L'approfondimento

La data protection by design in azienda, post GDPR: un approccio olistico

Business analyst, architetti informatici, esperti legali: sono le professionalità al servizio del principio di data protection by design. Ecco l’approccio consigliato alle organizzazioni che cercano di adeguarsi alle norme previste dal GDPR, per mettere in pratica le giuste azioni senza trascurare alcun aspetto

04 Mar 2019
N
Francesca Nobilini

Information & Cyber Security Consultant, P4I – Partners4Innovation

T
Gabriele Tori

Legal Consultant, P4I – Partners4Innovation

Serve un approccio transdisciplinare per concretizzare al meglio il principio di data protection by design in azienda. Il concetto della protezione dei dati “by design” è ormai entrato nel glossario dei soggetti che hanno portato avanti un progetto di adeguamento al GDPR. Tuttavia, il regolamento non esprime che un principio generale, ed è compito delle organizzazioni definire le migliori prassi per garantirne l’attuazione.

Appare evidente che occorre dotarsi di metodi e di capabilities in grado di assicurare che ogni iniziativa progettuale, specie se a carattere altamente innovativo, sia costruita e coordinata secondo un approccio transdisciplinare, perché non basta guardare distintamente le singole componenti.

Data protection by design, che cos’è

Il Regolamento 679/2016 (GDPR), in vigore da più di due anni, all’articolo 25 prevede:

«Il titolare del trattamento metta in atto misure tecniche e organizzative adeguate a garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica».

Non si tratta di un concetto completamente nuovo; infatti, formulato in modo diverso, era già presente nel precedente art.3, “Principio di necessità nel trattamento dei dati” del Decreto legislativo n° 196/2003. La differenza fondamentale è tutta in quella espressione “by design”, che tradotta nella nostra lingua significa: sin dalla progettazione. Questo principio è alla base del concetto di responsabilizzazione e consapevolezza dei rischi, intesi come misura delle conseguenze del trattamento sui diritti e le libertà dell’interessato.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy

In tal senso i trattamenti dovranno essere progettati fin dall’inizio in modo da limitare il più possibile i rischi, adottando le misure di sicurezza ritenute adeguate. Non si tratta più quindi solo di configurare i sistemi preposti al trattamento dei dati, riducendo al minimo l’utilizzazione di dati personali, ma si tratta di progettare questi sistemi già data protection by design ovvero rispettosi di tutti i requisiti di data protection, ma anche ricchi di tutte quelle funzionalità che rendono possibili nel tempo le operazioni richiesta dal Regolamento, ad esempio la cancellazione dei dati “a scadenza”, la tracciabilità delle richieste degli interessati nell’esercizio dei loro diritti, nonché le risposte da dare agli interessati stessi ecc., agevolando il titolare nella gestione operativa di tutti gli adempimenti necessari.

Il concetto è apparentemente semplice, occorre però considerare che per trattamento si intende ogni operazione che elabori dati personali (ad esempio l’archiviazione, la consultazione o la cancellazione di dati personali), anche per ragioni profondamente interne ai sistemi, e che mai come nell’epoca che stiamo vivendo, l’elaborazione dei dati è stato così pervasiva.

La trasformazione digitalee l’impatto sulla data protection

Il cambiamento che è in atto da alcuni anni, noto come trasformazione digitale, sta modificando sostanzialmente tutti gli aspetti della società e delle relazioni umane: si vanno via via trasformando le dinamiche correlate al lavoro, quelle per gli spostamenti, per gli acquisti, per lo sport e il tempo libero, e vengono generati servizi di ogni genere, da quelli essenziali a quelli meramente ludici. E questo grandioso e vasto “paesaggio datificato” è a disposizione della stragrande maggioranza della popolazione.

Il mondo interconnesso che si va creando prospera in un ambiente digitale, che produce, elabora e condivide incessantemente dati. Poiché quasi tutto ciò che un’organizzazione fa si fonda oggi sullo scambio e sull’elaborazione di dati, c’è da attendersi che creatività e tecnologia consentiranno di raggiungere in futuro traguardi via via più ambiziosi.

La circolazione di questa massa crescente di dati dovrà avvenire garantendo il posizionamento centrale dell’utente fruitore dei servizi e il suo diritto individuale di proteggere i propri dati personali.

Il Regolamento persegue certamente la finalità di rendere sempre più possibile l’uso dei servizi digitali, – si pensi ad esempio al nuovo diritto alla portabilità, che stabilisce che “l’interessato ha il diritto di ricevere da un operatore di servizi i dati personali che lo riguardano, in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e ha il diritto di tramettere questi dati ad un altro operatore“. Ciò avviene attraverso la definizione di regole a favore della creazione di un clima di fiducia fondato sulla trasparenza, e di un quadro di certezze normative, che assicura alle persone fisiche il controllo sui propri dati personali – sia ex-ante al trattamento, fornendo o negando il consenso, sia ex-post, potendo esercitare nel tempo i propri diritti.

Grazie all’internet delle cose ci attendono quindi nuovi servizi e nuovi prodotti che oggi non riusciamo neanche a immaginare, e che avranno alla base nuove operazioni di trattamento di dati personali. Vale la pena soffermarci però sul fatto che ogni nuovo servizio o prodotto, non è altro che la trasformazione di un processo esistente, o l’adozione di nuovi modelli attraverso i quali raggiungere i propri obiettivi, più tipicamente di business, ma anche a fini scientifici, sociali, culturali e via dicendo.

Una trasformazione di tale portata, che introduca nuovi patterns of business activities, per usare una terminologia cara ad ITIL (Information Technology Infrastructure Library), o che pur mantenendo lo stesso modello, adotti nuovi mezzi per il trattamento dei dati, non può prescindere da progetti di implementazione, in grado di coordinare tutte le complesse tematiche sottese.

