GUIDA ALLA NORMATIVA

Audit e GDPR: competenze e linee guida per svolgere correttamente le verifiche in ambito privacy

Svolgere delle verifiche in ambito privacy è molto complesso e richiede competenze molteplici, specialistiche ed una grande esperienza che non si può improvvisare. Ecco una guida pratica per evitare i rischi dell’attività di audit e conseguire un reale adeguamento al GDPR

15 Ott 2019
B
Giancarlo Butti

Internal Auditor - Esperto Privacy e Cyber Security

Il tema delle verifiche in ambito privacy è già stato in parte affrontato[1] anche se limitatamente ai rischi che le contraddistinguono.

In questo articolo affrontiamo l’argomento in modo più strutturato, cercando di cogliere i vari aspetti che caratterizzano un’attività decisamente molto complessa e che a volte viene affrontata con una visione non esaustiva, cercando di riciclare metodologie già in uso per altri ambiti.

Audit e GDPR: perché svolgere verifiche in ambito privacy

Le motivazioni per le quali si dovrebbe svolgere un ’attività di audit, o meglio una verifica in ambito privacy sono molteplici: la prima – e più intuitiva – è per tutelare l’azienda rispetto a sanzioni[2] o a richieste di risarcimenti di danni da parte di terzi.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

Tale attività ha tuttavia anche altre finalità: è uno strumento di accountability (come verrà chiarito più avanti), risponde all’obbligo di verifica e sorveglianza per il DPO, può essere un’attività di supporto e consulenza per il Titolare del trattamento.

Per quale motivo, quindi, parliamo di verifiche e non di audit in senso stretto?

Per il semplice motivo che la normativa non prevede specificamente regole con cui effettuare le verifiche, e in realtà non prevede nemmeno che si debbano svolgere delle verifiche (salvo quanto ad esempio “suggerito” dall’art. 32.1.d).

Solo il DPO (ma non tutti hanno l’obbligo di averlo) ha fra i propri compiti formali quello di effettuare un’attività di “sorveglianza” dell’osservanza della normativa privacy da parte del Titolare/Responsabile.

Quindi il Titolare/Responsabile o il DPO che vogliono (o devono) svolgere un’attività di verifica possono utilizzare la metodologia che più loro aggrada per svolgere questo tipo di attività.

Ovviamente, nel caso in cui desiderino svolgere una vera e propria attività di audit possono utilizzare standard e metodologie già disponibili, come quelle proposte da ISO (ad esempio la 19011) o da ISACA (per la parte ICT), da The Institute of Internal Auditors, ricordando tuttavia che non esiste alcun obbligo normativo al riguardo e che nessuna di queste metodologie è di per sé esaustiva e adatta allo svolgimento di un’attività di verifica che copra tutti gli aspetti di una normativa così complessa come quella sulla privacy.

Questo era vero già con la normativa precedente, ma lo è ancora di più dopo l’entrata in vigore del GDPR.

Infatti, cambia il perimetro di tutela, molti adempimenti che in precedenza erano impliciti ora devono essere formalizzati e la loro assenza è sanzionata, vengono introdotti ex novo o sviluppati principi e concetti quali quelli di accountability e privacy by design.

Audit e GDPR secondo il principio di accountability

Ad esempio, secondo il principio di accountability il Titolare deve essere in grado di dimostrare in ogni momento la propria conformità, come ripetutamente citato in numerosi articoli e considerando del GDPR:

  • (74) …il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure…
  • (85) … a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione…
  • Articolo 5.2 – Principi applicabili al trattamento di dati personali: Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo responsabilizzazione»).
  • Articolo 24 – Responsabilità del titolare del trattamento: … il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare
  • Articolo 35.7.d – Valutazione d’impatto sulla protezione dei dati: …e dimostrare la conformità al presente regolamento…

Dal punto di vista di chi effettua le verifiche quest’obbligo si traduce in un ipotetico vantaggio: il suo adempimento rende (dovrebbe rendere…) disponibile da subito evidenze per l’audit. La mancanza di evidenze è di per sé stessa una mancanza di conformità e quindi un primo oggetto di rilievo[3] in sede di verifica.

Per contro, la responsabilizzazione del Titolare/Responsabile fa sì che molte azioni da compire in adempimento del GDPR non siano definite con regole certe e assolute (non ci sono più ad esempio le misure minime di sicurezza).

In questi casi, per il Titolare si pone il problema di come fare a dimostrare la propria conformità.

Analogamente, per chi effettua le verifiche si pone il problema di non avere punti di riferimento certi: ad esempio, quando una misura di sicurezza è da ritenersi idonea?

In realtà sono proprio le verifiche interne che possono aiutare il Titolare/Responsabile a dimostrare la propria conformità, così come indicato dal parere 3/2010 del WP29:

53. Esistono vari metodi a disposizione dei responsabili del trattamento per valutare l’efficacia (o l’inefficacia) delle misure. Per il trattamento di dati di maggiori dimensioni, più complesso e ad alto rischio, gli audit interni ed esterni sono metodi comuni di verifica. Anche il modo in cui vengono condotti gli audit può variare, da audit completi ad audit negativi (che possono a loro volta assumere forme diverse). Nel decidere come garantire l’efficacia delle misure, il Gruppo di lavoro articolo 29 suggerisce di utilizzare gli stessi criteri applicati per decidere le misure mutuati dall’articolo 17 della direttiva 95/46/CE, vale a dire, i rischi presentati dal trattamento e la natura dei dati. Pertanto, il modo in cui un responsabile del trattamento deve assicurare l’efficacia delle misure dipende dalla sensibilità dei dati, dalla quantità dei dati trattati e dai particolari rischi che il trattamento comporta. Gli orientamenti del Gruppo di lavoro relativi alle misure potrebbero comprendere anche indicazioni su questo aspetto.

I tipi di verifica che rilevano in ambito privacy

I tipi di verifica che rilevano in ambito privacy sono, principalmente:

  • l’autovalutazione degli adempimenti effettuati dal Titolare/Responsabile tramite strutture interne (audit/compliance) o esterne
  • la valutazione degli adempimenti effettuati dal DPO anche per il tramite di strutture interne (audit/compliance) o esterne
  • la valutazione di un Titolare sugli adempimenti contrattuali del Responsabile
  • la valutazione di un Titolare sugli adempimenti contrattuali del DPO (intesa semplicemente come corrispondenza fra l’operato del DPO e quanto concordato contrattualmente, senza entrare nel merito delle modalità con cui tali attività sono state svolte)
  • la valutazione di un Titolare sui requisiti del DPO.

Le verifiche in ambito privacy sono inoltre caratterizzate dal dovere controllare sia ambiti formalizzati – cioè ambiti per i quali la normativa entra nel dettaglio di quali siano i requisiti attesi (ad esempio, i contenuti di una informativa) – sia ambiti non formalizzati, cioè ambiti dove la responsabilità della definizione dei requisiti è in carico allo stesso Titolare (ad esempio le misure di sicurezza).

In particolare, i primi possono comprendere verifiche su:

  • informative
  • designazioni
  • basi giuridiche

Mentre gli ambiti non formalizzati possono ad esempio comprendere, oltre alle verifiche sulle misure di sicurezza, le modalità con cui sia stata effettuata la relativa analisi dei rischi.

È inoltre possibile effettuare verifiche anche su temi per i quali esistono specifici provvedimenti che integrano la normativa primaria, quali ad esempio:

  • amministratori di sistema
  • videosorveglianza
  • firma grafometrica

o verifiche specifiche in ambito tecnico/organizzativo:

  • profilazione degli utenti
  • tempi di conservazione
  • esercizio dei diritti
  • qualità dei dati

Checklist del DPO Cosa monitorare per avere tutto sotto controllo. Scarica la checklist

Lo svolgimento delle attività di audit

Considerando che lo svolgimento di una verifica complessiva in ambito privacy può essere svolta solo su realtà molto piccole, è opportuno che si pianifichino le attività in funzione delle aree di maggior rischio, al fine di definire un vero e proprio programma di audit.

Il rischio deve essere valutato secondo due diversi parametri:

  • prima di tutto vanno valutate le aree che comportano un elevato rischio per i diritti e le libertà fondamentali delle persone fisiche;
  • secondariamente vanno considerate le aree che comportano un elevato rischio sotto il profilo sanzionatorio o risarcitorio per l’azienda.

Una prospettiva, questa, che contrasta con la normale logica con cui si pianificano le attività di audit (che considerano in genere solo il secondo aspetto), ma che può contribuire a dimostrare un corretto approccio privacy by design da parte del Titolare/Responsabile.

È quindi opportuno procedere con un primo assessment complessivo che valuti il livello di copertura delle implementazioni effettuate per l’adeguamento alla nuova normativa; tale attività può contribuire anche a definire le aree nelle quali sia opportuno attivare una verifica nel continuo, quali potrebbero essere ad esempio la gestione dei consensi o delle richieste di esercizio dei diritti da parte degli interessati.

Al riguardo si riporta lo stralcio di uno schema di assessment di livello molto alto – tratto dal libro realizzato in collaborazione con l’Avv. Maria Roberta Perugini “Audit e GDPR – Manuale per le attività di verifica e sorveglianza del titolare e del DPO[4]” –, la cui finalità è proprio quella di individuare le aree di copertura delle implementazioni della normativa effettuate da parte del Titolare.

Il Titolare ha:

  • Compilato i Registri delle attività di trattamento?
  • Definito ed implementato misure tecnico/organizzative al fine di garantire una gestione privacy by design e privacy by default?
  • Individuato e formalizzazione i vari ruoli dei soggetti che partecipano ai trattamenti?
  • Individuato le basi giuridiche del trattamento?
  • Definito le informative da rilasciare agli interessati e le relative procedure di rilascio?
  • Definito ed implementato misure tecnico/organizzative per il rispetto dei principi previsti dall’art. 5?
  • Effettuato e documentato una analisi dei rischi sui diritti e le libertà delle persone fisiche?
  • Definito ed implementato misure tecnico/organizzative ai fini di garantire la sicurezza ai sensi degli artt. 25 e 32?
  • Definito ed implementato misure tecnico/organizzative per la gestione delle violazioni di dati personali?
  • Definito ed implementato misure tecnico/organizzative per la gestione dei diritti degli interessati?
  • Individuato e formalizzazione le misure per il trasferimento di dati all’estero?
  • Formalizzato l’eventuale designazione del DPO, dei relativi compiti e posizionamento?
  • Formalizzata la valutazione delle competenze e caratteristiche del DPO?

Il Titolare:

Artt. 6, 7, 8, 9, 10

  • Ha predisposto una procedura per la valutazione della corretta base giuridica del trattamento?
  • Ha predisposto una procedura per la valutazione delle condizioni che consentono il trattamento dei dati di cui agli artt. 9 e 10?
  • Ha predisposto una procedura per la corretta formulazione della richiesta del consenso, là dove è richiesto?
  • Ha predisposto una procedura per la gestione del consenso nel tempo?
  • Ha predisposto una procedura per la corretta gestione della richiesta del consenso per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori?
  • Ha predisposto una procedura per la verifica della condizione in cui un minore possa esprimere il consenso?

Definite le aree di maggiore rischio, le successive verifiche devono avvenire con il livello di dettaglio che dovrà essere valutato dall’auditor.

