Sovranità digitale, nel dibattito aperto dal nostro articolo sull’intervento di un tribunale canadese su dati conservati in Europa cui hanno fatto seguito le interviste esclusive con Gabriele Faggioli, Stefano Mainetti e anche gli annunci recenti di IBM e AWS, ora intervenie anche una multinazionale da sempre focalizzata sulla sicurezza in cloud come Netskope. Pubblichiamo infatti di seguito l’intervento di Neil Thacker, Global Privacy & Data Protection Officer, Netskope
«Nell’era del cloud e dei flussi di dati che attraversano i confini geopolitici alla velocità della luce, sapere dove risiedono le informazioni aziendali — e sotto quale giurisdizione ricadono — non è più un tema per addetti ai lavori. La sovranità dei dati è diventata una questione strategica per qualunque organizzazione che operi in un’economia digitale globale.
Si tratta però di un terreno complesso e in continua evoluzione. Normative come il GDPR europeo, il CCPA statunitense e un numero crescente di leggi nazionali sulla localizzazione dei dati, talvolta anche in competizione tra loro, rendono la conformità un obiettivo mobile: ciò che era lecito ieri potrebbe non esserlo più oggi. In questo contesto, comprendere chi detiene i dati, chi vi accede e dove vengono archiviati è un pilastro imprescindibile di una solida governance. E richiede un approccio proattivo e strategico alla gestione dei dati e dei fornitori.
Sovranità dei dati, oltre la semplice conformità
Quando si valutano i fornitori tecnologici — in particolare quelli che offrono servizi cloud — la conformità formale non basta. Chiedere se un vendor è “GDPR compliant” è solo il punto di partenza. È nei dettagli delle pratiche di trattamento dei dati che si gioca la partita della sovranità.
Per questo, DPO e CISO sono chiamati a esaminare con attenzione termini contrattuali, modelli di governance e processi interni dei fornitori, per capire come i dati vengano raccolti, utilizzati, conservati e protetti.
Privacy by design: un principio chiave
Uno dei concetti centrali è quello di privacy by design: la tutela della privacy deve essere integrata fin dall’origine nella progettazione dei sistemi, e non aggiunta successivamente come misura correttiva. Se sul fronte della security by design esistono ormai framework e linee guida consolidate, la privacy by design rimane spesso meno strutturata e più difficile da valutare.
Un fornitore affidabile dovrebbe essere in grado di dimostrare di aver definito il proprio approccio ai dati ben prima della loro raccolta. Questo include politiche chiare sull’uso dei dati per finalità come l’addestramento dei modelli di intelligenza artificiale: i dati dei clienti vengono utilizzati? In forma anonimizzata? O non vengono utilizzati affatto? La trasparenza su questi aspetti è un indicatore chiave di maturità.
Minimizzazione dei dati: ridurre per proteggere
Accanto alla privacy by design, la minimizzazione dei dati rappresenta uno dei principi fondamentali della protezione delle informazioni e un alleato cruciale della sovranità dei dati. L’obiettivo è semplice: raccogliere e trattare solo ciò che è strettamente necessario e per il tempo indispensabile.
Dal punto di vista architetturale, questo significa privilegiare l’elaborazione in memoria rispetto all’archiviazione persistente, limitare l’accesso temporale ai dati ed evitare che informazioni sensibili restino conservate presso terze parti. Meno dati vengono trattati all’esterno, minore è l’esposizione a rischi normativi e geopolitici.
Un fornitore che non è in grado di spiegare chiaramente come applica questi principi, o che oppone resistenza a domande puntuali, rappresenta un potenziale campanello d’allarme.
PET: proteggere i dati che devono circolare
Quando la raccolta dei dati è inevitabile, entrano in gioco le Privacy Enhancing Technologies (PET). Tecniche come anonimizzazione, pseudonimizzazione, tokenizzazione o redazione consentono di estrarre valore informativo riducendo al minimo i rischi per la privacy e la sovranità.
Dal punto di vista operativo, le PET permettono di mantenere i dati “in chiaro” all’interno di specifici confini territoriali, trasferendo verso altre aree solo informazioni prive di elementi identificativi. In questo modo, anche in caso di intercettazione o analisi non autorizzata, i dataset risultano privi di valore.
La presenza di PET integrate nell’architettura di un servizio è oggi un indicatore importante dell’affidabilità di un fornitore, soprattutto se combinata con una reale strategia di minimizzazione dei dati.
Sovranità dei dati, il nodo dei sub-responsabili
Uno degli aspetti più critici nella gestione della sovranità dei dati è la visibilità sui sub-responsabili del trattamento. I fornitori cloud, infatti, fanno spesso ricorso a una catena di terze parti per erogare i propri servizi. Senza un quadro chiaro di questa filiera, i dati aziendali possono finire in mani e in Paesi mai valutati direttamente.
Mappare i sub-responsabili, conoscere le loro sedi e comprendere i criteri con cui vengono selezionati e monitorati è un’attività che richiede tempo, ma che non può essere trascurata da chi punta a una governance dei dati completa e consapevole.
Il ruolo centrale dei contratti
In questo scenario, il Data Processing Agreement (DPA) assume un ruolo centrale. È qui che devono essere definiti in modo preciso le finalità del trattamento, le categorie di dati coinvolti, i tempi di conservazione e, soprattutto, i requisiti di localizzazione e residenza dei dati.
Clausole chiare e vincolanti sulla sovranità dei dati rappresentano uno degli strumenti più efficaci per ridurre i rischi e garantire controllo e visibilità. Accettare formulazioni standard senza possibilità di negoziazione significa, spesso, esporsi a zone d’ombra difficili da gestire in seguito.
Sovranità dei dati, una sfida che richiede determinazione
Gestire i dati in modo responsabile, con un’attenzione concreta alla sovranità, non è un percorso semplice né rapido. Richiede competenze, tempo e, talvolta, la capacità di dire no a fornitori che non offrono sufficienti garanzie. Ma è proprio questa fermezza a contribuire all’innalzamento degli standard dell’intero settore.
Per le organizzazioni che considerano la sovranità dei dati un obiettivo strategico, la strada è chiara: porre le domande giuste, analizzare a fondo le pratiche dei fornitori e utilizzare gli strumenti contrattuali per mantenere controllo e visibilità sui percorsi che i dati compiono attraverso i confini digitali»
