza del quale le aziende non sono incentivate a condividere i loro dati per il timore principale di poter favorire, in tal modo, dei loro concorrenti.
Due strade possibili, per favorire tali condotte virtuose, potrebbero essere quella di inquadrare i dati non personali nell’ambito della legge sul diritto d’autore, nella parte in cui disciplina le basi di dati. In tale ottica, l’azienda che produce il dato e lo mette a fattor comune con altre potrebbe essere la titolare del diritto sui generis del costitutore della banca dati, così vedendosi tutelata nell’ambito dello sfruttamento economico degli stessi o nel caso in cui, in un momento successivo, si arrivi allo scioglimento dell’aggregazione.
Un ulteriore possibile inquadramento è quello dei trade secrets, di cui all’art. 98 del codice della proprietà industriale, che riconosce il valore delle informazioni commerciali e del know-how, purché rivestano il carattere della segretezza, abbiano valore economico e siano sottoposte a misure di protezione. Negli accordi di condivisione, in tali ipotesi, sarà necessario esplicitare che i dati non personali condivisi rientrano, per l’azienda che effettua la condivisione, in tale categoria, così da poter estendere ai medesimi la tutela appena esaminata.
La riconduzione dei dati non personali a tali istituti favorirebbe comportamenti delle aziende più aperti verso la condivisione dei dati, consentendo la creazione di basi di dati settoriali condivise a cui poter attingere per rendere più efficienti i processi produttivi. Nulla vieta, poi, che ciascuna azienda riceva anche una remunerazione dallo sfruttamento dei dati che essa ha condiviso, rendendo quindi ancor più virtuoso ed incentivante il processo di aggregazione.
