L’Allegato 1 e relativi commenti sono pubblicati in Inglese sul blog “Technologies for Europe”

1.OUTSOURCING DA POSTE ITALIANE A MICROSOFT

A causa del forte parallelismo fra la situazione dell’ All.1 e questa dell’Allegato 2, facciamo precedere la pubblicazione dell’Allegato 2 da un breve riferimento in Italiano alla situazione descritta all’ All.1 (l’accordo interistituzionale fra le Istituzioni Europee e Microsoft).

Nel luglio scorso, la Corte di Giustizia delle Comunità Europee aveva dichiarato che le formule adottate per poter continuare il trasferimento di dati ai GAFAM (Google, Amazon, Facebook e Microsoft), già condannate da in una precedente sentenza in una prima causa promossa da Maximilian Schrems (tanto quelle concordate dalla Commissione, quanto  le “Standard Contractual Clauses”, ideate dai GAFAM), erano invalide, e pertanto questo trasferimento era illegale, e dunque esso doveva cessare. Subito dopo, Max Schrems aveva presentato ben 101 azioni giudiziarie contro le Autorità nazionali per la protezione dei dati, le quali non stanno bloccando questi trasferimenti.

Nella sua relazione di Luglio, il Garante Europeo per la protezione dei dati (EDPRS) ci informava di un dato a dir poco sconvolgente: le Istituzioni Europee sono le prime a violare il GDPR e le sentenze Schrems I e Schrems II (“sentenza Schrems II, nella causa C-311/18”), non solo perché avevano concordato con gli Stati Uniti le formule giustificative del trasferimento poi giudicate illegali dalla Corte, ma perché esse avevano addirittura affidato a uno dei GAFAM , Microsoft, la gestione di tutte le loro attività digitali (molte delle quali in netto conflitto d’interessi con la Microsoft stessa), il tutto senza effettuare le verifiche imposte dal GDP e dalle sentenze Schrems. Pertanto, l’EDPRS ha emanato, il 29 ottobre scorso, la “Strategy for Union institutions, offices, bodies and agencies to comply with the ‘Schrems II’ Ruling”, una direttiva con cui  ha delineato la strategia d’azione dell’EDPS e individuato principi di carattere generale.

Il Garante ha accertato che un numero sempre più elevato di servizi, soprattutto in campo informatico, connessi all’espletamento delle attività istituzionali sia stato, nel corso degli ultimi anni ,esternalizzato affidandosi a providers con sede negli States (e quindi soggetti, per via del Patriot Act e del Cloud Act, a un accesso quasi illimitato da parte dell’ intelligence).

Il provvedimento che andiamo ad analizzare si rivolge espressamente alle istituzioni ed agli enti europei, tuttavia è lecito presumere che buona parte dei principi contenuti nello stesso assumeranno carattere generale, trovando applicazione a tutte le organizzazioni, pubbliche o private, che effettuino trasferimenti di dati al di fuori dell’Unione, in particolar modo qualora il paese di importazione dei dati siano gli Stati Uniti d’America.

Vi è dunque un obbligo di preventiva verifica, da parte dell’esportatore, in merito alla capacità del Paese verso cui si intendono trasferire i dati, di assicurare effettivamente, in considerazione della sua legislazione nazionale o dei suoi impegni internazionali, un livello di protezione delle libertà e dei diritti fondamentali sostanzialmente equivalente a quello garantito all’interno dell’Unione in forza del GDPR, letto alla luce della Carta dei diritti fondamentali dell’Unione Europea. Orbene, le sentenze Schrems hanno chiarito che gli Stati Uniti non possono dare questa garanzia perché il Patriot Act e il CLOUD Act concedono amplissimi diritti di accesso ai dati di tutte le società americane, anche se operanti all’ estero, su tutti i dati dei loro clienti (cioè, oggi, tutti i dati di tutti i cittadini e amministrazioni del mondo, tranne la Cina).

Il provvedimento delinea il piano d’azione per garantire il rispetto della normativa, che si prevede essenzialmente due tipologie di operazioni:

1. nel breve termine, mappatura dei trasferimenti dati extra UE;
2. nel medio termine, analisi degli stessi ed implementazione dei correttivi in base ai rischi rilevati.

Le autorità dovranno prestare particolare attenzione alle categorie di trasferimenti classificate più ad alto rischio dal provvedimento, e cioè quelli:

• posti in essere in assenza di una delle condizioni di liceità del trasferimento individuate dalla normativa;
• basati sulle deroghe specifiche al divieto di trasferimento in assenza di garanzie adeguate;
• verso entità americane espressamente soggette all’art. 702 del FISA^[4] e all’E.O. 12333^[5] – ovverosia le disposizioni di diritto statunitense a fondamento delle attività di intelligence (quali i programmi PRISM e UPSTREAM) che hanno in primis determinato l’invalidazione del Privacy Shield da parte della CGUE – a maggior ragione ove queste prevedano il trasferimento di dati su larga scala, il trattamento di dati sensibili o operazioni complesse di trattamento (tra cui spiccano quelle che implichino l’analisi o l’elaborazione di big data, l’impiego di nuove tecnologie o di tecniche complesse di profilazione o processi decisionali automatizzati ecc.).

L’EDPS infine  “raccomanda fermamente alle autorità europee di evitare che qualsiasi nuova operazione di trattamento o nuovo contratto con fornitori di servizi comporti il trasferimento di dati personali verso Stati Uniti”.

Come indicato, il provvedimento del Garante Europeo non si applica, per ora, a soggetti diversi dalle Istituzioni Europee (le quali già prima avrebbero potuto, e dovuto, prendere siffatte precauzioni autonomamente, per evitare di mettere i loro vertici e i loro funzionari in balia dei GAFAM). Tuttavia, è chiaro che, essendo l’EDPRS la più autorevole fra le Autorità di Tutela dei Dati in Europa, ed essendo i suoi diretti “justiciables” le stesse Istituzioni che poi dovranno fare rispettare agli altri questi principi, il provvedimento ci indica già la direzione verso cui si muoverà presumibilmente l’intero sistema.

Ciò significa che il nascente cloud Gaia-X avrà ben presto un buon numero di clienti, almeno per ciò che concerne l’immagazzinamento (“storage”). . Gaia-X consentirà alle aziende di condividere e archiviare i dati nel cloud sotto la protezione delle leggi sulla privacy europee, in particolare il GDPR. Nello specifico, Gaia-X opererà come consorzio di fornitori e operatori autonomi, dovrà garantire la interoperabilità tra i servizi ed essere progettato per tutelare privacy e sicurezza informatica dei dati.Resta però da vedere come riusciranno i clouds europei di Gaia-X a impedire la fuga dei dati attraverso i GAFAM e la Intelligence Community americana, visto che tutte le istituzioni europee e nazionali hanno legami strettissimi con i GAFAM, e questi con l’intelligence e a oggi  non esiste una vera counterintelligence europea.

Intanto, Gaia-X sta avviando rapporti anche con le imprese italiane, seppure in modo ambiguo: ENEL e Poste Italiane hanno attivato  la loro partecipazione in Gaia-X, ma intanto continuano ad affidarsi a Microsoft e Amazon per il cloud; ENEL aveva scelto Amazon Web Services dal giugno 2015; Snam e Microsoft hanno iniziato a sviluppare un’infrastruttura di cloud ibrida; Intesa Sanpaolo ha siglato il Memorandum of Understanding   con Google e con Tim.

Il caso di Poste Italiane è comunque altrettanto scottante di quello delle Istituzioni, giacché Poste Italiane già gestisce il delicatissimo servizio postale (su cui la legislazione americana ha sancito, fin dalla Prima Guerra mondiale, un diritto extraterritoriale d’intercettazione da parte dell’Intelligence), ma anche una serie di servizi ancor più delicati, come il cloud e  le identità digitali.

L’ACCORDO

“Roma, 23 Maggio 2019 

Poste Italiane e Microsoft annunciano oggi un accordo per promuovere l’innovazione del Gruppo e la competitività dell’intero Paese, da un lato accelerando la trasformazione digitale dell’organizzazione e dall’altro attuando iniziative di formazione congiunta in ambito PMI, pubblica amministrazione e Cybersecurity nell’ambito del progetto Ambizione Italia.

La partnership vedrà il Gruppo Poste Italiane ampliare il fronte di collaborazione con Microsoft a supporto della propria crescita sostenibile in linea con il piano Deliver 2022. Poste Italiane ha infatti già avviato un percorso di trasformazione digitale e ora punta a migliorare produttività e collaborazione, contribuendo al rinnovamento della rete degli uffici postali e dell’ecosistema di servizi offerti a vantaggio di aziende, cittadini e Pubblica Amministrazione. A tal fine il Gruppo farà leva sulle tre piattaforme cloud di Microsoft, potendo beneficiare delle funzionalità di analisi e Intelligenza Artificiale integrate: Dynamics 365 per garantire la visione unica del cliente ed ottimizzare la Customer Experience su tutti i canali, Azure per una struttura IT più scalabile e sicura che permetta di rendere la società agile e veloce nell’innovazione su business diversi, dalla logistica ai servizi finanziari e Microsoft 365 per abilitare un nuovo modo di lavorare più collaborativo e produttivo, anche in una logica di smartworking.

Fattore strategico in questo percorso è la valorizzazione dei talenti, che in modo trasversale arriverà a coinvolgere i 134 mila dipendenti di Poste, dal management, agli impiegati, ai commerciali, ai postini: non solo potranno utilizzare nuovi strumenti informatici e canali di comunicazione digitale, ma anche beneficiare di iniziative di formazione ad hoc, il tutto secondo un approccio personalizzato su misura di ogni singolo collaboratore.

La partnership con Microsoft ha l’obiettivo di generare un incremento della produttività, con una riduzione dei tempi di lavoro ed il miglioramento dei processi decisionali. Il fine ultimo non è solo l’efficienza, bensì una maggiore intelligenza nei flussi e la capacità di prendere decisioni di business basate su dati e insight, così da offrire un servizio più in linea con le sfide di un mercato in evoluzione che integra settori differenti: dal recapito di corrispondenza e pacchi ai servizi finanziari e assicurativi, dai sistemi di pagamento alla telefonia mobile.

Il percorso di Poste verso il Modern Workplace sta già prendendo forma introducendo nel Gruppo il lavoro agile, inteso come una nuova modalità di lavoro più flessibile e collaborativa basata, da un lato, su tecnologie avanzate in grado di favorire lo scambio di documenti e conoscenza e, dall’altro, su formazione e iniziative HR volte a promuovere l’affermarsi di un nuovo digital mindset. Si tratta di un cambiamento culturale che partendo da Poste stessa può ispirare tutta la PA Italiana.

Esistono già delle applicazioni concrete che testimoniano questo percorso, come il progetto DiCo, una piattaforma integrata, basata su Microsoft 365, per condividere a tutto il personale commerciale informazioni personalizzate e sempre aggiornate, per ottimizzare la gestione consulenziale di Poste e consentire ai dipendenti di migliorare la relazione con la clientela. Un ulteriore esempio è il progetto “Postino Intelligente”, volto a migliorare la gestione dei team di postini e al contempo agevolarne il lavoro con suggerimenti per far loro risparmiare tempo, ad esempio ottimizzando gli spostamenti.

La partnership tra Poste Italiane e Microsoft vede, inoltre, i due player collaborare nell’ambito del progetto Ambizione Italia con un forte focus su formazione, sviluppo e digitalizzazione rispetto ad alcuni driver strategici per il Paese: PMI, Cybersecurity e PA. Facendo leva sul know-how tecnologico di Microsoft e sul radicamento capillare di Poste Italiane, i due player si impegneranno ad accompagnare le piccole e medie realtà del Paese nel percorso d’innovazione, grazie ad occasioni di formazione sul territorio e alla condivisione di best practice che possano ispirare, da un lato, il diffondersi di una cultura digitale e dall’altro favorire lo sviluppo di progetti nell’ambito dell’ e-commerce e del mobile payment. Altrettanto importante sarà l’impegno congiunto sul fronte Cybersecurity, per promuovere in collaborazione con istituzioni, enti di ricerca e organismi italiani e internazionali un framework in cui le aziende possano operare e crescere in modo sicuro, con maggiore consapevolezza delle priorità sul fronte sicurezza e privacy. Nell’ambito della partnership si investirà anche per accelerare il cammino della pubblica amministrazione italiana verso l’innovazione, grazie a nuovi servizi ed iniziative di formazione rivolti ai dipendenti pubblici e ai Responsabili per la Transizione Digitale.”