SERVE UN MODELLO CHE PERMETTA ALLE IDEE DI DIFFONDERSI NEL RISPETTO DELLE REGOLE E DEGLI EQUILIBRI DEL LIBERO MERCATO
Intervista VIP a Gabriele Faggioli
Il recente G7 Digital Track che ha visto impegnati le Autorità Garanti di diverse nazioni europee ha affrontato tra i vari temi: la definizione degli strumenti per il trasferimento internazionale dei dati, la certificazione relativa a questo delicato processo; le tecnologie di miglioramento della privacy (PET); gli standard di anonimizzazione; il rafforzamento dei principi di minimizzazione dei dati per affrontare le sfide della sorveglianza commerciale. Si tratta di aspetti che coinvolgono il mondo accademico, l’industria, e il settore pubblico. Professor Faggioli, quali scenari si aprono sul fronte della sicurezza e della protezione dei dati?
L’attenzione sul tema della protezione dei dati personali è ormai elevatissima sia sul fronte dei normatori che sul fronte dei consumatori. Negli ultimi mesi abbiamo assistito anche ad operazioni di “segnalazione” massiva di pretesi comportamenti illeciti che, seppur a mio avviso non pienamente condivisibili nei modi, hanno messo in luce alcuni problemi importantissimi legati ai flussi transfrontalieri di dati. Se da un lato questa attenzione è ovviamente positiva, in chiave di tutela dei diritti delle persone, è pur vero che in alcuni passaggi si ha talvolta la sensazione di una complessità regolatoria e di un approccio interpretativo fin esagerato. Una cosa è certa: le imprese hanno sempre più l’interesse a usare i dati personali che possono raccogliere e quindi il mercato dei fornitori, caratterizzato da moltissime start-up, sta continuamente evolvendosi proponendo soluzioni software e servizi sempre più potenti. Abbiamo quindi forze contrapposte che rappresentano interessi ampiamente contrastanti con tutti i problemi interpretativi, applicativi e imprenditoriali del caso.
Per la PA è valido lo stesso ragionamento?
La pubblica amministrazione appare meno coinvolta ma basta vedere le polemiche sul green pass o su alcuni progetti di scoring in talune città italiane per rendersi conto che il tema “dati personali” è primario anche in ambito pubblico. Il paradosso sta nel fatto che a fronte di norme sempre più puntuali e talvolta restrittive che spingono alla minimizzazione quando non alla anonimizzazione, ne abbiamo altre che aprono all’open banking, ai servizi aperti e interconnessi. Sono le due facce della stessa medaglia: il progresso si porta dietro la necessità di dati e informazioni che devono essere protetti e devono essere gestiti nel rispetto dei principi normativi. Trattandosi di norme ampiamente interpretative e non oggettive nella loro applicazione, ed essendo impossibile una norma che anticipi il mercato, assisteremo sempre a una situazione di caos ordinato.
La guerra e la “frontiera digitale”
La guerra alle porte dell’Europa ha aperto un terreno critico anche sul fronte della sicurezza informatica. Attacchi sempre più sofisticati colpiscono istituzioni, settori strategici (come infrastrutture, ospedali) partiti politici. Quali strumenti vanno messi in campo per proteggere la “frontiera digitale” che assume una rilevanza decisiva per la tutela non solo dei singoli, ma anche degli Stati?
Personalmente ritengo che l’Italia sia indietro di 20 anni. L’indice DESI (Digital Economy and Society Index: è un indice introdotto dalla Commissione Europea nel 2014 per misurare i progressi dei Paesi europei in termini di digitalizzazione dell’economia e della società) parla chiaro: siamo terzultimi in Europa per popolazione con competenze digitali almeno di base (42%), contro una media UE del 56%, e quartultimi per competenze digitali avanzate (22%), contro una media UE del 31%; la quota di imprese che ha offerto formazione in ambito ICT ai propri dipendenti si ferma al 16%, contro una media europea del 20%; siamo ultimi ne
l continente per quota di laureati in ambito ICT sul totale della popolazione con una laurea (1,3% rispetto a un valore UE del 3,9%).
In tema di spesa in sicurezza informatica posso dire che l’Italia nel 2021 ha speso 1,5 miliardi di euro complessivamente (0,08% del PIL). Per contro, UK spende lo 0,25% del PIL in sicurezza informatica (il triplo di noi per di più con un PIL molto più alto), Germania e Francia lo 0,16% del PIL (il doppio dell’Italia).
Una situazione di certo non rosea, che dovrebbe sollecitare una presa d’atto oltre e interventi istituzionali mirati. Si intravede qualche spiraglio?
A mio avviso le azioni messe in campo a livello nazionale (l’Agenzia, il perimetro nazionale di cybersicurezza, il polo strategico nazionale e la strategia nazionale) sono ampiamente condivisibili e vanno sostenute. Da una parte serve per forza alzare la competenze digitali in particolare sul tema cybersecurity (anche perché mancano moltissime figure professionali essendoci un mercato del lavoro ampiamente recettivo in questo momento), dall’altra parte si devono mettere a fattor comune gli investimenti spingendo sui servizi di cloud computing (non solo in ambito PA ma anche nel mondo privato). “Aumentare gli investimenti” corretto sostenerlo, ma ricordiamoci che non è possibile pretendere maggiore spesa in periodi di difficoltà economiche complessive.
Il Garante della Privacy nella relazione annuale si è soffermato su un duplice aspetto: la nuova direttiva NIS 2 giudicando “lungimirante la scelta dell’UE di aggiornare a fine 2020 la strategia di cybersecurity”, e l’istituzione dell’agenzia nazionale per la cybersicurezza. Cosa dobbiamo aspettarci dall’introduzione di questi due tasselli nel corpus nella normativa vigente?
L’Italia ha ora un corpo normativo completo. La strategia nazionale guiderà gli investimenti e gli interventi in ottica di priorità nei prossimi anni e le aziende impattate dalla NIS prima e dalla NIS 2 ora saranno tenute ad adottare posture cyber di assoluto livello. Speriamo che tutto ciò sia di traino per tutte le aziende non impattate direttamente dalle normative di cui sopra che comunque rappresentano la grande maggioranza delle imprese italiane. Sappiamo bene che oggi i danni causati da un cyberattacco sono spesso estremamente rilevanti quindi indipendentemente dalle normative è mandatorio per imprenditori e manager rendersi conto dei ri
schi che corrono le loro aziende. Lo stesso identico discorso vale per le pubbliche amministrazioni. Siamo di fronte a un passaggio epocale. Finalmente la tematica non è più lasciata alla buona volontà di qualche manager illuminato o a qualche normativa. Ora esiste un disegno complessivo, di respiro non solo italiano. Sono certo che in questo quadro di insieme l’Agenzia saprà essere guida per tutti.
La sfida del GDPR
L’entrata in vigore del GDPR è un passo importante. A che punto sono le organizzazioni produttive nella compliance delle misure previste, a cominciare dall’istituzione del DPO, figura centrale per l’attuazione di efficaci misure di prevenzione e di governance del rischio informatico?
Penso che si debbano fare alcune distinzioni. Dal mio punto di osservazione penso di poter affermare che le grandi imprese soprattutto nel settore B2C hanno fatto passi importantissimi nella direzione della compliance. Diversa è la galassia delle PMI dove invece ci sono a mio avviso ampie sacche di criticità. Per le pubbliche amministrazioni vale lo stesso discorso ma teniamo presente la difficoltà di avere budget adeguati per molti enti pubblici. Per quanto riguarda i DPO la mia sensazione è che il livello medio sia valido. Non mi entusiasmano per niente le polemiche di chi a tutti i costi vuole vedere negativamente il fatto che si stata creata una famiglia professionale che, come tutte le altre, ha eccellenze e livelli qualitativi inferiori. D’altronde, l’esistenza di diverse fasce di professionalità vale per tutti i settori di mercato. Penso che stia ai titolari del trattamento, in base alle proprie specificità, capire il livello di professionalità necessario e di conseguenza valutare la necessità di impegnare risorse economiche adeguate.
La compliance costa, non per tutte le aziende è facile stare al passo con quanto richiesto dalle normative vigenti. Quale è la sua opinione in merito?
Penso che si stia esagerando con i costi di compliance. Le aziende sono costrette a investire risorse importantissime. Capisco perfettamente l’esigenza di innalzare il livello di attenzione e di cultura sui temi della compliance per la prioritaria necessità di tutelare i diritti delle persone e una gestione sana delle imprese pubbliche amministrazioni. Ma questi costi non devono diventare così alti da limitare e frenare l’innovazione e gli investimenti produttivi altrimenti diventano odiosi e incomprensibili. Inoltre, ci si deve chiedere se il livello di compliance richiesto dalle norme e applicato nel mercato sia omogeneo in tutta Italia e perlomeno in tutta Europa, perché se così non fosse ci sarebbero elementi distorsivi della concorrenza inaccettabili.
Gigacapitalisti e libero mercato
La protezione dei dati ha delle ricadute sugli equilibri geopolitici. Cina Stati Uniti Europa stanno discutendo della possibile definizione di una “sovranità digitale”. Di che cosa si tratta in concreto?
La sovranità digitale si raggiunge con il controllo delle infrastrutture digitali e dei dati. Questo postula che tecnologie e dati risiedano nello spazio geografico e giurisdizionale a cui appartengono. Devo dire che come obiettivo non mi appassiona. Personalmente sono enormemente più europeista e aperto a una visione globale del mondo, ma indipendentemente dal mio pensiero, la sovranità digitale è quasi impossibile senza l’autonomia tecnologica. E l’Italia è lontanissima da esserlo. Il problema risiede nel fatto che neanche l’Europa lo è, perché dipende soprattutto dagli Stati Uniti. Purtroppo dopo tanti anni di globalizzazione stiamo assistendo a una de-globalizzazione o forse a una frammentazione. Questo non penso porterà alla sovranità digitale europea quanto invece a una polarizzazione verso due o massimo tre centri di potere tecnologico. Il mondo aperto per noi sarà più piccolo di prima e si avrà meno la possibilità di creare valore unendo tecnologie di aree del mondo diverse. Da un altro punto di vista per le aziende produttrici di un blocco si creano quote di mercato in territori più vicini. Insomma, credo che ci saranno, come in tutte le fasi storiche, vantaggi e svantaggi e ci sarà chi crescerà e chi sarà spazzato via dal mercato.
L’edizione del 2019 del Rapporto sull’Internet Society ha denunciato lo strapotere delle piattaforme digitali coniando la definizione di total service environments. Gig economy e strapotere delle piattaforme minacciano la libertà democratica in molti Paesi. Che tipo di compliance va adottata per limitare il potere dei “gigacapitalisti” che questi strumenti controllano?
Penso sia uno dei più importanti temi politici del nostro tempo. Non è pensabile che queste imprese si autoregolamentino e tantomeno che lo faccia il “mercato”. Non hanno strumenti adatti nemmeno le Autorità. Se si lascia che queste imprese si sviluppino per decenni trascinando con se un infinità di realtà più piccole, si permette che arrivino ad avere fatturati pari a PIL di intere nazioni non si può poi pretendere di intervenire in maniera radicale all’improvviso. Serve una strategia di lungo periodo e lungimirante. Se da un lato infatti è vero che queste piattaforme prese
ntano profili potenzialmente minacciosi per le libertà democratiche, è pur vero che contribuiscono enormemente alla libertà democratica di ognuno di noi. Aver unito il mondo, permettere a miliardi di persone di entrare in contatto, aver aperto infiniti mercati, aver contribuito alla alfabetizzazione digitale sono solo alcuni degli impatti positivi di queste imprese. Non vanno demonizzate come non vanno idolatrate. Bisogna riuscire a impedire le derive antidemocratiche e gli usi distorti di queste piattaforme anche innalzando la cultura digitale dei cittadini. In questo senso le scelte politiche e il ruolo della scuola (vorrei dire e delle famiglie, se non fosse che spesso i genitori sono più ignoranti digitalmente dei figli) sono le due chiavi di volta su cui serve muoversi. La compliance segue alle scelte politiche ma non penso che serva un modello punitivo. Serve un modello che permetta alle idee di correre veloci senza per questo arrivare a uno strapotere tale da rendere queste imprese indipendenti rispetto al mercato e alle regole.
Autore: Massimiliano Cannata
