PROTEZIONE DATI

Servizi cloud PA, ecco le linee guida EDPB per la conformità privacy: quale lezione

A conclusione di un’indagine coordinata con le singole Autorità di controllo europee sull’utilizzo dei servizi cloud da parte dei soggetti pubblici, l’EDPB ha pubblicato un report con le principali indicazioni per gestire al meglio i rapporti con i fornitori di servizi cloud per le PA. Eccole nel dettaglio

Pubblicato il 26 Gen 2023

Francesco Falcone

Senior Management Consultant Technology, Cybersecurity, GDPR & Business Protection

Servizi cloud PA indicazioni EDPB

Un’azione coordinata di verifica sull’uso dei servizi cloud, detta CEF (Coordinated Enforcement Framework) da parte degli enti pubblici è stata effettuata in tutta l’Unione europea dall’EDPB (European Data Protection Board) con l’obiettivo di armonizzare l’approccio adottato dalle singole autorità di controllo per garantire un’applicazione più coerente della legislazione dell’UE sulla protezione dei dati.

Più di 80 enti pubblici in un’ampia gamma di settori, tra cui sanità, finanza, tasse, fornitura e appalti di servizi IT e istruzione, sono stati contattati dalle autorità di protezione dati dei singoli paesi coinvolti, per la verifica sull’utilizzo dei propri fornitori di servizi in cloud, comunemente detti Cloud Providers, o CSP (Communication Service Providers).

Tali verifiche sono state effettuate con modalità diverse, che vanno da questionari conoscitivi a indagini formali nel caso in cui sono stati riscontrati problemi di privacy.

L’EDPB ha presentato un report con i risultati delle indagini, anche se, a livello nazionale, alcune misure correttive tra quelle suggerite sono ancora in discussione.

Il report presentato aggrega i risultati di tutte le Autorità partecipanti al CEF, indicando le maggiori sfide identificate dalle Autorità stesse durante le verifiche.

L’EDPB ha affermato che oltre 22 autorità nazionali si sono unite alla campagna in tutto lo Spazio economico europeo, tra cui il Garante europeo della protezione dei dati (European Data Protection Supervisor) – che l’anno scorso ha avviato la propria indagine sui contratti tra le istituzioni dell’UE e i giganti del cloud statunitensi, AWS e Microsoft, come parte della sua supervisione della loro conformità alle norme sulla protezione dei dati.

Tra le maggiori sfide emerse dal report, si trovano problematiche nella fase precontrattuale relative all’esecuzione di una valutazione d’impatto sulla protezione dei dati (e/o una valutazione del rischio), la mancanza di contratti, con impossibilità di negoziare contratti su misura e la definizione del ruolo delle parti, includendo la mancanza di conoscenza e controllo sulla catena di fornitura e quindi dei sub-responsabili dei trattamenti.

Inoltre, tra le sfide rilevate si pongono i trasferimenti internazionali, la possibilità di accesso ai dati da parte di autorità pubbliche straniere, così come l’auditing e la mancanza di pieno controllo sulla elaborazione dei dati di telemetria.

Esaminiamo per singoli punti le problematiche evidenziate, per trarre indicazioni utili ad identificare possibili misure che ogni impresa può adottare per mitigare i rischi identificati dal Report dell’EDPB.

Tali indicazioni appaiono prevalentemente fruibili dal segmento Corporate, visto che il segmento SME non ha, in genere, una struttura organizzativa e tecnica sufficientemente strutturata e budget adeguato per poterle implementare.

Cookie banner e dark pattern, arriva la “black list” di EDPB: ecco tutte le precisazioni

Esecuzione di una DPIA nella fase precontrattuale

Il report EDPB evidenzia che solo poco più di un terzo delle parti interessate che utilizzano i CSP ha indicato che è stata condotta una valutazione di impatto (Data Protection Impact Assessment o DPIA) prima del trattamento. In alcuni casi, è stata eseguita, ma non era chiaro se tenesse conto di eventuali specificità dei servizi cloud.

Alcuni si sono affidati completamente alle misure di sicurezza del CSP ed a una DPIA fornita dal CSP.

Tuttavia, come evidenziato dall’EDPB, ciò comporta solo la valutazione del rischio per la sicurezza delle informazioni, senza alcuna valutazione sui rischi per la protezione dei dati, in quanto il CSP non è a conoscenza delle modalità e delle finalità del trattamento, e pertanto neppure dei rischi per i diritti e la libertà delle persone fisiche e per lo stesso titolare del trattamento.

