COMPLIANCE GDPR

Sistema di data protection: la documentazione da produrre, aggiornare e conservare

Il principio di accountability impone a imprese private e PA di essere in grado di dimostrare di aver proattivamente adeguato i processi aziendali in cui “girano” dati personali alle regole poste dal GDPR: per questo, è necessario produrre, aggiornare e conservare una adeguata documentazione

27 Lug 2021
A
Giuseppe Alverone

DPO Certificato UNI 11697:2017

Il GDPR stabilisce la responsabilità generale dei titolari del trattamento (cioè delle imprese e delle pubbliche amministrazioni) per qualsiasi trattamento di dati personali che questi ultimi abbiano effettuato direttamente o che altri abbiano effettuato per loro conto.

In particolare, i titolari del trattamento non solo sono tenuti a mettere in atto misure adeguate ed efficaci ma devono anche essere in grado di dimostrare la conformità delle attività di trattamento con lo stesso GDPR[1].

In pratica, in applicazione del principio di sussidiarietà, ogni titolare è chiamato a porre, all’interno della sua organizzazione, le regole (sia tecniche che organizzative) per integrare i principi generali del GDPR[2] nei processi aziendali, i.e. deve adottare “politiche interne del trattamento” e dimostrare l’attuazione di tali politiche[3].

Sia le imprese che le PA assolvono questa delicata funzione tramite le persone fisiche che esercitano la funzione di titolare, cioè tramite i C-LEVEL o gli alti dirigenti pubblici ai quali è attribuito il potere decisionale circa le finalità e i mezzi dei trattamenti di dati personali.

Queste persone, con il costante supporto del Data Protection Officer (DPO), partendo dalla piena consapevolezza dell’importanza di questo settore, devono costruire una vision da trasformare in una mission che si esplicita nelle citate politiche dei trattamenti.

Sistema di data protection: come attribuire ruoli e responsabilità in imprese e PA

Sistema di data protection: l’importanza della documentazione

In concreto, questa mission deve essere trasfusa in un SGP – sistema di gestione privacy, cioè un sistema di documenti, regole, formazione e procedure di controllo omogeneo ed integrato, in altre parole armonioso. Caratteristiche peculiari: un SGP deve prevedere il suo aggiornamento in relazione all’evoluzione del contesto, garantendo comunque l’efficacia e l’efficienza dei processi aziendali[4].

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity

Comunque, tutte le attività di trattamento dei dati personali, fin dalla progettazione, devono essere comprovate mediante la produzione, l’aggiornamento e la conservazione di adeguata documentazione.

Va innanzitutto precisato che per documento si intende ogni rappresentazione grafica, informatica, fotocinematografica, elettromagnetica o di qualunque altra specie del contenuto di atti, fatti o dati giuridicamente rilevanti; anche interni o non, relativi ad uno specifico processo aziendale o procedimento amministrativo[5]; i.e. tutti i documenti cartacei ed informatici e in generale i records su ogni tipo di supporto idoneo a rendere evidente l’informazione (e.i. log file, audio, video ecc.).

Documenti obbligatori e non obbligatori (ma raccomandati)

Esaminiamo di seguito quale documentazione è auspicabile sia presente all’interno delle organizzazioni pubbliche e private, indicando da chi e come va prodotta, aggiornata e conservata e precisando che alcuni documenti sono prescritti come obbligatori dal GDPR mentre altri sono raccomandati come utili strumenti di governance del sistema.

Il “Privacy Dashboard” e documenti connessi

Si tratta di un documento non previsto dal GDPR e quindi non obbligatorio anche se per la sua utilità è fortemente raccomandato. Da molti è denominato “Manuale Privacy”, io l’ho ridenominato “Privacy Dashboard” per dare il senso della natura e della funzione di tale documento, che è un vero e proprio strumento di controllo, un cruscotto operativo nella disponibilità dei C-Level e degli alti dirigenti pubblici che esercitano le funzioni di titolare.

Si tratta di un brogliaccio, un documento sinottico che offre una vista completa di “chi” deve fare “che cosa” all’interno dell’organizzazione in materia di protezione dei dati personali.

Quindi, questo particolare documento dovrà riportare l’organigramma privacy con una descrizione generale dei compiti, ripartiti tra funzioni aziendali/aree organizzative omogenee e con l’indicazione solo dei manager/funzionari che le dirigono, ciascuno dei quali dovrà ricevere una designazione personale scritta che riporti i contenuti principali dei compiti loro attribuiti.

