L'APPROCCIO CORRETTO

GDPR e risk-based thinking, contestualizzare il rischio in ambito privacy: best practice

Il risk-based thinking consiste nell’usare un approccio sistematico, strutturato e proattivo per la gestione dei rischi, anche nell’ambito della tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali. Ecco le best practice per una corretta compliance al GDPR

05 Set 2019
G
Luigi Gobbi

ICT Security Manager

Con l’entrata in vigore del GDPR, il risk-based thinking, l’approccio basato sul rischio, ha assunto definitivamente un ruolo di rilievo nell’ambito della materia privacy.

Il risk-based thinking nasce dalle norme di nuova generazione sui sistemi di gestione, e consiste nell’utilizzare un approccio sistematico, strutturato e proattivo per la gestione dei rischi in un determinato ambito di applicazione, come può essere la qualità nella ISO 9001, la sicurezza delle informazioni nella ISO/IEC 27001 o l’ambiente nella ISO 14001.

Nel GDPR, l’ambito di applicazione è la privacy, più precisamente la tutela dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali.

GDPR e risk-based thinking: una corretta interpretazione

L’approccio basato sul rischio permea l’intero regolamento, integrandosi perfettamente con tutti i principi cardine dello stesso.

Si parla infatti di rischi nell’art 24 relativo all’accountability, così come nell’art. 25 che definisce i principi di privacy by design e privacy by default, ma anche negli artt. 33 e 34 che regolamentano la gestione di un data breach.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

Ad ogni modo, la manifestazione più evidente di risk-based thinking la troviamo negli artt. 32 e 35 e negli istituti da questi introdotti: valutazione dei rischi e valutazione d’impatto (DPIA). Si tratta di due istituti di sostanziale importanza in ottica compliance GDPR, il cui recepimento è stato tuttavia caratterizzato da continui fraintendimenti riguardo finalità, tempistiche e metodologie di implementazione.

Le cause di tali fraintendimenti sono in buona parte da ricondurre alla scarsa consapevolezza che molti Privacy Officer e DPO hanno del concetto di rischio inteso nella sua accezione più pura, il che ha reso per molti di loro estremamente complicato apprezzarne la contestualizzazione in ambito privacy.

E così, a poco più di un anno dall’effettiva applicazione del regolamento, e nonostante sia l’ex WP29 sia il Garante siano intervenuti sul tema nel tentativo di fare chiarezza, valutazione dei rischi e DPIA continuano ad essere vittime di errate interpretazioni, mentre prosegue inarrestabile il proliferare di metodologie di applicazione sempre più complesse e controverse che sono utili a tutto fuorché a raggiungere la compliance GDPR.

La presente analisi si pone quindi l’obiettivo, partendo dalla definizione generale di rischio e passando per la contestualizzazione del rischio in ambito privacy, di fornire un’interpretazione logica e coerente dell’approccio basato sul rischio che informa il GDPR, con focus finale sugli istituti della valutazione dei rischi ex art. 32 e della DPIA ex art. 35.

Il concetto di rischio

Al giorno d’oggi il rischio è un concetto estremamente diffuso e strumentalizzato. Chiunque, a prescindere dal settore di business di appartenenza, avrà sentito parlare almeno una volta dell’importanza di saper individuare, valutare e gestire in modo opportuno i rischi per i propri prodotti, servizi, progetti o processi. Eppure, ancora in pochi comprendono realmente il significato e la portata di tale concetto.

Cos’è un rischio? E cos’è esattamente una valutazione dei rischi?

Se ponessimo queste semplici domande a tre manager di tre diversi settori, con grandissima probabilità riceveremmo altrettante risposte differenti. E non c’è da meravigliarsi, dal momento che sono moltissimi gli standard e i regolamenti che propongono al loro interno definizioni di rischio specifiche rispetto ad un determinato ambito di applicazione.

Ora, senza voler entrare nel merito di quale di queste definizioni sia la migliore, o la più completa, ne riporterò una che a mio avviso è estremamente chiara e che si rivelerà particolarmente efficace ai fini della presente analisi.

Si tratta della definizione contenuta all’interno della NIST Special Pubblication 800-53, secondo la quale “il rischio è la misura di quanto un soggetto è minacciato da un evento o da una circostanza potenziale, ed è funzione dell’impatto negativo che deriverebbe dall’effettivo verificarsi dell’evento o della circostanza e della probabilità di accadimento di questi ultimi”.

