GUIDA NORMATIVA

Le misure di sicurezza nel GDPR: quali sono, come applicarle, costi di attuazione

A differenza della precedente normativa che, pur lasciando al Titolare il compito di valutare misure di sicurezza adeguate ai rischi, elencava una serie di misure minime, il GDPR non prescrive al riguardo alcuna misura obbligatoria. Ma è veramente così? Facciamo luce

Pubblicato il 11 Mag 2021

Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Misure di sicurezza nel GDPR

La precedente normativa in materia di protezione dei dati personali elencava una serie di misure minime di sicurezza, pur lasciando al titolare del trattamento il compito di valutare quelle adeguate ai rischi: il GDPR, invece, al riguardo non prescrive alcuna misura obbligatoria, ma è utile andare con ordine e chiarire alcuni aspetti importanti.

Le misure di sicurezza nel GDPR: gli articoli di riferimento

Prima di tutto, prediamo in considerazione quali sono gli articoli che invitano il titolare del trattamento ad adottare misure tecniche e organizzative adeguate, dopo aver effettuato una valutazione dei rischi.

Questi sono quantomeno gli articoli 24, 25 e 32 (sempre obbligatori)[1]:

    • Articolo 24 – Responsabilità del titolare del trattamento (C74-C78).
    1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.
    • Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (C75-C78).
    1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.
    • Articolo 32 – Sicurezza del trattamento (C83).
    1. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: …
    2. Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Come si evince dalla lettura degli articoli, le misure tecniche e organizzative adeguate non sono necessariamente e solamente misure a tutela della sicurezza (art. 32), ma comprendono, ad esempio, la tutela dei principi (art. 25).

Misure di sicurezza nel GDPR: indicazioni generiche

Limitandoci al solo ambito della sicurezza, oggetto di questo articolo, a differenza di quanto riportava l’Allegato B del D.lgs. 196/03, l’art. 32 non elenca una serie di misure prescrittive, ma si limita a dare delle indicazioni generiche:

    • che comprendono, tra le altre, se del caso:
    1. la pseudonimizzazione e la cifratura dei dati personali;
    2. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
    3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
    4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

In realtà, tuttavia, una attenta lettura dell’art. 32 porta già ad individuare una misura obbligatoria, che non è compresa nell’elenco sopra riportato, ma nel comma 4, il quale infatti recita:

4. Il titolare del trattamento e il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri

La formazione dei soggetti autorizzati al trattamento dei dati è quindi un obbligo normativo, ed anzi costituisce una delle poche misure di sicurezza obbligatore del GDPR.

Ma vi è un’altra misura, ben più significativa ed onerosa per i Titolari che è necessario rispettare, e la si trova nel già citato art. 25, il quale recita:

2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità.

In particolare, mentre la minimizzazione della quantità dei dati personali raccolti, della portata del trattamento e del periodo di conservazione, richiede l’adozione di misure tecnico/organizzative che non possono essere considerate misure di sicurezza, sicuramente la minimizzazione del numero dei soggetti che possono accedere ai dati personali richiede l’implementazione di adeguati sistemi di profilazione ed autorizzazione all’accesso.

La reale capacità di gestire adeguatamente tale prescrizione è, a dire il vero, limitata a organizzazioni molto piccole o comunque dotate di un sistema informativo molto semplice.

Le difficoltà a consentire l’accesso ai dati

Al di là della teoria, consentire un accesso ai soli dati (ed alle sole funzioni) strettamente necessari per lo svolgimento delle specifiche finalità del trattamento è alquanto complesso, ma non oggetto di analisi in questo articolo.

Va anche precisato che tale misura di sicurezza era una di quelle già previste dal sopra citato Allegato B del D.lgs. 196/03 e pertanto, anche se le misure di sicurezza li citate non sono teoricamente più obbligatorie, risulterebbe molto difficile giustificarne l’assenza.

Apparirebbe, infatti, alquanto strano e poco giustificabile, durante una visita ispettiva, non riscontrare la presenza di alcune misure di sicurezza ritenute obbligatorie dalla precedente normativa. Per quale motivo un Titolare dovrebbe volontariamente diminuire il proprio livello di sicurezza?

In altre parole, anche se formalmente non sono più obbligatorie, è molto difficile giustificare l’assenza delle misure minime di sicurezza presenti nell’Allegato B. L’interpretazione più ovvia che un auditor potrebbe dare in questo caso, è che in realtà quella misura di sicurezza non sia mai stata implementata.

Analogamente, sempre in caso di controllo, apparirebbe insolito riscontrare un progetto di implementazione di tale misura, considerandola come un adeguamento alla prescrizione prevista dell’art. 25, essendo tale misura già prevista dall’Allegato B; infatti, l’attivazione di tale progetto, costituirebbe una evidenza oggettiva del mancato rispetto di una misura minima obbligatoria (presidiata penalmente) prevista dalla precedente normativa.

Quindi non trovare oggi una misura di sicurezza obbligatoria prevista dalla precedente normativa, o trovare un progetto di “adeguamento” che preveda l’implementazione di una di tali misure, costituiscono quantomeno un elemento di forte attenzione per un auditor[2].

Misure di sicurezza nel GDPR: protezione dati by design e by default

Se ci fossero dubbi su quanto prevede l’art. 25 in merito alla minimizzazione nell’accesso ai dati è utile riferirsi alle Linee guida 4/2019 sull’articolo 25 Protezione dei dati fin dalla progettazione e per impostazione predefinita Versione 2.0 dell’EDPB adottate il 20 ottobre 2020 che al riguardo recitano:

2.2.2.4 Accessibilità dei dati

55. Il titolare dovrebbe prevedere limitazioni quanto ai soggetti abilitati all’accesso e alla tipologia dell’accesso ai dati personali sulla base di una valutazione della necessità e assicurare che i dati personali siano realmente accessibili a chi ne ha bisogno in caso di necessità, ad esempio in situazioni critiche. I controlli dell’accesso dovrebbero essere effettuati per l’intero flusso di dati durante il trattamento.

Tali linee guida sono molto utili anche per considerare altri aspetti che riguardano da un lato l’analisi dei rischi e dell’altro la valutazione di adeguatezza delle misure tecniche ed organizzative da implementare.

In particolare gli artt. 25 e 32, fanno riferimento per la valutazione di dette misure allo stato dell’arte e ai costi di attuazione, due termini la cui interpretazione può suscitare qualche perplessità.

Al riguardo le linee guida riportano le seguenti spiegazioni.

Data protection by design e by default: lo stato dell’arte

Per quanto attiene lo Stato dell’arte

19. Nell’ambito dell’articolo 25, il riferimento allo «stato dell’arte» impone l’obbligo ai titolari, allorché determinano le misure tecniche e organizzative adeguate, di tenere conto degli attuali progressi compiuti dalla tecnologia disponibile sul mercato. Ciò comporta che i titolari debbano essere a conoscenza dei progressi tecnologici e rimanere sempre aggiornati sulle opportunità e i rischi per il trattamento, in termini di protezione dei dati, derivanti dalle tecnologie e su come mettere in atto e aggiornare le misure e le garanzie che assicurano un’attuazione efficace dei principi e dei diritti degli interessati tenendo conto dell’evoluzione del panorama tecnologico.

20. Lo «stato dell’arte» è un concetto dinamico che non può essere definito staticamente con riguardo a un determinato momento, bensì dovrebbe essere oggetto di una valutazione continuativa nel contesto dei progressi tecnologici. Di fronte a tali progressi, un titolare può riscontrare che una misura in precedenza atta a conferire un livello di protezione adeguato ora non lo è più. Trascurare l’aggiornamento sui progressi tecnologici potrebbe, quindi, comportare una mancata osservanza dell’articolo 25.

21. Il criterio dello «stato dell’arte» non si applica esclusivamente alle misure tecnologiche, ma anche a quelle organizzative. La mancanza di misure organizzative adeguate può ridurre o compromettere del tutto l’efficacia di una tecnologia scelta. Possono costituire esempi di misure organizzative l’adozione di politiche interne, la formazione aggiornata in materia di tecnologia, sicurezza e protezione dei dati nonché politiche di gestione e di governance della sicurezza informatica.

Data protection by design e by default: costi di attuazione

E per quanto riguarda i Costi di attuazione

23. Il titolare può tenere conto del costo di attuazione allorché sceglie e applica misure tecniche e organizzative adeguate e garanzie necessarie che mettono efficacemente in atto i principi al fine di tutelare i diritti degli interessati. Il costo si riferisce alle risorse in generale, compresi il tempo e le risorse umane.

24. Il fattore costo implica che il titolare non impieghi una quantità sproporzionata di risorse nel caso in cui esistano misure alternative, meno dispendiose, ma efficaci. Tuttavia, il costo di attuazione rappresenta un fattore di cui tenere conto nel realizzare la protezione dei dati fin dalla progettazione, e non già un motivo per astenersi dal realizzarla.

25. Le misure individuate devono pertanto garantire che l’attività di trattamento prevista dal titolare non comporti trattamenti di dati personali in violazione dei principi, indipendentemente dal costo di tali misure. I titolari devono essere in grado di gestire i costi complessivi per poter attuare efficacemente tutti i principi e, di conseguenza, tutelare i diritti.

Natura, ambito di applicazione, contesto e finalità del trattamento

È evidente che quanto detto per l’art. 25 vale anche per l’art. 32.

Ulteriore specificazione, valida in questo caso anche per l’art. 24 è la spiegazione del concetto di natura, ambito di applicazione, contesto e finalità del trattamento.

Al riguardo le Linee guida recitano:

26. I titolari devono tenere conto della natura, dell’ambito di applicazione, del contesto e della finalità del trattamento allorché determinano le misure necessarie.

27. Questi fattori devono essere interpretati in modo coerente con il ruolo ad essi attribuito in altre disposizioni del RGPD, quali gli articoli 24, 32 e 35, allo scopo di integrare principi di protezione dei dati nella progettazione del trattamento.

28. In breve, il concetto di natura può essere inteso come le caratteristiche intrinseche11 del trattamento. L’ambito di applicazione fa riferimento alla dimensione e all’ampiezza del trattamento. Il contesto riguarda le circostanze nel trattamento che possono influenzare le aspettative degli interessati, mentre la finalità si riferisce agli obiettivi del trattamento.

Misure di sicurezza nel GDPR: le linee guida

Oltre alla interpretazione di questi concetti, che come evidenziato sono presenti più volte nel testo di legge, le citate linee guida suggeriscono anche una serie di misure di sicurezza (anche se limitate ai parametri di integrità e riservatezza e non alla disponibilità).

Al riguardo vengono citati:

    • sistema di gestione della sicurezza delle informazioni – occorre disporre di uno strumento operativo per gestire le politiche e le procedure per la sicurezza delle informazioni;
    • analisi del rischio – valutare i rischi per la sicurezza dei dati personali, considerando l’impatto sui diritti delle persone, e contrastare quelli identificati, nonché, ai fini dell’utilizzo nella valutazione dei rischi, sviluppare e gestire una «modellizzazione delle minacce» esaustiva, sistematica e realistica e un’analisi della superficie di attacco riferita al software specifico così da ridurre i vettori di attacco e le opportunità di sfruttare eventuali punti deboli e vulnerabilità;
    • sicurezza fin dalla progettazione – tenere conto non appena possibile dei requisiti di sicurezza nella progettazione e nello sviluppo del sistema, integrando e svolgendo costantemente test pertinenti;
    • manutenzione – rivedere e verificare periodicamente il software, l’hardware, i sistemi e i servizi, ecc. per scoprire eventuali vulnerabilità dei sistemi di supporto del trattamento;
    • gestione del controllo degli accessi – solo il personale autorizzato che ne ha necessità dovrebbe avere accesso ai dati personali necessari ai loro compiti di trattamento. Inoltre, il titolare dovrebbe differenziare i privilegi di accesso del personale autorizzato;
    1. limitazione dell’accesso (agenti) – definire il trattamento dei dati in modo tale che un numero minimo di persone abbia bisogno di accedere ai dati personali per svolgere le proprie funzioni, e limitare l’accesso di conseguenza;
    2. limitazione dell’accesso (contenuto) – nel contesto di ciascuna operazione di trattamento, limitare l’accesso per ogni set di dati ai soli attributi che sono necessari allo svolgimento di tale operazione. Limitare inoltre l’accesso ai dati relativi agli interessati di competenza del rispettivo dipendente;
    3. segregazione dell’accesso – definire il trattamento dei dati in modo tale che nessuno necessiti di accedere a tutti i dati raccolti sull’interessato, tanto meno a tutti i dati personali di una categoria specifica di interessati;
    • trasferimenti sicuri – i trasferimenti sono protetti da modifiche e accessi non autorizzati e accidentali;
    • conservazione sicura – la conservazione dei dati è protetta da modifiche e accessi non autorizzati. Dovrebbero essere previste procedure per valutare il rischio di conservazione centralizzata o decentrata, e le categorie di dati personali cui si applicano. Alcuni dati potrebbero richiedere misure di sicurezza supplementari rispetto ad altri o l’isolamento da questi ultimi;
    • pseudonimizzazione – i dati personali e i backup/registri di eventi dovrebbero essere pseudonimizzati come misura di sicurezza per ridurre al minimo i rischi di potenziali violazioni dei dati, ad esempio utilizzando l’hashing o la cifratura;
    • backup/registri di eventi – conservare backup e registri di eventi nella misura necessaria per la sicurezza delle informazioni, utilizzare registri delle attività (audit trails) e il monitoraggio degli eventi come controlli di sicurezza su base routinaria, proteggendoli da modifiche e accessi non autorizzati e accidentali e rivedendoli periodicamente, oltre a gestire in modo tempestivo eventuali incidenti;
    • ripristino in caso di disastro (disaster recovery)/continuità operativa – soddisfare i requisiti per il ripristino del sistema informativo in caso di disastro e per la continuità operativa, al fine di ripristinare la disponibilità dei dati personali a seguito di incidenti rilevanti;
    • protezione in base al rischio – tutte le categorie di dati personali dovrebbero essere protette con misure adeguate contro il rischio di violazioni della sicurezza. I dati che comportano rischi particolari dovrebbero, ove possibile, essere tenuti separati dagli altri dati personali;
    • gestione della risposta in caso di incidenti legati alla sicurezza – occorre disporre di metodologie, procedure e risorse per rilevare, limitare, gestire e segnalare le violazioni dei dati e trarne insegnamenti;
    • gestione degli incidenti – al fine di rendere più solido il sistema di trattamento, il titolare deve disporre di procedure per gestire violazioni e incidenti, ivi comprese procedure di notifica quali la gestione delle notifiche (per l’autorità di controllo) e delle informazioni (per gli interessati).

Misure di sicurezza nel GDPR: i punti da chiarire

Sebbene non vincolanti, le indicazioni fornite da queste linee guida sono molto significative, in quanto elaborate dalle varie Autorità di controllo. Si può ritenere quindi che tali misure di sicurezza siano quelle che, in caso di vista ispettiva, un’Autorità si aspetterebbe di trovare.

Queste linee guida costituiscono quindi una fonte di informazioni che va ben al di là dell’oggetto specifico di analisi e costituiscono un punto di riferimento generale anche rispetto a temi quali l’analisi del rischio e le misure di sicurezza.

Non sono tuttavia immuni da difetti; il più rilevante è il costante riferimento nel testo ai diritti e le libertà degli interessati in luogo dei diritti e le libertà delle persone fisiche, come invece prescritto dalla normativa e riscontrabile in tutti gli articoli prima citati[3].

Una formulazione che non è senza conseguenze.

Anche se è poco probabile che un Titolare sia sanzionato per il fatto di aver effettuato un’analisi dei rischi riferendosi ai soli interessati e non anche alle persone fisiche potenzialmente impattate (ad esempio i famigliari di un paziente), nondimeno un Titolare deve ricordare che anche tali soggetti (oltre ad altri) possono, in virtù dell’art. 82, chiedere un risarcimento danni in conseguenza di un danno subito[4].

Articolo 82

Diritto al risarcimento e responsabilità (C142, C146, C147)

1. Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.

Quindi, non considerare anche di questi soggetti durante un’analisi dei rischi ai sensi degli artt. 24, 25, 32 del GDPR espone il Titolare ad un maggior rischio in caso di risarcimento danni.

Da ultimo un aspetto particolarmente importante e per lo più trascurato.

Le misure tecniche preventive di profilazione ed autorizzazione all’accesso ai dati non possono prevenire un accesso illecito ai dati da parte di un soggetto che è legittimato a farlo.

In altre parole, un operatore di filiale può accedere ai conti di tutti i clienti della filiale, in quanto ha correttamente le autorizzazioni per farlo (è cioè legittimato a farlo).

Tuttavia l’accesso a tali dati deve essere opportunamente motivato, ad esempio da una richiesta di un cliente o per una valutazione dello stesso. L’accesso non può essere giustificato da una mera curiosità dell’operatore stesso.

Un accesso effettuato senza una reale motivazione di lavoro quindi è illecito e, a dire il vero, costituisce una violazione di dati personali.

Ecco quindi la necessità di affiancare a misure preventive, che limitino tecnicamente l’accesso ai dati, anche misure che consentano di verificare che tale accesso sia sempre lecito, ad esempio, mediante la consultazione dei log delle operazioni effettuate (con i conseguenti adempimenti previsti dall’art. 4 della legge 300/70).

Fra l’altro tale indicazione, oltre ad essere citata nelle misure di sicurezza suggerite dalle linee guida in analisi, nel mondo bancario costituisce da anni un obbligo previsto da uno specifico provvedimento dell’Autorità Garante.

Conclusioni

La complessa individuazione e gestione di misure di sicurezza adeguate (o obbligatorie) può trovare supporto nei documenti di indirizzo elaborati dall’EDPB, la cui lettura deve però sempre tenere in giusta considerazione quelle che sono le richieste espresse nel testo della normativa.

 

NOTE

  1. Le analisi dei rischi nel GDPR: regole e metodologie realizzative 

  2. I rischi dell’attività di audit nel percorso di adeguamento al GDPR 

  3. Su questo tema si veda in particolare il mio articolo: Sicurezza e GDPR, i soggetti tutelati: cosa valutare per effettuare un’analisi dei rischi compliant

  4. Casistica che ho già avuto modo di analizzare in concreto

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Who's Who

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Prossimo

NIS2, le linee guida ENISA per l’implementazione in azienda: i punti essenziali