PNRR e Data Protection

Il Piano Nazionale di Ripresa e Resilienza (PNRR) Next Generation Italia, non è soltanto un progetto per la ripresa economica, ma soprattutto un'occasione unica per superare i drastici effetti del periodo pandemico. L’obiettivo principale è quello di rendere l’Italia più verde, più digitale e più resiliente, avendo a disposizione considerevoli risorse finanziarie e puntando sull’affermarsi di valori legati alla qualità della vita individuale e al miglioramento della coesione, dell’inclusione e dell’equità delle comunità.

Appare fondamentale ricordare che il PNRR si collochi nell’ambito di un framework di riforme più ampio, teso alla regolamentazione del processo di innovazione tecnologica nell’Unione Europea. Di fatto, con la presentazione del Digital Service Act e del Data Governance Act, la Commissione Europea ha mostrato la propria volontà di tracciare nuovi paradigmi per rafforzare il mercato interno dei servizi digitali.

La “Missione 1: Digitalizzazione, Innovazione, Competitività, Cultura e Turismo” del PNRR si pone l’obiettivo di dare un forte impulso decisivo al rilancio della competitività e della produttività del nostro Paese. Una sfida di tale portata richiede un intervento profondo, che agisca su più elementi chiave del sistema economico italiano, in ottica di innovazione, sostenibilità e promozione dell’immagine e del brand del Paese.

La spinta che Next Generation EU darà alla rivoluzione digitale condurrà, tuttavia, ad un inevitabile ed esponenziale aumento di trattamenti di dati personali, che non potranno prescindere dal rispetto dei principi cardine del GDPR. Pertanto, tutte le realtà private e pubbliche che intendano beneficiare dei vantaggi definiti dal PNRR dovranno necessariamente aver concluso, o quantomeno aver intrapreso, il percorso di conformità alla normativa sulla protezione dei dati personali, che appare oltremodo imprescindibile nella corsa all’innovazione digitale.

Sul punto si è espresso anche il Garante per la Protezione dei Dati Personali, ponendo l’attenzione sulla doppia valenza della tutela prevista dal GDPR nell’ambito del progetto di riforme previste dal PNRR: infondere fiducia nei cittadini in relazione all’attività svolta dai soggetti pubblici nello svolgimento delle proprie funzioni, da una parte, e garantire la sicurezza del processo di innovazione e quindi migliorare la competitività senza che ciò comporti limitazioni ai diritti e alle libertà individuali, dall’altra.

In occasione della presentazione del report annuale dell’attività del Collegio, l’Autorità Garante ha ricordato come l’unica strada percorribile per la realizzazione delle Missioni previste dal PNRR sia proprio l’attuazione di un’effettiva sinergia tra Data Protection e Cybersecurity, poiché solamente la combinazione tra questi due fattori può garantire la realizzazione di un efficace processo di digitalizzazione e innovazione, senza in alcun modo pregiudicare la sicurezza del Paese, oggigiorno tutelata dal Perimetro Nazionale di Sicurezza Cibernetica, ma anche la tutela della dignità dei singoli cittadini.

L’Authority evidenzia inoltre la fondamentale importanza del dialogo tra le istituzione e il Garante stesso, nell’ambito della progettazione delle riforme e della loro attuazione. In virtù della propria indipendenza, l’Autorità potrà fornire preziosi e costruttivi spunti e contributi volti al bilanciamento di interessi spesso contrapposti come quello del progresso tecnologico e della tutela dei diritti e libertà individuali.

Ancora, non soltanto il rispetto dei principi consacrati dal GDPR, ma sarà necessario prestare particolare attenzione e dovizia alle garanzie offerte da fornitori e subfornitori, soprattutto ai players Over The Top (OTT) di tecnologie quali cloud e intelligenza artificiale.

Sul punto, il PNRR menziona espressamente la c.d. strategia “cloud first”: le Pubbliche Amministrazioni potranno scegliere se migrare verso una nuova infrastruttura cloud nazionale all’avanguardia (“Polo Strategico Nazionale” o PSN) o verso una soluzione pubblica sicura, tenendo in debita considerazione la tipologia di dati personali coinvolti nel trattamento, del volume dei dati trattati e del tipo di servizi erogati.

La digitalizzazione della Pubblica Amministrazione (PA) rappresenta uno degli obiettivi prioritari nel Piano Nazionale di Ripresa e Resilienza. Per raggiungere questo obiettivo, sono state previste molteplici misure finalizzate a garantire a cittadini e imprese servizi pubblici di maggiore qualità, efficienza e modernità.

Le infrastrutture digitali, nel privato come nel pubblico, di fatto, ricoprono un ruolo di fondamentale importanza rispetto alla ormai maggior parte delle attività che i cittadini pongono in essere ogni giorno, e formano la colonna portante del sistema di servizi digitali che le Pubbliche Amministrazioni utilizzano ed erogano a cittadini e imprese. Assicurare l’autonomia tecnologica del Paese, in un momento storico dove gran parte degli interessi nazionali viaggia in rete, appare oltremodo mandatorio, e risulta altresì strumentale a garantire il controllo sulla sicurezza dei dati dei cittadini aumentando, nel contempo, la resilienza dei servizi digitali.

Alla luce di quanto sopra, risulta oltremodo di fondamentale importanza la corretta definizione di tutti i fornitori coinvolti nella supply chain, anche in considerazione dei trasferimenti di dati personali verso Paesi Extra EU.

La sentenza C-311/18 della CGUE[1], passata ai posteri come “Schrems II”, ha imposto a tutte le organizzazioni, sia pubbliche che private, profonde riflessioni sulle strategie di compliance da adottare, alterando gli equilibri dell’ecosistema digitale a livello globale. La succitata decisione inciderà inevitabilmente anche sull’attuazione del PNRR essendo il cloud computing una tecnologia imprescindibile per un effettivo processo di digitalizzazione del Paese e per garantire l’effettiva erogazione di servizi al cittadino a livello omogeneo su tutto il territorio nazionale.

Sul punto, recentemente l’European Data Protection Supervisor (EDPS) ha condotto delle analisi[2] atte a verificare la compatibilità con i principi espressi dalla sentenza Schrems II dei contratti stipulati da Istituzioni Europee con due dei principali OTT statunitensi di Cloud Services, Amazon Web Service (AWS) e Microsoft. Secondo il parere dell’EDPS, i trasferimenti di dati personali verso gli Stati Uniti si caratterizzano per la particolare criticità.

Alla luce di quanto indicato, e tenendo in debita considerazione l’importanza che il cloud computing rivestirà in futuro nello sviluppo delle infrastrutture statali, l’EDPS ha ritenuto opportuno delineare un’apposita strategia europea per i trasferimenti di dati personali da parte di soggetti pubblici, poggiante su un approccio risk-based e sui principi di accountability, grande novità del GDPR, e di cooperazione tra le Authorities nazionali e le PA.

In questa sede, particolare importanza assumeranno anche le certificazioni GDPR che permetteranno ai soggetti certificati di dimostrare il raggiungimento di un livello di adeguatezza in grado di accrescere la fiducia di utenti, clienti e fornitori, dando un chiaro segnale del positivo esito del processo di adeguamento, visibile ai terzi.

Per finire, la strategia per la digitalizzazione della Pubblica Amministrazione, propugnata nel PNRR, prevede un importante investimento in tema di interoperabilità delle banche dati. L’obiettivo è quello di migliorare la qualità dei servizi offerti, valorizzando il patrimonio informativo in possesso della PA e il cui utilizzo è stato più volte caratterizzato da gravi inefficienze dovute spesso a una mancanza di coordinamento tra le differenti amministrazioni pubbliche. Questo scenario, come è semplice intuire, si è sempre tradotto in ulteriori costi e aggravi burocratici per cittadini e imprese.

Per trovare una soluzione al problema rilevato, l’investimento previsto nel PNRR prevede l’istituzione di una Piattaforma Digitale Nazionale Dati (PDND), al cui interno ogni ente pubblico potrà condividere e rendere disponibili, in questi modo, le proprie informazioni attraverso una lista di interfacce digitali (Application Programming Interface o API). L’interoperabilità delle banche dati porterà ad una sensibile riduzione dei costi di gestione e a un drastico abbattimento dei tempi di condivisione, spesso lenti a causa della forte burocratizzazione che caratterizza i processi delle Pubbliche Amministrazioni.

I cittadini e le imprese potranno accedere ai servizi pubblici sulla base del principio “once only”, un concetto di e-government per cui cittadini e imprese debbano poter fornire “una sola volta” le loro informazioni ad autorità ed amministrazioni, comunicando quindi in un’unica soluzione le informazioni necessarie alle diverse amministrazioni interessate. A tal riguardo, l’Agenzia per l’Italia Digitale adotterà le Linee Guida definirà i criteri tecnici e gli standard tecnologici per la gestione della Piattaforma Digitale Nazionale Dati, nonché il processo di accreditamento e di fruizione del catalogo API.

Circa gli impatti di tale sistema sui dati personali si è pronunciato il Garante per la Protezione dei Dati Personali. Con parere favorevole dell’8 luglio 2021[3], l’Authority dà atto ad AGID di aver definito un quadro di garanzie e di misure volte ad assicurare l’integrità e la riservatezza dei dati personali, spesso anche particolarmente delicati e sensibili, oggetto di scambio tra le banche dati, rispettando le esigenze di privacy by design e privacy by default, in coerenza con gli obblighi stabiliti dal GDPR.

Per concludere, il PNRR nella missione Digitalizzazione assegna incentivi e crediti d’imposta alle imprese per prodotti informatici e per programmazione informatica, consulenze e servizi connessi.

Questa spinta porterà anche le aziende del settore privato ad intraprendere un rapido percorso verso la digitalizzazione. I trend registrati ad oggi, infatti, vedono anche nel settore privato l’adozione del cloud computing, l’introduzione degli algoritmi di intelligenza artificiale, la connessione informatica di oggetti e device (c.d. Internet of Things o IoT), l’evoluzione della robotica nei sistemi di produzione e della robotica dei processi (Robotic Process Automation o RPA), quale driver per l’esecuzione di attività routinarie o di basso valore aggiunto con la conseguente possibilità di riqualificare il proprio personale verso attività a maggior valore aggiunto.

Anche in questo ambito sarà quindi fondamentale definire degli appropriati processi di privacy by design e by default, individuando la necessità di trattare dati personali, specificandone le finalità ed individuando le corrette basi giuridiche che ne legittimano il trattamento, avendo cura di rispettare i principi fondamentali sanciti nel GDPR.

Dovranno essere individuati i soggetti che trattano i dati, autorizzandoli attraverso specifiche istruzioni ovvero, se esterni, provvedendo alla valutazione delle necessarie nomine di responsabile del trattamento. Particolare importanza sarà ricoperta dall’identificazione di tutta la catena della supply chain, in modo tale da avere il controllo sul processamento dei dati.

Nei servizi cloud, e non solo, ha particolare rilevanza l’individuazione dei luoghi ove avvengono i trattamenti per poter individuare le corrette garanzie per gli eventuali trasferimenti al fuori dello Spazio Economico Europeo.

L’evoluzione della digitalizzazione deve essere supportata da una parallela evoluzione delle misure di protezione informatica, le quali, però, potrebbero introdurre qualche problematica legata al potenziale controllo dei lavoratori a distanza. Un’attenta analisi del bilanciamento degli interessi deve guidare verso modalità di gestione opportune, da concordare con i soggetti preposti secondo quanto definito dallo Statuto dei lavoratori.

Sempre in tema di evoluzione della digitalizzazione, particolare attenzione dovrà essere posta agli algoritmi che rischiano di ledere i diritti fondamentali degli interessati, quali ad esempio quelli in grado di prendere decisioni autonome in merito agli interessati o quelli che ne eseguono profilazioni atte ad individuare attitudini o abitudini comportamentali. In questi casi deve essere svolta un’accurata valutazione dell’impatto sui diritti degli interessati, posto il rispetto dei principi del GDPR, valutando le adeguate modalità e le adeguate misure di protezione.

Senza dimenticare, altresì, che l’interessato ha il diritto di non essere sottoposto a decisioni basate unicamente sul trattamento automatizzato: a tal fine sarà oltremodo necessario informarlo del diritto di ottenere un intervento umano e adottare le necessarie disposizioni procedurali per garantirgli la contestazione della decisione.

[1] Corte di Giustizia dell’Unione Europea (CGUE), Causa C-311/18, Data Protection Commissioner v. Facebook Ireland Limited e Maximillian Schrems, 16 luglio 2020, https://eur-lex.europa.eu/legal-content/it/ALL/?uri=CELEX:62018CJ0311.

[2] https://edps.europa.eu/press-publications/press-news/press-releases/2021/edps-opens-two-investigations-following-schrems_en.

[3] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9682994.