Spesso il responsabile della protezione dei dati (RPD/DPO) non è stato strettamente coinvolto nel processo di valutazione del CSP.

L’EDPB evidenzia che il passaggio ai servizi cloud potrebbe rappresentare una rilevante modifica del livello di rischio, che richiederebbe quindi sia una DPIA che la relativa revisione periodica.

Infine, l’EDPB rileva che la mancanza di una DPIA, può comportare l’incapacità di identificare e affrontare efficacemente i rischi connessi al trattamento dei dati personali nell’uso dei servizi cloud, pertanto i Titolari del Trattamento potrebbero incontrare difficoltà nell’adempiere al loro obbligo di utilizzare solo processori che forniscano garanzie sufficienti, ai sensi dell’articolo 28 (1) del GDPR.

Considerazioni

La transizione dei servizi dal proprio Centro Servizi ad un fornitore in Cloud, richiede quasi sempre una migrazione complessa, in genere molto sottovalutata dalle aziende.

Non si tratta solo della migrazione di dati ed applicazioni, ma occorre tenere presente che un po’ tutte le misure di sicurezza, anche quelle organizzative, devono essere riorganizzate quando tali misure, sono delegate all’esterno, come avviene nella migrazione di servizi esistenti in ambito Cloud

Inoltre, non tutti i titolari del trattamento sono completamente consapevoli del fatto che nel modello classico di “Shared Responsibility” adottato dai Cloud Providers, il titolare del trattamento rimane sempre parzialmente responsabile di larga parte di dette misure, anche quando sono in Cloud, pertanto nella migrazione a servizi in Cloud, deve essere valutato anche l’impatto che la diversa ripartizione delle responsabilità ha sulle misure di sicurezza esistenti.

Inoltre, da quanto sopra esposto, emerge una chiara difficoltà nell’affrontare una valutazione di impatto relativa a servizi complessi fornitori da Cloud Providers di grandi dimensioni, che non è limitata al settore pubblico, ma che è senz’altro diffusa nel settore privato, riconducibile principalmente alle seguenti problematiche:

  1. Complessità nella valutazione degli agreement, spesso non limitati ad un unico contratto, ma con agreement specifici per parti di servizio differenti, o per aree geografiche differenti, soggette a legislazioni anche differenti.
  2. Difficoltà nella comprensione di eventuali trattamenti secondari nel caso di servizi complessi (es. telemetria, o parte del servizio fornito da terze parti).
  3. Difficoltà nella comprensione della catena di fornitura dei servizi e del recepimento di eventuali cambiamenti nel tempo.
  4. Rallentamento dei tempi di implementazione dei servizi, in un periodo in cui il mercato richiede tempi di risposta sempre più rapidi.
  5. Mancanza di skills e budget adeguato per realizzare valutazioni di impatto molto complesse.

Tutto ciò rende difficoltoso per i Titolari del Trattamento, affrontare complesse e costose DPIA, anche quando necessarie.

Misure di mitigazione dei rischi

  1. Coinvolgimento in prima persona del DPO (RPD) per la verifica sulla necessità di effettuazione della DPIA. Solo coinvolgendo il DPO il Titolare del Trattamento può essere sicuro che sia verifica sulla necessità della DPIA sia fatta da qualcuno con Skills adeguati alla valutazione. Da evitarsi il recepimento “passivo” di una DPIA generica fornita dal Cloud Provider, che non può essere esaustiva di tutti i rischi corsi dai propri trattamenti dati.
  2. Se il DPO (RPD) lo ritiene necessario, occorre realizzare una DPIA prima di utilizzare i servizi del CSP; la DPIA dovrebbe prendere in considerazione anche i mutati scenari di gestione delle misure di sicurezza organizzative, e non solo quelle tecniche, in considerazione del fatto, che la responsabilità di parte di tali misure può essere effettuata da una organizzazione “terza” che non segue le policy ed i processi aziendali interni.
  3. Implementazione e verifica delle misure di mitigazione dei rischi emersi dalla DPIA prima di utilizzare i servizi del CSP.

Comprendere esattamente il ruolo delle parti oggetto del contratto

L’EDPB ribadisce che per poter valutare i ruoli delle parti quando si utilizza un CSP, è importante che siano determinate tutte le fasi delle attività di trattamento, sia per quanto riguarda il trattamento principale, sia per quanto riguarda i trattamenti secondari e/o subordinati.

È importante quindi determinare all’interno dei contratti con i CSP i ruoli di titolare e responsabile del trattamento ed assicurarsi che il ruolo attribuito corrisponda alla reale operatività.

Nella maggior parte dei casi, i CSP si presentano unicamente come responsabili o sub-responsabili, ma in pratica è difficile definire e descriverne il ruolo con precisione all’interno dei contratti. Deve essere tenuto conto, tuttavia, che vi sono alcuni casi in cui è il CSP stesso che prevede, nei propri contratti standardizzati attività di trattamento dei dati per le quali agisce in qualità di titolare, come ad esempio il trattamento dei dati di telemetria/diagnostica.

Se i ruoli e le responsabilità non sono correttamente specificati, il rispetto dei rispettivi obblighi diventa difficile, venendo meno la certezza dell’Accountability su alcuni trattamenti secondari, per i quali dovrebbe essere il CSP ad assumersi l’obbligo di informare gli interessati e rispettare altri obblighi del GDPR, ad esempio gli obblighi di responsabilità di cui all’articolo 5, paragrafo 2, del GDPR.

Per quanto riguarda gli Uffici Acquisti centralizzati, EDPB suggerisce che non dovrebbero essere considerati come responsabili del trattamento o contitolari ove non sia chiaro quale elaborazione essi dovrebbero effettuare.

Considerazioni

Come già sopra esposto, i Cloud Providers in genere non forniscono in genere informazioni sufficienti per comprendere il processo end to end ed i ruoli assunti da ogni “stakeholder” durante tutti i trattamenti effettuati, includendo tutta la propria catena di fornitura.

Questo per la complessità e frammentazione delle tecnologie e dell’operatività, ma anche perché il modello “as a service”, nato per fornire flessibilità operativa e grande adattabilità, richiederebbe anche da parte del Cloud Provider un grosso sforzo, per mantenere adeguati gli aspetti formali e contrattuali verso tutti i clienti, informandoli puntualmente di ogni variazione.

Infatti, è evidente che i Cloud Providers, sfruttando i benefici dei servizi “as a service”, possano modificare velocemente l’utilizzo dei propri fornitori durante l’erogazione dei servizi offerti, anche cambiandoli in corso d’opera, per minimizzare i costi o per risolvere eventuali problematiche di fornitura, o anche per poter aggiungere nuovi servizi, ma è discutibile che tutti questi cambiamenti vengano poi riflessi, almeno in tempi ragionevoli, negli accordi contrattuali con tutti i vari clienti in essere e che tutti i clienti vengano immediatamente ed esaustivamente informati di tali cambiamenti.

Il modo migliore di limitare questo tipo di rischio è quello di realizzare una DPIA anche nei casi in cui non sia espressamente richiesta dai requisiti GDPR per la tipologia di azienda, di trattamento dati e per il tipo di dati trattati.

Una DPIA con un sufficiente livello di approfondimento infatti, fornisce all’azienda molte informazioni utili per valutare il ruolo ed il tipo di coinvolgimento del CSP in tutte le fasi del trattamento.

Inoltre, in presenza della creazione di Diagrammi di flusso dati, generalmente allegati ad una DPIA, può risultare chiaro se tra i flussi di dati ve ne siano alcuni utilizzati da trattamenti secondari o subordinati, verso il Centro Servizi del CSP, evidenziando eventualmente altri aspetti rilevanti (sub-responsabili, trasferimenti verso l’estero e via dicendo) da riportare anche nei registri di trattamento.

Inoltre, si suggerisce in qualità di titolare di verificare periodicamente l’allineamento del proprio registro dei trattamenti (registro del titolare), con il registro dei responsabili che ogni responsabile del trattamento è tenuto a tenere aggiornato.

Misure di mitigazione del rischio

  1. Realizzare una DPIA, che includa anche diagrammi di alto livello sul flusso dati. Se fatta con un livello di dettaglio sufficiente, l’analisi dei flussi dati, permette di avere contezza, se i dati siano debbano transitare da quale piattaforma, consentendo di identificarne anche il fornitore e/o il gestore, e se tali piattaforme siano gestite all’estero, integrando quindi i dati forniti dal CSP.
  2. Verifica periodica sull’allineamento tra il proprio registro dei trattamenti Art. 30(1) ed il Registro dei Responsabili Art. 30(2) relativo alle proprie attività gestito dai responsabili del trattamento, allo scopo di far emergere eventuali tracciamenti relativi a trasferimento dei dati a paesi terzi.