Audit e GDPR: le informative

Ad esempio, sempre riprendendo uno stralcio di check list tratta dal sopra citato volume, nel caso delle informative l’auditor dovrà verificare:

  • se il Titolare ha predisposto per ogni categoria di interessati i cui dati sono raccolti presso i medesimi una adeguata informativa e se tale informativa:
    a) esprime le informazioni richieste in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro
    b) viene fornita all’interessato, nel momento in cui i dati personali sono ottenuti
  • se l’informativa contiene tutte le informazioni previste dalla normativa, ed in particolare:
    a) l’identità e i dati di contatto del Titolare del trattamento e, ove applicabile, del suo rappresentante
    b) i dati di contatto del responsabile della protezione dei dati, ove applicabile
    c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
    d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal Titolare del trattamento o da terzi
    e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali

Per quanto dettagliata, la formulazione di una verifica di questo tipo nulla dice circa il fatto che l’informativa sia effettivamente conforme; fermarsi a questo livello di analisi può essere molto utile, ma non garantisce la conformità alla normativa.

L’informativa potrebbe infatti essere ineccepibile dal punto di vista formale ma non rispecchiare le reali modalità con cui si svolge un trattamento. Una tale informativa risulterebbe quindi non conforme e, come tale, sanzionabile.

Vi sono alcune caratteristiche comuni proprie degli audit degli ambiti formalizzati, come quello sulle informative:

  • verifica di corrispondenza (impianto) fra i requisiti normativi ed il contenuto dei documenti prodotti dall’organizzazione auditata (ad esempio il contenuto delle informative deve corrispondere a quanto richiesto dalla normativa);
  • verifica di coerenza fra i documenti prodotti dall’organizzazione auditata (ad esempio i tempi di conservazione indicati nei registri delle attività di trattamento devono corrispondere a quelli indicati nelle informative);
  • verifica di funzionamento; quello che viene descritto nei documenti aziendali deve corrispondere all’agito.

Chi effettua le verifiche dovrebbe in realtà predisporre, per ogni ambito di verifica, una tabella del tipo di quella sottostante, sempre tratta dal già citato volume e che riporta come esempio le verifiche sulle informative.

OggettoImpianto teoricoAgito
Verifica dei requisiti normativi

Il contenuto dell’informativa corrisponde a quanto richiesto dalla normativa?

Il testo è semplice e chiaro?

I trattamenti si svolgono esattamente come descritto nella informativa?
Verifica delle procedure di gestione.

Esistono specifiche procedure per:

  • la stesura delle informative
  • la scelta della forma di rilascio (carta, on line…)
  • la messa a disposizione di chi deve rilasciarle
  • il rilascio
  • la raccolta delle evidenze

Verifica di esistenza

Verifica di efficacia, efficienza, coerenza

Verifica dell’agito
Verifica delle procedure di supporto.

Esistono specifiche procedure per:

  • il monitoraggio dell’esigenza di nuove informative
  • il monitoraggio dell’esigenza di variazione delle informative esistenti

Verifica di esistenza

Verifica di efficacia, efficienza, coerenza

Verifica dell’agito
Verifica di coerenza

Il contenuto delle informative è coerente con quanto espresso in altri documenti aziendali?

Il contenuto delle procedure è coerente con quanto espresso in altri documenti aziendali?

Come si evince dalla tabella, il livello di dettaglio con cui è possibile effettuare una verifica può essere molto diversificato.

Tuttavia, è certo il fatto che la conformità alla norma può essere garantita solo da un audit che comprenda anche la verifica della reale operatività del Titolare e della sua effettiva corrispondenza con quanto rappresentato in documenti formalmente corretti.

È per tale motivo che l’uso di semplici check list, facilmente reperibili anche in rete, o l’affidamento ad attività di mera verifica formale non garantiscono il Titolare rispetto a possibili sanzioni: la conformità alla normativa privacy non è una conformità basata solo su aspetti formali.

È quindi importante che un Titolare, qualora utilizzi consulenti esterni, sappia valutare adeguatamente il tipo di verifica che gli viene offerto.

Verifiche in ambiti privacy non formalizzati

Ancora più complessa è una verifica degli ambiti non formalizzati, per i quali non esistono riferimenti oggettivi con cui confrontarsi.

Al riguardo è quindi opportuno rifarsi a buone pratiche o a documenti/modelli/strumenti realizzati da enti autorevoli, quali ad esempio:

  • EDPB (Ex WP29);
  • Autorità Garanti, in particolare CNIL, AEPD, ICO…;
  • ENISA;
  • ISO (29134, 29151…).

L’uso di modelli prodotti da tali enti agevola la dimostrazione della conformità in quanto tali modelli, specie se prodotti da Autorità Garanti, sono da ritenersi conformi alla normativa.

Viceversa, l’uso di modelli auto prodotti dal Titolare/Responsabile (anche su indicazione di autorevoli consulenti) comporta, da parte di chi effettua la verifica, anche una preventiva difficile valutazione di conformità del modello stesso.

Ad esempio per la redazione di una DPIA esistono modelli proposti dal CNIL e dall’AEPD; per l’analisi del rischio esistono i modelli proposti da ENISA o dai già citati CNIL e AEPD.

Perché dunque sviluppare altri modelli o tentare di riciclare impropriamente strumenti che hanno come oggetto l’analisi dei rischi degli asset aziendali, o delle informazioni, quando invece l’oggetto tutelato dal GDPR sono i diritti e le libertà delle persone fisiche?

ANALISI DEI RISCHI AI SENSI DEL GDPR[5]

FUORI PERIMETROOBBLIGATORIA

Rischio aziendale

Rischio derivante da violazione di dati di persone non fisiche (art. 130)

• Interruzione, alterazione o limitazione nella produzione o erogazione dei servizi

• Perdite economiche (dirette, indirette, consequenziali)

• Perdita della clientela

• Rischi reputazionali (danni di immagine)

• Rischi legali, contrattuali

• Rischio sanzionatorio

Rischio derivante da violazione di dati di persone fisiche

Diritti e libertà fondamentali

DATI PERSONALI

È evidente che tali strumenti sono quantomeno inadeguati ed il loro uso, se non opportunamente adattato, costituisce di per sé stesso una non conformità.

Conclusioni

Le attività di verifica in ambito privacy sono una materia complessa e “pericolosa” che dovrebbe essere svolta solo da specialisti; non basta avere competenze in ambito privacy per potere approcciare correttamente questa materia, né bastano ovviamente corsi di poche ore per creare un auditor.

Esprimere un parere di conformità su tematiche ampie e articolate espone chi effettua la verifica a rilevanti rischi di errore.

È quindi fondamentale, che chi effettua la verifica, al fine di evidenziare esattamente ciò che è stato oggetto di verifica ma soprattutto ciò che non lo è stato, definisca in modo assolutamente preciso perlomeno:

  • il perimetro dell’audit;
  • il periodo dell’audit;
  • la finalità dell’audit;
  • il tipo di verifica effettuata (ad esempio se si è trattato di una semplice verifica formale);
  • le fonti informative utilizzate, sia interne, sia esterne;
  • le modalità ed il momento di raccolta delle informazioni;
  • i soggetti intervistati.

Una materia quindi per specialisti, che spesso anche master e corsi affrontano in modo superficiale, a testimonianza della scarsa competenza e risorse disponibili per svolgere correttamente tale attività.

New call-to-action

NOTE

  1. I rischi dell’attività di audit nel percorso di adeguamento al GDPR, su Cybersecurity360.it.
  2. Le sanzioni possono essere di natura economica, non economica (una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), penali, dalle quali posso derivare un danno reputazionale e possibili interruzioni dei servizi con conseguente danno economico, contenzioso con controparti, danno reputazionale.
  3. Evidenza di una differenza fra quanto si è riscontrato in sede di verifica e quanto ci si attendeva.
  4. Giancarlo Butti, Maria Roberta Perugini – Audit e GDPR – Manuale per le attività di verifica e sorveglianza del titolare e del DPOFrancoAngeli 2019.
  5. Tratto da: G.Butti – Sicurezza Totale 4.0. L’ABC sulla Physical Cyber Security per i DPO e le PMI (e non solo) – ITER 2019.

WHITEPAPER
Sicurezza garantita per le tue applicazioni: ecco i 5 passaggi chiave da rispettare
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr