News

Data sovereignty, o sovranità dei dati: cosa è e come garantirla

Si chiama data sovereignty, in italiano sovranità dei dati, ed è stata introdotta dall’Unione Europea ancor prima della definizione del GDPR. Per data sovereignty in Europa si intende il controllo e la protezione dei dati di aziende e cittadini europei.

Ripresa con forza negli ultimi tempi, la data sovereignty si affianca naturalmente al progetto Gaia-X avviato dall’Unione Europea. L’iniziativa prevede la realizzazione di una infrastruttura cloud europea interconnessa estesa e distribuita che, appunto, garantisca il pieno controllo dei dati e la localizzazione precisa all’interno dei confini del Vecchio Continente.

Data sovereignty e l’iniziativa europea Gaia-X

L’obiettivo di Gaia-X è di limitare il controllo monopolistico da parte delle cosiddette Big Tech - Facebook, Google e Amazon in testa - o, in generale, di aziende internazionali che archiviano le informazioni su data center non localizzabili con precisione.

C’è da specificare che il progetto Gaia-X non punta solo al maggior controllo e alla protezione dei dati di aziende e cittadini dell’UE. L’obiettivo principale del progetto, infatti, è di generare un effettivo valore economico dai dati e, soprattutto, dalla loro messa a fattor comune. Un’elaborazione e uno scambio intelligente, dunque, da cui ricavare scelte impattanti a livello economico e sociale.

Cosa è la sovranità dei dati

Sovranità dei dati è tecnicamente il termine giuridico a cui riferirsi nelle linee guida e nelle regolamentazioni sulla gestione dei dati e sulla protezione della privacy adottate dai diversi Paesi. La sovranità dei dati non è la stessa cosa della “residenza dei dati” ma la comprende. Individuare la residenza dei dati significa semplicemente sapere dove sono geolocalizzati in un certo momento. Mentre il concetto di sovranità dei dati racchiude, oltre alla residenza, l’accesso e la generazione delle informazioni ottenibili dalla loro elaborazione.

Il concetto di sovranità dei dati è figlio della diffusione delle architetture cloud. Soprattutto all’inizio della sua ascesa, il cloud era prevalentemente pubblico e gestito dai cosiddetti hyperscaler, e i dati delle aziende transitavano o si archiviavano in data center di cui nessuno, spesso neanche l’hyperscaler, sapeva la localizzazione precisa, a causa del massiccio ricorso alla virtualizzazione.

Inoltre, l’introduzione del GDPR e il forte ricorso all’esternalizzazione hanno comportato un’estensione delle responsabilità sui dati a nuovi soggetti, anche se non proprietari dei dati stessi. Soggetti che troppo spesso non forniscono le giuste garanzie sul loro utilizzo.

È capitato, così, e capita ancora, che terabyte di dati aziendali preziosi e sensibili transitino su data center non localizzati o residenti in Paesi non europei che seguono una legislazione diversa, quando esiste, in termini di tutela e di protezione.

La sovranità dei dati riguarda (anche) le aziende

Dal momento che il GDPR considera le aziende direttamente responsabili dei propri dati, ma anche di quelli che transitano nella loro infrastruttura, prevedendo anche multe anche rapportate al fatturato aziendale, va da sé che la sovranità dei dati sia una questione che riguarda anche le aziende.

Tutti gli scenari di tendenza per il 2022, inoltre, considerano il tema della sovranità digitale una delle massime priorità per imprese, organizzazioni e Governi europei. Cosa fare, dunque, affinché un’azienda possa affermare di avere il pieno controllo sui dati che transitano nella propria infrastruttura?

Una soluzione è confermata dalla crescente diffusione di ambienti IT realizzati su cloud ibrido e multicloud. Optare per ambienti misti, composti da cloud pubblico e privato, per esempio, permette di archiviare i dati più sensibili in strutture chiuse, protette e controllate. Proprio per questo, secondo la filosofia del “non si butta via niente”, i data center on premise stanno rivivendo una seconda giovinezza attraverso la migrazione a un cloud privato.

Ciò significa convertire applicativi e processi in servizi cloud-native che garantiscono le performance e l’affidabilità del cloud, insieme al pieno controllo sui dati.

Nel caso di strutture pubbliche, invece, rimangono valide le condizioni contrattuali che definiscono il destino dei dati aziendali. Per evitare che “scappino” dai confini europei, però, una buona scelta può essere di affidarsi a Cloud Service Provider italiani, o con data center distribuiti in Europa.

Grazie a un approccio ibrido, dunque, un’azienda può rassicurarsi, essere conforme alla compliance, e tutelarsi mettendo in sicurezza i dati più sensibili e delicati sulla struttura privata, lasciando “liberi di circolare” quelli meno critici.