La data sovereignty, intesa come il controllo e la giurisdizione sui dati raccolti e gestiti dalle aziende, è diventata un tema centrale nell’attuale mondo interconnesso, dove le informazioni scorrono attraverso confini geografici in modo rapido e senza soluzione di continuità. Tuttavia, la sua attuazione è spesso un delicato equilibrio tra conformità normativa ed esigenze operative.
Conformità normativa e necessità operative
Mentre le norme sulla protezione dei dati, come il GDPR dell’Unione Europea, il Patriot Act negli Stati Uniti o il Digital Privacy Act in Canada, garantiscono la sicurezza e la privacy sulle informazioni personali, le aziende si trovano a dover affrontare due sfide apparentemente contrastanti:
- da una parte, l'obbligo di conformarsi a tali regolamenti,
- dall'altra l'esigenza di utilizzare e accedere ai dati in modo efficiente per le proprie attività.
Sovranità dei dati, il dilemma delle aziende globali
Le leggi sulla localizzazione dei dati creano una complessità operativa per le aziende che operano su scala globale. Le normative, poi, hanno la tendenza a essere modificate con una certa frequenza perché i Paesi devono costantemente coniugare la sicurezza nazionale, la protezione dei dati e le nuove tecnologie.
Il sempre più ampio ricorso all’automazione e all’intelligenza artificiale ha mostrato che è un passaggio obbligato considerare come le normative potrebbero cambiare, essere invalidate o aggiunte. La conformità è oggi essenziale tanto quanto come operativa. È fondamentale avere la capacità di adattarsi rapidamente ai cambiamenti del quadro normativo o anche alle incoerenze che si possono presentare, perché oggi sono molteplici i Paesi che hanno definito delle leggi per la data sovereignty, ciascuna con le proprie sfumature e non tutte vanno nella stessa direzione.
Le organizzazioni devono considerare attentamente anche le normative sulla data residency, poiché la mancata conformità alle leggi vigenti nel luogo fisico in cui i dati sono memorizzati, ospitati o resi disponibili per l'archiviazione o per l'elaborazione potrebbe comportare sanzioni o problemi legali. Pertanto, la gestione della data residency diventa parte integrante delle strategie aziendali per la gestione dei dati in modo sicuro e conforme alle normative locali e internazionali.
Come trattare i diversi tipi di dati
Come suggerisce Deloitte, per le aziende che operano nell'odierna economia digitale globale, rispettare le normative sulle modalità di archiviazione, gestione ed elaborazione dei dati è fondamentale non solo per evitare significative ripercussioni legali e sanzioni economiche, ma anche per mantenere la fiducia di clienti e partner.
Con il mutare del panorama geopolitico, l'aggiornamento delle normative e l'intensificarsi delle preoccupazioni sulla privacy dei dati, la capacità di un'azienda di gestire le questioni relative alla data sovereignty e del cloud può avere un impatto diretto sulla sua reputazione sul mercato, sulle sue attività e sui suoi profitti.
Le aziende devono agire per posizionarsi al meglio. In primo luogo, devono condurre una verifica completa dei dati, identificando le fonti ed effettuando una classificazione in base alla sensibilità . Per esempio, i dati personali degli utenti potrebbero essere trattati in modo diverso dai dati analitici anonimizzati o dai metadati.
Se già non ne hanno una, le aziende dovrebbero anche considerare una strategia di data residency. In pratica, dovrebbero decidere dove risiederanno i dati in base alle esigenze di performance (come la latenza) e ai requisiti normativi. Questo potrebbe significare l'utilizzo di data center locali, cloud distribuiti o cloud region.
Infine, le aziende dovrebbero rivedere le proprie politiche di archiviazione e trasferimento dei dati e assicurarsi che i dati siano crittografati: se attraversano i confini, la crittografia può offrire un ulteriore livello di protezione contro gli accessi non autorizzati.
Il fondamentale ruolo del cloud
Per affrontare queste sfide, le aziende stanno adottando diverse strategie. In alcuni casi, si tratta di politiche interne rigorose nella gestione dei dati e tecnologie avanzate come la crittografia e le reti private virtuali.
Molto più frequente è invece il ricorso a servizi cloud che consentono di archiviare i dati in località specifiche per conformarsi alle leggi locali. Proprio per questo, come conferma un’indagine condotta da Capgemini, le organizzazioni pongono sempre maggiore cautela nel modo con cui controllare il flusso di dati attraverso i confini e come contenere tali dati in determinate regioni all'interno dell'ambiente cloud.
Questo comporta che i fattori legati alla data sovereignty stiano acquisendo sempre più rilevanza nella scelta di un fornitore di piattaforme di cloud pubblico. Più in dettaglio:
- l'82% delle organizzazioni considera rilevanti aspetti legati all'identità, alla gestione degli accessi e alla crittografia. Questo dato sale all'88% nel caso delle compagnie di assicurazioni e all'87% nel settore industriale.
- L'81% considera invece prioritario l'isolamento dei propri dati sensibili nel cloud.
- Il 66% delle organizzazioni a livello globale e nel settore pubblico ritiene un criterio di selezione fondamentale l'offerta di data center locali/regionali dei fornitori di cloud.
Data sovereignty, una questione strategica
La data sovereignty è sempre più una questione strategica per le organizzazioni. Avere un’efficace gestione dei dati può rassicurare i clienti, ridurre il rischio di possibili conseguenze legali e mettere al sicuro il patrimonio informativo di un’azienda.
Considerata la rapida, e a volte indiscriminata, evoluzione tecnologica, il panorama normativo è destinato a essere in continua evoluzione. Questo potrebbe indurre ad avere una più chiara comprensione delle varie normative attraverso il coinvolgimento di esperti locali. Un problema che potrebbe essere efficacemente risolto avvalendosi di partner che hanno rappresentanze nei Paesi di interesse.
Infine, sarebbe buona norma che le aziende fossero il più possibile trasparenti con i clienti, comunicando chiaramente come e dove vengono conservati ed elaborati i loro dati.