Una visione olistica dell’iniziativa progettuale

Se da un lato è noto che una delle caratteristiche salienti atte a definire un progetto è il fatto di impiegare team multi disciplinari, per un progetto di trasformazione digitale, che abbia a fondamento il trattamento di dati personali, è auspicabile un approccio transdisciplinare, ovvero l’adozione di practice di project management, che garantiscano una visione integrata che superi le frontiere, spesso artificiali, che separano e distinguono le varie discipline.

Questo significa che vi sarà sempre bisogno di specializzazioni verticali – analisti di business, data steward, architetti per la sicurezza informatica, esperti legali saranno parte del team di progetto – ma ciò non dovrà far perdere quella visione d’insieme di ciò che il progetto andrà a realizzare, del contesto specifico in cui andrà a collocarsi in integrazione con altri sistemi e/o banche dati, del quadro legislativo vigente applicabile, non tralasciando di analizzare preventivamente ricadute positive o negative sugli interessati, ovvero su coloro cui saranno destinati, direttamente o indirettamente i prodotti del progetto, una volta concluse tutte le fasi realizzative.

In sostanza, quindi, si ritiene di poter generare del vero valore da una visione circolare e correlata di tutte le tematiche afferenti al dominio del progetto. Un valore che se da un lato richiede la capacità di integrare nelle practice di project management tutta una serie di aspetti che ad oggi non ne fanno parte, dall’altro garantisce la costruzione di una visione trasversale delle iniziative, che potrebbe essere di stimolo per innovare continuamente i modelli di business di un’organizzazione.

La progettazione by design anche per il cantiere del progetto

Non è raro che il project management debba contemplare due ambiti: uno che guarda al progetto e uno che guarda a ciò che il progetto deve realizzare.  Come prescrive anche la ISO 27001 la sicurezza delle informazioni deve essere indirizzata in seno ad ogni metodologia di project management, e per qualsiasi tipologia di progetto. Se il progetto si trova a dover trattare dati personali, l’ambiente del progetto dovrà essere disegnato tenendo conto di ogni requisito di sicurezza necessario a garantire la protezione dei dati.

Si pensi, ad esempio, a progetti di migrazione/integrazione dati in cui le fasi culminanti hanno bisogno di impiegare dati personali reali degli ambienti di produzione, o progetti di indagine statistica in cui una fase del progetto è costituita proprio dalla raccolta dei dati presso gli interessati. Ogni project manager ha l’obbligo di approntare un quadro sicuro e soprattutto deve fare in modo che tutto il team di progetto operi in un quadro sicuro. La metodologia stessa di project management dovrebbe prevedere che:

  • il piano dei rischi di progetto includa i rischi per la sicurezza delle informazioni, ovvero l’impatto potenziale di una violazione dei dati durante il progetto;
  • il piano dei costi includa i costi per l’implementazione delle contromisure di sicurezza necessarie, ad esempio, per la definizione di ambienti più sicuri, per le operazioni di backup dei vari ambienti impiegati, di gestione di scambi di informazioni cifrate, di procedure di “entrata” e di “uscita” dei componenti dal team di progetto e relative aperture e chiusure di utenze con le autorizzazioni necessarie e via dicendo.

Non si deve dimenticare che in generale gli archivi di progetto sono una ricca fonte di documenti preziosi e, a causa della natura temporanea dei lavori, i controlli di accesso ai sistemi di documentazione non sono sempre adeguati e i log non vengono mantenuti, dato che il progetto si chiuderà e il team di progetto verrà sciolto.

Tra le fasi “tecniche” del progetto deve aggiungersi anche la progettazione di una fase di “accompagnamento” atta a trasferire tutti i requisiti a coloro che dovranno farsi carico della gestione operativa di ciò che il progetto ha realizzato. Non è raro infatti riscontrare che talune categorie di requisiti possano apparire secondarie ad altre; specie nelle circostanze in cui ci si deve focalizzare sul corretto funzionamento, i requisiti di protezione dei dati possono passare in secondo piano.

La responsabilità del titolare del trattamento

Un’ultima riflessione: il GDPR affida al titolare del trattamento la protezione dei dati fin dalla fase di progettazione. Nella realtà dei fatti però il titolare si trova sempre più spesso ad impiegare sistemi, servizi, applicazioni, realizzati da altri soggetti, che solo in taluni casi sono poi coinvolti nel trattamento dei dati, allorquando questo avviene in concreto.

Lo spunto di riflessione viene leggendo il considerando n. 78, ove – in effetti il Regolamento non si rivolge solo al titolare del trattamento, ma cita espressamente «i produttori dei prodotti, dei servizi e delle applicazioni», che «in fase di sviluppo, progettazione, selezione e utilizzo di applicazioni, servizi e prodotti basati sul trattamento di dati personali o che trattano dati personali per svolgere le loro funzioni… dovrebbero essere incoraggiati a tenere conto del diritto alla protezione dei dati allorché sviluppano e progettano tali prodotti, servizi e applicazioni».

La responsabilità per la progettazione sicura del trattamento è in concreto del titolare, anche se il principio sembra rivolgersi anche e soprattutto a chi progetta e realizza sistemi, applicazioni, servizi. In effetti in assenza di requisiti incardinati nei sistemi, servizi, applicazioni ex-ante, come potrebbe il titolare dimostrare compiutamente di adempiere agli obblighi di protezione richiesti? Anche per questa ragione è necessario che la practice di project management si arricchisca di tutti quegli aspetti che garantiscano una accurata selezione delle sole soluzioni ICT che siano rispettose dei requisiti data protection by design specifiche dell’organizzazione.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr