Pubblichiamo il testo dell’intervento tenuto da Giuseppe Vaciago, avvocato esperto in diritto delle nuove tecnologie, al convegno “I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”, svoltosi all’Università Milano-Bicocca il 25 novembre scorso.
ll presidente di Euta (European Tech Alliance), Gianpiero Lotito ha recentemente affermato che “stiamo assistendo a un cambio di paradigma: per la prima volta, l’Europa considera il settore digitale come strategico”. In questo scenario in costante evoluzione, mentre in Europa si inizia a discutere di investimenti strategici sul digitale, è interessante notare che negli Stati Uniti inizia a farsi strada un embrione di normativa in materia di protezione dei dati. Il California Consumer Privacy Act (CCPA) che entrerà in vigore a gennaio 2020, è una norma strutturalmente differente dal General Data Protection Regulation (GDPR), ma introduce per la prima volta alcuni principi che potrebbero, a tendere, limitare la “mercificazione” del dato personale. Il fatto che la “vendita” del dato inizi a diventare vietata anche negli Stati Uniti salvo che il consumatore non venga informato del suo diritto di opporsi in merito a tale attività (“Do Not Sell My Personal Information”) introduce una logica di opt-out ben lontana dai principi del GDPR, ma che ne rappresenta un primo e concreto tentativo di riavvicinamento. Non ci si dimentichi però che nel 2018 gli Stati Uniti hanno approvato il “Cloud Act”: una legge federale che – fra le altre cose – permette alle autorità giudiziarie statunitensi di ottenere dai fornitori di servizi cloud di diritto Usa dati e informazioni sensibili, anche quando sono depositati fuori dal perimetro statunitense.
Tuttavia, lo scenario internazionale non si limita a Europa e Stati Uniti: tralasciando la scelta della Russia di cui potremo discutere solo quando avremo visto la compatibilità tecnologica, dobbiamo pensare al mercato del dato digitale nell’est del mondo. La Cina e l’India costituiscono due potenze in grado di ribaltare in pochi decenni il dominio del nuovo Impero Romano del dato personale: la Silicon Valley.
Sostenibile per il nostro Paese la scelta di puntare sul settore digitale?
Fatta questa premessa utile a inquadrare uno scenario molto più ampio di quello nazionale ed Europeo, la domanda però da porsi quando si parla di sovranità digitale è la seguente: è sostenibile per il nostro Paese la scelta di puntare sul settore digitale?
A questo domanda possiamo rispondere interrogandoci sull’impatto che ha avuto e che avrà il GDPR sul “motore economico” del nostro Paese: la PMI. Secondo le ultime stime di Prometeia, nel 2017 si contavano circa 5,3 milioni di PMI che fornivano occupazione a oltre 15 milioni di persone. Il rapporto Cerved 2018 evidenzia che 123.495 sono piccole imprese (tra 10 e 50 dipendenti) e 25.036 sono medie aziende (tra 50 e 250 dipendenti). Di fatto quindi il tessuto nazionale vede la presenza di 148.000 piccole e medie imprese a fronte di un volume superiore ai 5 milioni di micro-imprese. A fronte di questi dati, una stima realistica dei costi per l’implementazione del GDPR per azienda è pari a circa 1.000 euro calcolando una media ponderata tra le PMI che superano i due milioni di euro di fatturato e il vasto tessuto delle micro-imprese nazionali. Il costo totale in termini totali potrebbe quindi essere stimato in 5,3 miliardi di euro: una cifra esattamente doppia alla stima che l’Osservatorio Cloud Transformation del Politecnico di Milano ha dato per quantificare l’intero mercato Cloud italiano: 2,77 miliardi di euro nel 2019.
Quali sono le tre più importanti considerazioni che possiamo trarre da questi dati?
In primo luogo, dobbiamo constatare che poter avere una sovranità nazionale dei dati il percorso in termini di sviluppo del Cloud è ancora lungo. Francia e Germania hanno iniziato ad investire prima e meglio. E per parlare di sovranità digitale europea, l’Unione deve competere con i colossi statunitensi e in un futuro non tanto lontano anche con quelli provenienti dall’est del mondo che attualmente hanno una capacità di spesa e di investimento in tecnologia decisamente più elevato.
In secondo luogo, dobbiamo interrogarci sulla necessità di avere dati precisi sugli investimenti fatti dalle PMI per l’implementazione del GDPR. La sensazione è che buona parte di questo importo sia stato speso per aumentare il livello di compliance documentale, senza che però siano stati fatti investimenti infrastrutturali che consentano di aumentare il livello di security. La logica è semplice: mentre la consulenza (ahimè) ha un costo variabile, l’hardware e i prodotti software hanno un costo fisso molto spesso superiore a quella stima di 1.000 euro che si è grossolanamente ipotizzato sopra.
In terzo luogo, dobbiamo capire se il tessuto imprenditoriale italiano che rappresenta un unicum a livello mondiale per varietà e volumi delle micro-imprese possa affrontare la sfida del GDPR in modo maturo e consapevole. Nella mia esperienza professionale, ho visto alcune realtà che hanno considerato la normativa come un’opportunità di “business” e non come un “fatto” di compliance. Ricordiamoci infatti che la necessità di garantire una corretta compliance nella supply chain impone anche al più piccolo fornitore di prestare particolare attenzione a misure tecniche e organizzative idonee a proteggere il dato al fine di evitare pericolose conseguenze sanzionatorie al titolare del trattamento. Tuttavia, ci sono molte altre realtà che non hanno questa sensibilità ed è urgente che si trovino dei sistemi per semplificare il processo di adeguamento. L’Autorità Garante per la Protezione dei Dati Personali lo sta facendo con il progetto “SmeData” e speriamo che sia solo l’inizio di una serie di progetti che vanno verso questa direzione.
In conclusione, la sfida delle PMI Italiane è quella di comprendere l’importanza della protezione del dato sia sotto il profilo del rispetto dei diritti fondamentali dell’individuo che sotto quello della sicurezza informatica. Questa sfida deve però essere incentivata sia a livello fiscale attraverso una maggiore attenzione agli investimenti fatti dalle imprese sia dalla nostra Autorità Garante per la Protezione dei Dati personali, come peraltro già sta facendo, con progetti specifici di ausilio al rispetto del GDPR per le PMI. Solo in questo modo, ci saranno i presupposti per poter ipotizzare, nel prossimo futuro, una sovranità digitale nazionale ed europea.
Il videoservizio del convegno “I Dati tra Sovranità Digitale e Interesse Nazionale. Le Persone, le Pubbliche Amministrazioni e le Imprese”, svoltosi all’Università Milano-Bicocca il 25 novembre scorso.