Tale definizione, a differenza di molte altre, ha il grande pregio di cogliere ed enfatizzare i due elementi fondamentali che sono alla base del concetto di rischio: il soggetto di interesse, ovvero qualcuno o qualcosa la cui sicurezza è minacciata, ed il contesto di riferimento, ovvero l’insieme di eventi e di circostanze ai quali il soggetto di interesse è esposto e che potrebbe potenzialmente comprometterne la sicurezza.

Il concetto di rischio trova un senso proprio nella combinazione di questi due elementi. È infatti evidente che, in assenza di qualcuno o qualcosa esposto ad un determinato evento, non avrebbe alcun senso parlare di rischi in relazione a quell’evento.

Allo stesso modo, un qualsiasi soggetto non correrebbe alcun rischio se non si trovasse esposto a determinati eventi o circostanze che potrebbero potenzialmente comprometterne la sicurezza.

Consolidiamo questi concetti con un semplice esempio.

Il fatto che domani molto probabilmente ci sarà burrasca nel tratto di mare di fronte casa mia è un semplice evento, caratterizzato da una certa probabilità di accadimento, ma di per sé privo di rischi per la mia persona.

Se però decidessi di pianificare, per la giornata di domani, un giro in barca proprio in quel tratto di mare, esporrei la mia persona ad un contesto potenzialmente critico e ad una serie di rischi a questo connessi, tra cui, ovviamente, i rischi legati alle particolari condizioni meteorologiche.

Il fatto che domani molto probabilmente ci sarà burrasca, quindi, associato al contesto di una gita in barca e in virtù del fatto che c’è un preciso soggetto esposto a quel contesto, si tramuta da semplice evento a rischio.

Lo stesso vale ovviamente per tutti gli altri eventi e circostanze che, al pari delle condizioni meteorologiche, caratterizzano il contesto di riferimento della gita in barca e che potrebbero comportare dei rischi per la mia persona, come ad esempio le condizioni del tratto di mare interessato (flora, fauna, rocce ecc.), oppure la tipologia e lo stato dell’imbarcazione che utilizzerò per l’uscita.

Ci sarebbero quindi tutti gli estremi per procedere con una valutazione dei rischi.

Ed ecco che riaffiora la seconda domanda che ci eravamo posti ad inizio paragrafo: cos’è esattamente una valutazione dei rischi? Anche in questo caso, per rispondere efficacemente è necessario riferirsi ai due elementi cardine del concetto di rischio: soggetto di interesse e contesto di riferimento.

Effettuare una valutazione dei rischi significa infatti quantificare i rischi che un determinato soggetto corre in conseguenza dell’esposizione ad un determinato contesto di riferimento.

L’oggetto della valutazione dei rischi, in particolare, sarà proprio quel contesto di riferimento, inteso come l’insieme di eventi e di circostanze ai quali il soggetto di interesse è esposto e che abbiano le potenzialità di comprometterne la sicurezza.

Tornando all’esempio della gita in barca, avendo parlato in precedenza dei rischi per la mia persona, potremmo ipotizzare di condurre una valutazione dei rischi che abbia come soggetto di interesse proprio la mia persona.

L’oggetto della valutazione sarà quindi lo specifico contesto di riferimento al quale la mia persona sarà esposta e che, come detto, comprenderà tutta una serie di eventi e di circostanze relativi alle condizioni meteorologiche, al tratto di mare interessato, alle mie capacità natatorie, alla tipologia e allo stato dell’imbarcazione e in generale a qualsiasi altro aspetto relativo al giro in barca che potrebbe avere un impatto sulla sicurezza della mia persona.

In modo del tutto analogo, potremmo invece condurre una differente valutazione dei rischi avente come soggetto di interesse l’imbarcazione che utilizzerò per l’escursione. In questo caso, durante la valutazione considererò sicuramente gli eventi e le circostanze relativi alle mie capacità di pilotare l’imbarcazione, mentre non avrebbe alcun senso continuare a considerare le mie capacità natatorie, del tutto ininfluenti per la sicurezza dell’imbarcazione e quindi prive delle potenzialità di generare dei rischi per quest’ultima.

In definitiva, possiamo affermare che, volendo contestualizzare il rischio in un determinato ambito di applicazione, è innanzitutto imprescindibile identificare in modo puntuale il soggetto di interesse ed il contesto di riferimento.

In ambito privacy, come vedremo, è stata proprio la diffusa incapacità di riuscire a distinguere ed inquadrare correttamente i suddetti elementi ad aver generato moltissima confusione e ad aver di fatto compromesso l’interpretazione del risk-based thinking introdotto dal GDPR.

GDPR e risk-based thinking: contestualizzazione del rischio privacy

Volendo analizzare la contestualizzazione del rischio in ambito privacy introdotta dal GDPR, non possiamo che partire da un’espressione che all’interno del regolamento si ripete decine e decine di volte: rischi per i diritti e le libertà delle persone fisiche con riguardo al trattamento dei dati personali.

All’interno di questa dicitura troviamo infatti espressi entrambi gli elementi cardine del concetto di rischio: il soggetto di interesse, ovvero i diritti e le libertà delle persone fisiche, ed il contesto di riferimento, ovvero il trattamento dei dati personali.

L’intento del regolamento nel contestualizzare il rischio in ambito privacy è quindi chiarissimo, ed è quello di tutelare le persone fisiche da tutti gli aspetti relativi al trattamento dei dati personali che potrebbero in qualsiasi modo comprometterne i diritti e le libertà fondamentali.

Tutto molto chiaro ed intuitivo, verrebbe da dire. E invece no.

Il problema è che tale chiave di lettura, sebbene sia totalmente coerente con le finalità ultime del GDPR e sebbene rappresenti, in via definitiva, l’unica interpretazione ragionevolmente possibile ed accettabile del concetto di rischio introdotto dal regolamento, è sorprendentemente sfuggita alla stragrande maggioranza di tecnici ed esperti del settore.

E così, la tutela delle persone fisiche è stata erroneamente interpretata come tutela degli interessati, mentre la sicurezza del trattamento è stata regolarmente confusa con la sicurezza dei dati personali trattati.

Merita fare chiarezza.

Partiamo con una prima, fondamentale osservazione: persone fisiche ed interessati non sono la stessa cosa.

Risulta infatti evidente come all’interno del regolamento le due espressioni siano utilizzate in modo del tutto distinto ed indipendente, e che quando in particolare il GDPR si riferisce alle persone fisiche lo fa per andare ben oltre il limitato insieme degli interessati e per abbracciare anche coloro che, pur non essendo interessati, potrebbero vedere i propri diritti e le proprie libertà minacciati dal trattamento dei dati personali di questi ultimi.

Tale differenza, seppur apparentemente sottile, comporta in realtà delle implicazioni di enorme portata. Chiariamo il concetto con un esempio.

Prendiamo una struttura sanitaria che tratta dati personali relativi alla salute di pazienti affetti da malattie sessualmente trasmissibili. In questo caso, la DPIA relativa ai trattamenti effettuati su quei dati non potrà e non dovrà ignorare i rischi per i diritti e le libertà dei partner di tali pazienti, così come quelli dei figli di questi ultimi, in particolar modo se minorenni.

Tali persone fisiche, infatti, pur non rientrando nella categoria di interessati (i dati personali trattati non si riferiscono a loro) rischierebbero comunque di vedere violato il proprio diritto alla non discriminazione o alla non emarginazione nel caso in cui quei dati venissero trattati impropriamente (ad esempio se venissero accidentalmente resi pubblici), con evidenti gravi ripercussioni sulle loro vite personali.

Quindi, in relazione ad un generico trattamento di dati personali, il GDPR prevede l’obbligo, per titolari e responsabili del trattamento, di valutare non solo i rischi per gli interessati, ma più in generale per tutte le persone fisiche i cui diritti e le cui libertà fondamentali, direttamente o indirettamente, potrebbero essere minacciati da quel determinato trattamento.

Una seconda precisazione riguarda il concetto di sicurezza del trattamento: dati personali sicuri, ovvero dati per i quali sono garantiti alti livelli di riservatezza, integrità e disponibilità, non garantiscono necessariamente trattamenti sicuri.

La sicurezza del trattamento va infatti ben oltre la sicurezza dei dati trattati, e deve necessariamente considerare tutta una serie di aspetti aggiuntivi quali, a titolo esemplificativo e non esaustivo, le finalità, la proporzionalità e la base giuridica del trattamento stesso.

Per sciogliere ogni dubbio a riguardo, potrebbe essere utile riprendere l’art.1, paragrafo 6 del GDPR, all’interno del quale leggiamo: “Il presente regolamento protegge i diritti e le libertà delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Risulta quindi evidente come, benché la sicurezza dei dati personali trattati sia un tassello fondamentale per la tutela dei diritti e delle libertà delle persone fisiche, quest’ultima dipenderà inevitabilmente anche da altri fattori.

Riprendiamo, per comodità, l’esempio precedente relativo alla struttura sanitaria che tratta dati personali relativi a malattie sessualmente trasmissibili. Ipotizziamo, quindi, che tale struttura, a seguito della DPIA svolta sui trattamenti di tali dati, abbia messo in atto tutte le misure tecniche ed organizzative necessarie a garantirne elevatissimi livelli di riservatezza, integrità e disponibilità, e che esclusivamente in virtù di ciò abbia stabilito che i trattamenti possano ritenersi privi di rischi per i diritti e le libertà degli interessati.

Ovviamente, una DPIA così strutturata non è conforme al regolamento, in quanto l’unico diritto che è in grado di tutelare è quello relativo alla protezione dei dati personali.

E se, per esempio, tra i trattamenti svolti dalla struttura ci fosse anche la profilazione dei pazienti in base alla specifica malattia cui sono affetti (HIV, sifilide ecc.)? In questo caso, i dati personali continuerebbero ad essere super sicuri, protetti dalle più efficaci misure tecniche ed organizzative, eppure il trattamento di profilazione potrebbe gravemente violare i diritti e le libertà dei pazienti, ad esempio se la struttura non avesse provveduto a raccogliere presso gli stessi un consenso libero, specifico, informato ed inequivocabile per il trattamento di profilazione.

Appare quindi chiaro come dati personali estremamente sicuri potrebbero comunque essere trattati in modo tale da comportare dei rischi elevati per i diritti e le libertà delle persone fisiche.

In definitiva, in ambito privacy, una gestione del rischio valida e conforme al regolamento richiederebbe a titolari e responsabili di fare tutto il possibile (ed essere in grado di dimostrarlo) per tutelare i diritti e le libertà delle persone fisiche con riguardo al trattamento dei dati personali.

Purtroppo, però, in virtù dei sopra citati fraintendimenti, quella che avrebbe dovuto imporsi come regola è finita per diventare una rara eccezione, e ad oggi la stragrande maggioranza di strumenti e metodologie a supporto della gestione dei rischi privacy continua ad essere non conforme ai requisiti del GDPR.

GDPR e risk-based thinking: valutazione dei rischi e DPIA

Abbiamo visto come l’approccio basato sul rischio che informa il GDPR intenda tutelare i diritti e le libertà delle persone fisiche dai rischi derivanti dal trattamento dei dati personali.

Per supportare il titolare ed il responsabile del trattamento nel perseguimento di tale obiettivo, il regolamento introduce, all’interno della Sezione II – Protezione dei dati personali, due istituti fondamentali quali la valutazione dei rischi ex art.32 e la valutazione d’impatto (DPIA) ex art.35.

Si tratta di due istituti strettamente interconnessi, che se inquadrati all’interno di un processo logico, coerente e strutturato consentono non solo di supportare il titolare ed il responsabile del trattamento nella corretta gestione dei rischi privacy, ma anche di fornire a questi ultimi un potente strumento di accountability.

Tuttavia, a seguito delle criticità abbondantemente affrontate e discusse nella prima parte del presente articolo, il recepimento dei due adempimenti è stato a dir poco problematico.

Moltissimi dubbi sono stati infatti sollevati riguardo alle finalità, ai contenuti e alle differenze delle due Valutazioni, per non parlare delle opinioni contrastanti, anche tra tecnici specializzati nella materia, riguardo le circostanze che richiedano la necessità di procedere con l’una, piuttosto che con l’altra.

Il fenomeno, se ci pensiamo, è ancor più sorprendente dell’errata interpretazione del risk-based thinking che informa il GDPR, e questo perché, oltre a tutte le risposte di per sé contenute negli artt. 32 e 35 e nei relativi considerando, ci sono stati interventi specifici sul tema sia da parte del Garante, in particolare con il Provvedimento n. 467 dell’11 ottobre 2018, che dell’Ex. WP 29 con le Linee-guida concernenti la DPIA.

Riassumiamone quindi i concetti principali.

Sostanzialmente, possiamo considerare valutazione dei rischi ex art. 32 e DPIA ex art. 35 come due adempimenti distinti e consequenziali, appartenenti ad un unico processo di gestione dei rischi privacy.

Tale processo parte sottoponendo un determinato trattamento alla valutazione dei rischi ex art. 32, il cui fine ultimo è quello di determinare se un trattamento possa presentare dei rischi per i diritti e le libertà delle persone fisiche, nonché di valutare quanto effettivamente il livello di sicurezza garantito dalle misure tecniche ed organizzative progettate ed implementate sia adeguato a tali rischi.

Il regolamento stabilisce che la valutazione dei rischi ex art. 32 sia sempre necessaria, e che dovrà quindi essere svolta, da titolari e responsabili, indistintamente su ogni trattamento di dati personali.

Dalla valutazione dei rischi, in particolare, dovranno emergere i trattamenti che presentano rischi elevati per le persone fisiche. Per tali trattamenti, infatti, il titolare del trattamento avrà l’obbligo di procedere con una ulteriore e più approfondita analisi: la valutazione d’impatto ex art. 35, o DPIA.

Di fatto, quindi, la valutazione dei rischi precede concettualmente la DPIA, ed anzi ne determina l’effettiva necessità. I due istituti sono quindi evidentemente ed indissolubilmente legati.

Se, dunque, un determinato trattamento dovesse presentare dei rischi elevati per i diritti e le libertà delle persone fisiche, il titolare procederà con una DPIA su quel trattamento, determinando l’origine, la natura, la particolarità e la gravità dei rischi a questo associato, e definendo al contempo le misure tecniche ed organizzative necessarie ad attenuarli e a garantire un adeguato livello di sicurezza.

Al termine della DPIA possono quindi presentarsi due distinti scenari. Nel primo, il titolare è stato in grado di attenuare il rischio elevato associato al trattamento e di garantirne, di conseguenza, un adeguato livello di sicurezza. La DPIA avrà quindi avuto un esito positivo, ed il titolare potrà procedere con il trattamento. Nel secondo scenario, invece, il titolare non è stato in grado di garantire un livello di sicurezza adeguato al rischio, che rimane quindi elevato. In tal caso, questi dovrà decidere se rinunciare a procedere al trattamento o in alternativa se consultare l’Autorità di controllo, rimettendosi al giudizio di quest’ultima.

L’inquadramento e l’integrazione di valutazione dei rischi e DPIA all’interno di un processo strutturato, logico e coerente come quello appena descritto consente quindi ai titolari ed ai responsabili del trattamento di gestire in modo opportuno il rischio in ambito privacy e di garantire, in definitiva, che i trattamenti dei dati personali siano da essi effettuati nel rispetto dei diritti e delle libertà delle persone fisiche.

È importantissimo, in tal senso, precisare due aspetti fondamentali: il primo è che, coerentemente con i principi di privacy by design e privacy by default, valutazione dei rischi e DPIA devono essere svolti nelle primissime fasi di pianificazione di un trattamento, e quindi prima che questo effettivamente si concretizzi.

Anche perché, come detto, ad una DPIA conclusa con esito negativo potrebbe seguire la rinuncia, da parte del titolare, a procedere con il trattamento.

Il secondo aspetto da chiarire è che valutazione dei rischi e DPIA sono adempimenti dinamici. È indispensabile quindi prevederne un processo di revisione periodica che ne rinnovi i contenuti ogniqualvolta dovessero essere apportate delle modifiche sostanziali al trattamento che potrebbero in qualsiasi modo alterarne il livello di rischio, come ad esempio l’impiego di nuove tecnologie o l’apporto di modifiche alle misure tecniche ed organizzative implementate.

Conclusione

Il risk-based thinking che informa il GDPR è assolutamente coerente con i fini ultimi del regolamento, proponendosi di tutelare i diritti e le libertà delle persone fisiche con riguardo al trattamento dei dati personali.

Il regolamento mette inoltre a disposizione di titolari e responsabili del trattamento tutti gli strumenti necessari per perseguire tale scopo, e quindi per valutare e gestire opportunamente i rischi in ambito privacy.

Pertanto, non sussistono valide scusanti dietro le quali titolari e responsabili del trattamento non ancora a norma potranno trovare riparo in caso di data breach o di eventuale verifica da parte dell’Autorità di controllo che dovessero evidenziare una gestione dei rischi privacy non compliant al regolamento.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr