Sponsored Story

Sovranità dei dati: come garantirla 

La sovranità dei dati implica che le informazioni generate, elaborate, convertite e archiviate in forma digitale siano soggette alle leggi del Paese dove sono state create e trattate. Ma se i dati devono essere trasferiti in un altro Paese, possono nascere problemi normativi. Ecco come affrontarli.

Pubblicato il 22 Gen 2024

sovranità dei dati

Principio fondamentale nell’era della globalizzazione digitale, la sovranità dei dati introduce complessità nel panorama normativo e giuridico, soprattutto quando i dati vengono raccolti in un Paese e trattati in un altro. Questo implica che il Paese di origine detenga la giurisdizione e l’autorità su tali dati, permettendo l’applicazione delle proprie leggi in materia di archiviazione, elaborazione e protezione. Tuttavia, quando i dati attraversano i confini nazionali, il Paese ospitante potrebbe imporre le sue regolamentazioni facendo emergere conflitti normativi.

Affrontare questa sfida richiede alle organizzazioni di adottare misure specifiche, come la stipula di accordi sulla protezione dei dati e l’implementazione di meccanismi di trasferimento conformi alle normative locali.

Requisiti normativi: serve consapevolezza

La consapevolezza del panorama legislativo che sta alla base della sovranità dei dati è cruciale per le organizzazioni, le quali devono avere ben chiari i requisiti legali dei Paesi coinvolti nella loro gestione. Questo implica la conoscenza delle norme sulla protezione dei dati, delle restrizioni sul trasferimento transfrontaliero e l’implementazione di misure adeguate a garantire la privacy e la sicurezza.

Il cloud computing e le più recenti tecnologie di archiviazione, come l’object storage, hanno reso più fluido il flusso dei dati attraverso i confini. A fronte di questa evoluzione, molti Paesi hanno introdotto nuove normative per regolare il traffico transfrontaliero dei dati. I fornitori di servizi cloud hanno risposto adattando i propri servizi per rispettare le normative internazionali sulla sovranità dei dati, stabilendo data center in diverse region e stipulando accordi adeguati.

La capacità digitale sovrana

L’implementazione di cloud sovrani, rispettosi delle normative locali, offre vantaggi sia ai provider, sia ai clienti. I provider possono ottenere la conformità alle leggi locali, mentre i clienti hanno la certezza che i loro dati siano trattati in modo sicuro nella loro giurisdizione. I cloud sovrani possono anche favorire la crescita delle imprese locali, consentendogli di gestire in sicurezza i dati governativi e sviluppando una resiliente infrastruttura digitale nazionale.

La capacità digitale sovrana diventa essenziale per evitare dipendenze da operatori stranieri e garantire la sicurezza e la gestione autonoma dei dati nazionali.

Cyber Security - Sblocca na protezione dinamica e proattiva grazie al cloud - Scarica il White Paper

GDPR e leggi locali

In un contesto in cui la sovranità del dato è un tema cruciale, le aziende devono concentrarsi sulla gestione e sulla conservazione dei dati all’interno del proprio Paese. “Parallelamente – afferma Davide Capozzi, Innovation Director del cloud provider WIIT ed esperto di data sovereignty – c’è una spinta verso l’adozione del cloud, data dall’impellente necessità di digitalizzazione che deve passare proprio attraverso il paradigma del cloud. Queste due tendenze convergono, coinvolgendo partner o cloud provider privati regionali per soddisfare le esigenze aziendali”.

È interessante notare come i cloud provider possano essere la soluzione ideale per combinare la digitalizzazione attraverso il cloud con la garanzia di mantenere la sovranità dei dati a livello territoriale. D’altra parte, per una serie di motivi, alcune aziende potrebbero dover valutare attentamente le proposte degli hyperscaler, considerando anche la loro recente apertura di region all’interno di svariati Paesi.

“Nel mercato ICT mondiale, l’Italia rappresenta solo una minima percentuale del fatturato delle multinazionali americane” sottolinea Capozzi. “La presenza di data center degli hyperscaler in Italia non mira perciò a conquistare il mercato, quanto piuttosto a rispondere alle esigenze di conformità, come nel caso del GDPR”. Infatti, il regolamento adottato dall’Unione Europea non solo richiede la localizzazione dei dati, ma impone anche che le aziende che operano sui tali dati e i cloud provider che li trattano siano entrambi situati all’interno del Paese stesso.

“Questo può sembrare un dettaglio, ma in realtà riveste una grande importanza” precisa Capozzi. “Soprattutto chi ha un footprint di cloud globale con outsourcing di alcune competenze, per esempio in paesi extra UE, può infatti incorrere in questo ulteriore rischio”. Nel caso della privacy, il GDPR si applica laddove ci sia un trattamento di dati di un cittadino appartenente alla comunità europea. Non è quindi legato al fatto che sia presente un’azienda straniera in un determinato Paese: l’applicazione del GDPR prescinde dalla country.

Le certificazioni che assicurano sicurezza e conformità

La questione della sovranità del dato assume perciò un ruolo chiave, poiché le aziende multinazionali devono gestire le informazioni in conformità con le normative locali e regionali, come il GDPR. Il Cloud Security Alliance (CSA) e il Cloud Provider Assurance Working Group (CPAWG) hanno delineato certificazioni specifiche, come ISO 27001, ISO 27017 e ISO 27018, che possono ricoprire un’importante funzione nel garantire la sicurezza e la conformità.

Il panorama della data sovereignty e della sicurezza dei dati si complica ulteriormente quando si considera l’introduzione di tecnologie emergenti, come l’intelligenza artificiale. Se da una parte l’AI può offrire vantaggi significativi, come nel caso della protezione dei dati, dall’altra si devono invece valutare attentamente le implicazioni in termini di localizzazione delle informazioni e di conformità normativa. Questo perché spesso le piattaforme di AI cui si può accedere online per effettuare le loro elaborazioni inviano i dati immessi a data center all’estero, principalmente negli Stati Uniti.

Come garantire la sovranità dei dati

Per garantire la protezione e la sovranità dei dati, un’azienda dovrebbe puntare su un cloud provider con un’ampia presenza nel Paese di riferimento e con operazioni locali. Certificazioni riconosciute, come quelle definite dal Cloud Provider Assurance Working Group, possono essere indicatori importanti della sicurezza e della conformità che può assicurare tale provider. A queste si può aggiungere anche la ISAE 3402, che è ormai una modalità standard per certificare i processi. “Si tratta di una certificazione di matrice statunitense, – evidenzia Capozzi – ma sempre più di frequente viene ricercata anche tra gli operatori europei”.

Infine, oltre alla scelta del provider di servizi cloud, sono essenziali la collaborazione e la costruzione di una relazione di fiducia tra il cliente e il provider stesso, richiedendo trasparenza riguardo l’ubicazione dei server e l’adesione agli accordi sui livelli di servizio.

“Gli aspetti di trust e partnership sono spesso sottolineati nelle implementazioni di servizi cloud – conclude Capozzi – specialmente quando si tratta di gestire dati sensibili e processi critici per l’azienda. La collaborazione attiva tra il cliente e il provider può contribuire a garantire una gestione efficace dei dati, una conformità normativa e una continuità operativa”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Aziende

Canali

Articoli correlati

  • Sponsored Story

    ERP in Cloud: i vantaggi dell'outsourcing per le aziende

    13 Apr 2023

    Condividi

Prossimo

ERP in Cloud: i vantaggi dell'outsourcing per le aziende

Articolo 1 di 2