Impossibilità di negoziare contratti su misura

EDPB indica che in relazione ai requisiti posti dall’Art. 28(1) che richiedono di utilizzare responsabili del trattamento che abbiano garanzie adeguate e dall’Art. 28(3), che richiede di specificare eventuali garanzie all’interno del contratto, potrebbe essere necessario negoziare un contratto su misura, dovendo adattare i termini di ogni contratto di elaborazione alle specifiche operazioni di trattamento effettuate dal titolare, anche se un contratto standard può essere utilizzato come modello.

Tuttavia, nella maggior parte dei casi esaminati, EDPB riscontra la difficoltà dei titolari del trattamento nel negoziare un contratto su misura con i Cloud Providers, considerando che essi generalmente offrono contratti standard e predeterminati e non lasciano spazio alla negoziazione dei termini dei contratti.

In questi casi, i titolari sono spesso i soggetti con minor potere contrattuale, non potendo fare altro che accettare le condizioni poste dal CSP o decidere di non utilizzare il servizio in Cloud.

Se il titolare non può negoziare i termini dei contratti, a causa dello squilibrio di potere, può essere difficile per loro determinare le finalità e i mezzi del trattamento dei dati personali per la durata del contratto e adempiere agli obblighi previsti dal GDPR.

Considerazioni

Il problema non è limitato al settore pubblico, ma è molto comune per tutte le aziende private, di qualsiasi dimensione, che si avvalgano di servizi in Cloud.

La maggior parte dei fornitori di servizi in Cloud (IaaS, PaaS o SaaS) infatti, fornisce unicamente servizi pacchettizzati con contratti “standard” e cioè non modificabili.

La standardizzazione è giustificata dal fatto che il proprio Business Model ha enormi benefici per il fatto di poter configurare e replicare lo stesso identico servizio per innumerevoli clienti. Le personalizzazioni non sono in genere consentite, dato che, per adeguarsi alle necessità di un singolo cliente, si ridurrebbero i benefici economici per il Cloud Provider dati dalla semplice replicazione dello stesso servizio su larga scala.

Motivo per cui i Cloud Providers non sono generalmente, disponibili a personalizzarlo.

È importante però che l’azienda abbia piena consapevolezza delle attività/trattamenti di dati che vuole trasferire, delle priorità e delle criticità, del trasferimento ben prima di selezionare il CSP, perché solo avendo ben chiari tutti i requisiti necessari per poter utilizzare servizi in Cloud, con relative priorità, sarà poi possibile selezionare il Cloud Provider che meglio risponde alle proprie necessità, o anche valutare implementazioni Hybrid, mantenendo una parte dei servizi “in-house”.

È opportuno strutturare un processo di selezione e qualificazione dei fornitori in Cloud molto accurato, per identificare quello tra i fornitori le cui caratteristiche di servizio si avvicinano di più alle proprie necessità. Questo può essere fatto tramite team multidisciplinari a supporto dell’Ufficio Acquisti, ma anche avvalendosi di informazioni liberamente disponibili sul mercato o avvalendosi di società di consulenza specializzate.

Come criterio di valutazione, la possibilità di personalizzazione del servizio da parte del CSP è un elemento importante per la conformità a GDPR, ma anche per rispondere meglio ai cambiamenti di mercato o della tecnologia.

Misure di mitigazione del rischio

  1. L’azienda dovrebbe strutturare un processo di selezione e qualificazione dei fornitori in Cloud molto accurato, per identificare quello tra i fornitori le cui caratteristiche di servizio si avvicinano di più alle proprie necessità, mettendo insieme un team di valutazione con competenze multidisciplinari adeguate, che comprenda tutte le figure necessarie per una valutazione accurata.

Sub-responsabili e trasferimenti internazionali di dati

L’articolo 28 del GDPR prevede che i titolari del trattamento debbano “utilizzare solo responsabili del trattamento che forniscano garanzie sufficienti” e che il responsabile del trattamento non assuma un altro responsabile senza previa autorizzazione scritta del titolare del trattamento. In caso di autorizzazione generale, il responsabile deve quindi informare il titolare riguardo l’aggiunta o la sostituzione di sub-responsabili, dando così al titolare la possibilità di opporsi a tali modifiche.

EDPB riscontra che in molti casi, la conoscenza o il controllo sui sub-incaricati coinvolti nel trattamento e l’entità di tale trattamento sia principalmente limitata alle informazioni generali rese disponibili dai CSP, spesso tramite liste pubblicate online sui loro siti Internet, senza sapere per quali scopi specifici siano coinvolti e senza la possibilità di approvare o meno uno specifico sub-responsabile.

Ne deriva che il titolare, pur rimanendo completamente responsabile, abbia un controllo limitato e non possa opporsi in modo significativo all’uso o al cambio di sub-responsabili e non sia in grado di garantire il rispetto dei requisiti GDPR in particolare verso il trasferimento dati verso paesi terzi.

Nel verificare servizi forniti su cloud con modalità SaaS, forniti da società con sede al di fuori dell’UE (compresi gli Stati Uniti), EDPB rileva nel report che alcune di queste società hanno sede o operano, direttamente o tramite terze parti, in paesi che non offrono un livello di protezione adeguato.

EDPB riscontra inoltre che i titolari spesso hanno fornito un’autorizzazione generale per utilizzare sub-responsabili, ma senza contrattualizzare il diritto di opporsi, senza procedure di opposizione (modalità per opporsi, conseguenze o penali ecc.) e nessuna strategia di uscita, tranne la risoluzione dell’intero contratto, con conseguente danno significativo.

La maggior parte dei CSP non sembra propensa a modificare il proprio modello considerando che, in molti casi i CSP affermano che non sarebbe possibile per loro fornire servizi in modo diverso.

In generale, il rischio di non avere un modo significativo per opporsi a un nuovo sub-responsabile sembra essere spesso sottovalutato, ignorato o si spera che venga gestito quando si presenta il problema.

Dall’analisi effettuata da EDPB, inoltre, emerge che il solo utilizzo di un CSP che fa parte di un gruppo multinazionale soggetto alle leggi di paesi terzi può comportare che le leggi di paesi terzi in questione si applichino anche ai dati conservati nel SEE. Eventuali richieste potrebbero quindi essere rivolte direttamente al CSP all’interno del SEE e riguarderebbero dati presenti nel SEE anche in mancanza di trasferimento.

Qualora l’applicazione della legislazione del paese terzo comporti la possibilità per le autorità di effettuare richieste di accesso ai dati conservati dal CSP nello Spazio Economico Europeo, EDPB rileva la necessità di effettuare un’analisi approfondita dei rischi prima della conclusione del contratto.

Considerazioni

In mancanza di una analisi approfondita e piena conoscenza sull’utilizzo di sub-fornitori e delle finalità per cui ogni sub-responsabile viene utilizzato, il titolare del trattamento ha pochi mezzi per evitare di incorrere in problemi legati ad una specifica sub-fornitura che non rispetti i requisiti dettati dal GDPR.

Nel caso in cui un CSP utilizzi un sub-responsabile indesiderato, che opera magari da un paese che non offre garanzie adeguate, il titolare potrebbe non essere in grado di intervenire per far cambiare il sub-responsabile senza cambiare il CSP, subendo quindi gravi danni.

Data la difficoltà nella realizzazione di una analisi sui rischi derivanti da trasferimento dati in paesi la cui legislazione consenta possibilità di accesso ai dati da parte di autorità pubbliche, alcune aziende prendono in considerazione l’ipotesi pessimistica, cioè che i dati trattati dal CSP possano comunque essere trattati in un paese senza garanzie adeguate, ed implementano misure supplementari di sicurezza (come quelle proposte di seguito) almeno nei trattamenti che prevedono la gestione di dati sensibili o su larga scala.

Misure di mitigazione del rischio

  1. Nel contratto col CSP andrebbero inseriti il diritto ad opporsi ad un fornitore specifico ed istruzioni per la realizzazione, se necessario, di adeguate misure supplementari di sicurezza che il livello di protezione offerto dal GDPR non sia compromesso quando i dati vengono trasferiti a un paese terzo.
  2. La via più ovvia per mitigare i rischi, è quello di procedere in fase di selezione del CSP, facendo una attenta valutazione dei trasferimenti, individuando le categorie di dati personali trasferiti, le finalità, i soggetti a cui i dati possono essere trasferiti e il paese terzo interessato e scegliendo tra i Cloud Provider quello che garantisce il trattamento avvenga integralmente ed in via esclusiva in paesi dello Spazio Economico Europeo o che abbiano una legislazione che la Comunità Europea considera adeguata. Si dovrebbero identificare e attuare adeguate misure supplementari che garantiscano che il livello di protezione offerto dal GDPR non sia compromesso nel caso in cui i dati siano trasferiti a un paese terzo. Tra le possibili misure supplementari si posso ipotizzare le seguenti:
    1) Una possibilità, che ovviamente comporta dei costi maggiori, è quella di intervenire sui propri sistemi per assicurarsi di trasferire i dati sui sistemi del Cloud Provider, già in forma criptata, senza consentire l’accesso a tali dati neppure al Cloud Provider stesso ed ai suoi sub-responsabili. In genere questo si ottiene mantenendo da parte del Titolare, il pieno controllo delle “encryption keys” anche dopo che i dati trasferiti siano stati criptati. Occorre però tenere presente che tale possibilità non è sempre applicabile, come ad esempio nel caso in cui il Cloud Provider abbia necessità di accedere ai dati per l’erogazione del Servizio. Questo può essere il caso di uno strumento di collaboration, come ad esempio Teams o Zoom, che per sua natura prevede la comunicazione digitale tra persone che si scambiano dati personali durante la conversazione.
    2) In dipendenza del tipo di dati e del tipo di servizi offerto dal fornitore in cloud, in alcuni casi, anche se probabilmente limitati, può valere la pena di prendere in considerazione l’Anonimizzazione , o in subordine, almeno la pseudonimizzazione, dei dati che dovranno essere gestiti dal Cloud Provider.
  3. Può essere ipotizzabile, in alcuni casi, la realizzazione di parte del servizio del Cloud Provider, in-house, cioè nel proprio Centro Servizi, realizzando quindi un servizio di tipo Hybrid Cloud, per il tutti i trattamenti i cui dati non possono essere traferiti in paesi senza protezioni adeguate. Ciò permetterebbe di mantenere applicazioni e servizi critici sotto il pieno controllo dell’azienda, e di delegare solo le funzioni non critiche sul Cloud, sotto la gestione diretta del Cloud Provider. Questa opzione dovrebbe comunque essere abbinata a misure di sicurezza supplementari, sopra descritte. Questa opzione è spesso la prescelta anche da coloro che vogliono mantenere un pieno controllo delle applicazioni “critiche” per il proprio Business. Logicamente, anche questa opzione in genere presenta costi maggiori dell’opzione “full cloud”, ma si possono trovare accordi di fornitura col Cloud Provider o con System Integrators che permettano di delegare anche la gestione “in house”, liberando l’azienda dalla necessità di mantenere all’interno il personale per la gestione dedicata del servizio, e quindi riducendone i costi di gestione.
  4. Come già sopra esposto, i Cloud Providers in genere non forniscono informazioni sufficienti per comprendere il processo end to end, includendo tutta la propria catena di fornitura. In genere il modo migliore per il Titolare di essere informati di cambiamenti sulla fornitura di servizi, e di integrare elementi di Privacy By Design all’interno delle attività operative dell’azienda. Visto che un cambiamento di fornitore / sub-fornitore, o nuovi servizi dello stesso fornitore, ma che usano terze parti nuove, nella maggior parte dei casi richiede delle variazioni di operatività (nuovi server, nuove installazioni, nuova connettività, nuove utenze ecc.), è consigliabile modificare i processi operativi interni all’azienda per raccogliere informazioni sufficienti per informare il DPO (RPD) dei cambiamenti occorsi, per una verifica delle eventuali conseguenze data dall’introduzione di un nuovo fornitore /sub-fornitore.

Mancanza di controllo sull’elaborazione dei dati di telemetria

EDPB rileva che tutti i CSP elaborano dati di telemetria, relativi all’utilizzo di infrastrutture e servizi (identificatori di risorse, tag, ruoli di sicurezza e di accesso, regole, policy di utilizzo, autorizzazioni, statistiche di utilizzo da parte di diversi tipi di utenti).

In particolare, la telemetria può essere utilizzata per rilevare, identificare e rispondere a problemi operativi e relativa risoluzione, o per misurare e migliorare le performance dei servizi. Poiché per dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile, è probabile che molti dati di telemetria si qualifichino come dati personali.

EDPB riscontra la mancanza di chiarezza sul ruolo assunto da parte dei CSP nell’elaborazione dei dati di telemetria. In alcuni casi, i CSP dichiarano di agire in qualità di titolari del trattamento, mentre in altri casi si considerano responsabili del trattamento per conto del titolare.

Chiarire l’esatto ruolo svolto dai CSP nel trattamento dei dati di telemetria è essenziale al fine di identificare la base giuridica appropriata e garantire il rispetto dei requisiti del GDPR, in particolare la trasparenza, la limitazione delle finalità e la minimizzazione dei dati.

EDPB rileva che molti dei soggetti esaminati non avessero una conoscenza precisa del trattamento dei dati diagnostici/telemetrici da parte dei CSP, di eventuali trasferimenti di tali dati verso paesi terzi, e la totale assenza di valutazione del rischio prima dell’inizio dell’utilizzo del servizio.

I contratti esaminati dalle autorità di controllo, inoltre, non hanno fornito in genere indicazioni in modo chiaro e preciso su quali dati potrebbero essere raccolti dalla telemetria/diagnostica.

EDPB richiama quindi l’articolo 28 del GDPR che richiede un’attenta valutazione sulla necessità di inserire nel contratto con un CSP adeguate clausole di protezione dei dati che coprano anche i dati di telemetria.

Considerazioni

È noto che al giorno d’oggi la maggior parte dei servizi in Cloud incorpora una raccolta di informazioni di vario genere, prevalentemente tecniche, sia pure atte ad identificare gli utenti, durante l’erogazione del servizio, sia allo scopo di monitorare le performance che per attuare le misure di sicurezza e/o di intervento in caso di incidenti.

Questo genera flussi di traffico verso il Cloud Provider, la cui natura e le cui dimensioni sono scarsamente controllabili dalle società e possono essere modificate dal CSP senza alcuna notifica al titolare del trattamento.

È indispensabile farsi fornire dal CSP tutte le informazioni possibili sulla gestione della telemetria/diagnostica all’interno dei propri servizi, anche se spesso sono così corpose da renderne poco agevole la lettura, e non sono sempre aggiornate puntualmente per ogni nuova versione o per tutte le nuove funzioni.

Per alcuni dei Cloud Provider più grandi (es. Microsoft) si può anche trovare su Internet o tramite social in gruppi dedicati, documentazione raccolta e messa a disposizione da esperti del settore, o sono pubblicamente disponibili DPIA effettuate per conto di istituzioni terze, che possono fornire informazioni di dettaglio sulle modalità di raccolta dei dati di telemetria e configurazione delle applicazioni in cloud più diffuse.

Misure di mitigazione del rischio

  1. Identificare col Cloud Provider i flussi di telemetria necessari e quelli eventualmente opzionali.
  2. Prevedere delle configurazioni di default per tutte le macchine coinvolte nel servizio che riducano il livello di telemetria al minimo.
  3. Valutare, con i propri team tecnici, la possibilità di bloccare o filtrare parte dei flussi di telemetria verso il Cloud Provider, sempre che questo non abbia impatti sul servizio erogato.
  4. Monitorare il traffico di telemetria verso il CSP per identificare cambiamenti rilevanti nei flussi, e verificare col CSP le motivazioni di tali cambiamenti, quando essi accadono.

Difficoltà nel realizzare audit

L’articolo 28 (3) (h) del GDPR prevede che il responsabile del trattamento metta a disposizione del titolare del trattamento tutte la documentazione necessaria per dimostrare il rispetto degli obblighi e contribuisca alle verifiche, comprese le ispezioni, condotte dal titolare o da altro revisore da esso incaricato.

A tal proposito, la maggior parte delle verifiche periodiche analizzate da EDPB (non necessariamente qualificabili come audit) sulle attività dei CSP avviene solamente tramite verifica annuale dei rapporti di certificazione e della documentazione resa disponibile dai CSP sul proprio sito web.

L’EDPB nota che non sembrano svolgersi attività di audit specifiche e dirette, comprese le ispezioni, in merito a qualsiasi CSP.

In generale i CSP non consentono lo svolgimento di audit ed è difficile ottenere l’accesso ai risultati degli audit svolti sul CSP da terze parti indipendenti. EDPB rimarca che ciò può comportare situazioni di non conformità con l’articolo 28, paragrafo 3, lettera h) del GDPR.

Considerazioni

Anche se è naturale immaginare che i CSP non gradiscano di avere ispezioni approfondite da parte dei loro clienti, dovrebbero comprendere che è interesse reciproco identificare eventuali problematiche per risolverle prima che si verifichino delle situazioni che richiedano l’intervento delle autorità di controllo.

Inoltre, vi è una enorme difficoltà da parte dei titolari a comprendere e gestire la complessità dei moderni servizi offerte dai Cloud Providers, che richiedono loro di disporre di competenze multidisciplinari (sia tecnico che legale) di alto profilo, non sempre facilmente disponibili.

Ciò si traduce nel fatto che anche se i CSP accettassero di avere ispezioni, molti titolari avrebbero rilevanti difficoltà nell’effettuare audit di verifica sulla catena del servizio end to end dei loro fornitori.

Il rischio è che, in assenza di verifiche più puntuali, i titolari si limitino prevalentemente alle sole verifiche formali, rinunciando ad esercitare le loro prerogative di controllo sulle attività operative gestite dal CSP.

Inoltre, si deve tenere presente che è molto difficile recuperare a posteriori documentazione su eventi passati, pertanto il titolare dovrebbe assicurarsi che il CSP sia in grado di fornire documentazione sufficiente a soddisfare la necessità di dimostrare la conformità del trattamento.

Pur comprendendo la difficoltà nell’ottenere garanzie dai CSP sulla possibilità di effettuare audit al loro interno, il modo migliore di mitigare il rischio è quello di definire all’interno del contratto le possibilità di audit e la documentazione che il CSP dovrà fornire per assicurare il rispetto dei requisiti GDPR.

Meglio ancora sarebbe la definizione di modalità di sistemi, anche automatizzati, che fornissero informazioni sempre aggiornate atte a monitorare la conformità del CSP stesso.

Inoltre, la possibilità di effettuare audit, dovrebbe essere inclusa come parametro di valutazione del fornitore al momento della scelta del CSP.

Misure di mitigazione del rischio

  1. Definire all’interno del contratto modalità di esecuzione dell’audit e documentazione obbligatoria per attestare la conformità ai requisiti GDPR.
  2. Inserire la possibilità di effettuazione degli audit, come parametro di valutazione dei CSP in sede di qualificazione fornitori.
  3. Definizione col CSP di reportistica periodica, eventualmente automatizzata, sullo stato della conformità in base alle attività ed ai requisiti posti dal GDPR, o in alternativa, richiedere al CSP la fornitura di un report prodotto da una terza parte, aggiornato periodicamente, sullo stato della conformità GDPR del CSP.

Conclusione

Per concludere, riassumiamo di seguito le principali indicazioni tratte dal report dell’EDPB allo scopo di gestire al meglio i rapporti con i CSP:

  1. effettuare una DPIA;
  2. garantire che i ruoli delle parti coinvolte siano determinati in modo chiaro e inequivocabile;
  3. garantire che il CSP agisca solo per conto e secondo le istruzioni documentate del titolare del trattamento e identificare ogni possibile trattamento da parte del CSP per cui il CSP assume il ruolo di titolare del trattamento;
  4. garantire che sia possibile attuare un processo effettivo per opporsi a nuovi sub-responsabili;
  5. garantire che i dati personali siano trattati solo in relazione alle finalità per le quali sono raccolti;
  6. promuovere il coinvolgimento del DPO;
  7. effettuare una revisione per valutare se il trattamento viene eseguito in conformità con la DPIA;
  8. garantire che la procedura di selezione del CSP preveda già tutti i requisiti necessari per raggiungere la conformità al GDPR;
  9. esaminare attentamente e se necessario rinegoziare il contratto;
  10. identificare quali trasferimenti possono avvenire nell’ambito della fornitura di servizi di routine e in caso di trattamento di dati personali per finalità aziendali proprie dei CSP e garantire il rispetto dei requisiti del GDPR, anche identificando tutti i sub-responsabili e adottando misure di sicurezza aggiuntive ove necessario;
  11. analizzare se una legislazione di un paese terzo si può applicare al CSP e se vi è la possibilità di richieste di accesso ai dati conservati dal CSP nell’UE da parte delle Autorità pubbliche locali;
  12. verificare le condizioni alle quali si può effettuare audit e assicurarne la possibilità di realizzazione effettiva.

Tali indicazioni sono suggerimenti di buon senso che in apparenza sembra impossibile che dopo molti anni dall’entrata in vigore del GDPR vi sia ancora bisogno di richiamarli, ma osservando i risultati del report dell’EDPB, probabilmente la strada per la conformità al Regolamento Europeo per la protezione dei Dati personali, sembra essere ancora in salita.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

Articolo 1 di 3