Costoro, nell’ambito della loro sfera di responsabilità, devono poi aver cura di predisporre, aggiornare e conservare dei funzionigramma privacy, i.e. dei documenti che indichino con precisione ruoli e responsabilità di tutte le entità cioè di tutte le persone fisiche che compongono le varie unità organizzative sottoposte al loro potere di direzione. Possono essere annessi al funzionigramma tutti gli atti di designazioni di incaricati/autorizzati da parte dell’esercente le funzioni di titolare e tutti i documenti relativi alla formazione degli stessi incaricati.

Si realizza così la c.d. cascata dei compiti (waterfall model) che rende facilmente dimostrabile la corretta attuazione del modello organizzativo prescritto dal GDPR e nel contempo attualizza il principio secondo il quale qualunque attività si svolga all’interno dell’organizzazione deve essere ricondotta alla sfera di responsabilità di una entità, cioè di una ben individuata persona fisica.

Continuando, all’interno del Privacy Dashboard, dopo l’organigramma va annotata tutta la documentazione necessaria a garantire un effettivo presidio dei dati che girano nei processi aziendali (quindi, documenti riguardanti la formazione, informative, moduli per l’esercizio dei diritti, piani, registro dei trattamenti, specifiche procedure ecc.).

Una precisazione importantissima: in corrispondenza di ogni documento annotato nel Privacy Dashboard va indicato il manager/funzionario, competente/responsabile a gestire l’attività documentata.

Esaminiamo ora di seguito in modo analitico la documentazione annotata sul Privacy Dashboard che deve essere coltivata da ciascun responsabile di funzione aziendale/area organizzativa omogenea.

Documenti riguardanti la formazione

Prima e più importante misura organizzativa è la formazione che crea consapevolezza e sensibilità diffuse e garantisce la tenuta del sistema. È specificamente prescritta sia dall’art. 29 che dall’art. 32 par. 4 del GDPR che, non a caso tratta la sicurezza del trattamento. Senza un’adeguata formazione del personale operante, qualsiasi misura tecnica od organizzativa è destinata a non avere efficacia.

La formazione è fondamentale nel senso letterale del termine: le attività di formazione sono le fondamenta del sistema di data protection.

Nel “Privacy Dashboard” dovrà essere indicata la persona fisica responsabile della formazione. Il DPO chiederà la massima attenzione e la massima cura per la formazione che deve essere fatta seriamente, deve cioè essere misurata e misurabile. Quindi al termine degli interventi formativi devono essere eseguiti dei test per verificare se e quanto il messaggio formativo è stato recepito.

Tutta la documentazione prodotta deve essere conservata dal citato responsabile della formazione.

Formazione aziendale in ambito privacy: previsioni normative e consigli pratici

Documenti obbligatori

Informative e basi giuridiche

Ogni trattamento di dati personali deve essere preceduto da una serie di informazioni che devono essere rese all’interessato per realizzare il principio di correttezza e trasparenza.

Per tale motivo, ogni responsabile di processo aziendale/procedimento amministrativo (c.d. process owner) ha l’onere di predisporre specifiche informative, attagliandole alle concrete attività di trattamento, avendo cura di inserire i contenuti minimi prescritti dagli artt. 13 e 14 GDPR. L’informativa deve contenere la descrizione del “ciclo di vita” dei dati e quindi anche gli eventuali destinatari o le eventuali categorie di destinatari, l’intenzione del titolare di trasferire i dati raccolti a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione. In mancanza di una decisione di adeguatezza, vanno sempre specificate le garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili. È fondamentale anche specificare sempre il periodo di conservazione dei dati oppure, se non è possibile, i criteri utilizzati per determinare tale periodo.

Nell’informativa vanno anche indicate le basi giuridiche che giustificano il trattamento. In particolare, se il trattamento si basa sul consenso o sul legittimo interesse è obbligatorio predisporre una ulteriore specifica documentazione.

Infatti, l’art.7, par.1 GDPR prescrive che qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Quindi il process owner dovrà disegnare una procedura per raccogliere il consenso e conservare in modo sicuro i relativi records.

Per basare il trattamento sul legittimo interesse, invece, lo stesso process owner farà bene a predisporre una specifica procedura per effettuare il c.d. “balacing test” ovvero un test comparativo tra il legittimo interesse del titolare e gli interessi o i diritti e le libertà fondamentali degli interessati. Molto utile al riguardo risulta essere la guida posta in Allegato 1 al WP 217 – Parere 6/2014 del WP29 alla cui lettura si rinvia.

Procedura e modulistica per l’esercizio dei diritti

Il titolare del trattamento deve agevolare l’esercizio dei diritti degli interessati in materia di protezione dei dati personali e realizzare specifici adempimenti procedurali con i vincoli temporali fissati dall’art. 12 GDPR.

È pertanto necessario definire una procedura specifica, predisponendo contestualmente:

  • designazioni/autorizzazioni scritte individuali per ogni entità chiamata ad applicare la procedura individuata;
  • apposita modulistica.

Le Pubbliche Amministrazioni possono attribuire questa funzione agli Uffici Relazioni con il Pubblico che in questo settore hanno particolare competenza, consapevolezza e sensibilità.

Documentazione relativa ai responsabili del trattamento

L’art. 28 GDPR prescrive che:

  • i trattamenti da parte di un responsabile del trattamento debbano essere disciplinati da un contratto o da altro atto giuridico che vincoli il responsabile stesso al titolare;
  • il responsabile del trattamento metta a disposizione del titolare tutte le informazioni necessarie a garantire la compliance al GDPR e consenta allo stesso titolare di eseguire audit per verificare la corretta esecuzione delle istruzioni.

Pertanto in attuazione di tali disposizioni, la persona esercente le funzioni di titolare deve predisporre e conservare il contratto e tutti i documenti redatti nel corso del rapporto contrattuale con il responsabile.

Registro dei trattamenti

Il registro, prescritto dall’art. 30 GDPR, è un documento obbligatorio per i titolari e per i responsabili e uno dei più importanti strumenti di accountability, una preziosa risorsa di informazione per il Garante in fase di controllo. Peraltro, qualora il titolare non si doti di strumenti generali di governance del sistema, come il citato Privacy Dashboard, rimane un imprescindibile strumento di monitoraggio del titolare/responsabile.

Il registro deve riportare il censimento di tutti i trattamenti eseguiti. Può capitare che il responsabile non lo adotti quindi per sicurezza il titolare deve sempre pretendere che il responsabile gli trasmetta una copia.

La predisposizione e la gestione del registro è un compito attribuito all’esercente le funzioni di titolare il quale può anche delegare questa incombenza ad un manager/funzionario dell’organizzazione, avendo però la consapevolezza che la responsabilità rimane sempre ancorata alla sua sfera di competenze.

Il registro deve consentire di identificare i soggetti coinvolti nel trattamento dei dati, finalità, le categorie di interessati e dei dati trattati, chi accede agli stessi, a chi vengono comunicati, per quanto tempo sono conservati e quanto sono sicuri.

Seppure non previsti come obbligatori dal GDPR suggerisco di inserire altri items che per ogni trattamento indichino le informative, le basi giuridiche ed il livello di rischio per i diritti e le libertà fondamentali degli interessati. Si ha così modo di evidenziare i trattamenti “a rischio elevato” sui quali andrà effettuata la valutazione di impatto (c.d. DPIA).

Va precisato che il registro non va inteso come una mera incombenza burocratica ma come un vero e proprio strumento operativo, analogo – per dare un’idea – ai registri obbligatori di magazzino delle medie e grandi aziende. Si comprende così anche il motivo per il quale il registro è funzionale all’esecuzione di audit interni e ad ispezioni da parte dell’Autorità di controllo.

Documentazione riguardante le misure di sicurezza

Le misure che garantiscono la sicurezza dei dati all’interno dell’organizzazione si dividono in due categorie: misure organizzative e misure tecniche. Queste ultime vanno individuate tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento e considerando che l’art. 32 GDPR raccomanda, come misure tecniche minime la pseudonimizzazione e la cifratura dei dati.

Le preoccupazioni di dimostrabilità, in quest’area, concernono soprattutto le misure organizzative sia fisiche che logiche, volte ad assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento nonché a ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico[6].

Per realizzare queste finalità il responsabile della funzione IT deve predisporre una politica di sicurezza informatica cioè l’insieme organico delle regole formali che definiscono le modalità di gestione degli strumenti informatici e dei dati dell’azienda o dell’ente in esame. Componenti della politica sono:

  • l’autenticazione;
  • l’integrità dei dati interna ed esterna;
  • il backup dei dati;
  • la sicurezza degli host;
  • la sicurezza del network;
  • la sicurezza fisica;
  • la sicurezza delle operazioni;
  • la gestione delle configurazioni (profilo di sicurezza minimo, c.d. “golden image”);
  • meccanismi di alert attivati sui sistemi (SIEM et similia);
  • le modalità operative di cambio della politica in caso di eventi esterni non previsti.

Per applicare la politica di sicurezza sulle entità, ogni Process Owner, sulla base di una specifica delega rilasciata dall’esercente le funzioni di titolare, sistematicamente annotata sul Privacy Dashboard, dovrà effettuare designazioni personali[7], in forma scritta.

Tali designazioni, in linea con le indicazioni offerte dal § 12.1 della prassi di riferimento UNI PdR 43.1:2018, devono riprendere i contenuti principali dei singoli compiti attribuiti a ciascun collaboratore.

Esse dovrebbero disciplinare tassativamente almeno le materie riportate al paragrafo 3 dell’art. 28 GDPR, ovvero che il designato/autorizzato sia in possesso e fornisca garanzie sufficienti su: natura, finalità, durata e modalità del trattamento.

Il Process Owner dovrebbe somministrare e verificare gli atti di designazione all’inizio delle attività e periodicamente, almeno una volta l’anno, le designazioni sono oggetto di un processo di analisi ed eventuale revisione.

Se nell’organizzazione è presente un amministratore di sistema cioè un professionista dedicato alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, è necessario applicare quanto disposto dal Garante, con provvedimento del 27 novembre 2008, tuttora applicabile[8]. Quindi:

  • l’amministratore di sistema dovrà essere designato con atto scritto individuale che rechi l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;
  • gli estremi identificativi delle persone fisiche designate amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di accertamenti da parte del Garante;
  • qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell´azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 GDPR e dell’art.4. comma 3 dello Statuto dei Lavoratori.

Dopo aver implementato le misure di sicurezza organizzative, in attuazione di quanto prescritto dall’art.32, par.1, lettera d) GDPR, l’esercente le funzioni di titolare o un suo idoneo delegato deve predisporre una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Si tratta del noto penetration test (o pen-test) eseguito dai White hat hackers funzionale ad analizzare e valutare la robustezza di un sistema informatico.

Documentazione delle valutazioni di impatto (DPIA)

Mentre, come si è visto, le valutazioni di sicurezza devono essere eseguite su tutti i trattamenti, le valutazioni di impatto vanno effettuate solo quando il trattamento prevede l’uso di nuove tecnologie e può presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’articolo 35 del GDPR indica i criteri in base ai quali si individuano i casi nei quali la DPIA è necessaria e il provvedimento del GPDP n. 467 dell’11/10/2018 pone analiticamente l’elenco delle tipologie di trattamenti da sottoporre a valutazione di impatto.

Quindi l’esercente o un idoneo delegato, specificamente indicato sul Privacy Dashboard dovrà eseguire e documentare il processo sviluppato seguendo precisamente le Linee Guida WP 248 rev.01 adottate dal WP29 il 4 ottobre 2017.

Documenti concernenti la gestione di eventuali data breach

Le misure di sicurezza sopra descritte per quanto accurate possano essere, non potranno mai annullare la probabilità che si verifichi un data breach cioè una violazione di sicurezza.

Quali sono gli oneri di documentazione in questo caso?

Quando si verifica un data breach il titolare deve[9]:

  • notificare entro 72 ore al Garante ai sensi dell’art. 33 la violazione, solo se questa presenta un rischio per i diritti e le libertà delle persone fisiche;
  • comunicare agli interessati la violazione, quando questa è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
  • documentare qualsiasi violazione dei dati personali (anche quelle non notificate al Garante e non comunicate agli interessati) comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.

Pertanto il titolare ha l’obbligo di tenere un registro delle violazioni di sicurezza da mantenere aggiornato.

Inoltre, poiché è necessario reagire al data breach in modo tempestivo, strutturato ed efficace appare opportuno predisporre una procedura di gestione della violazione individuando le entità coinvolte nel particolare processo ed affidando loro appositi compiti per iscritto.

Per tale incombenza si suggerisce di seguire la “Guide to Personal Data Breach Management and Notification” pubblicata a maggio 2018 dall’Autorità Garante Spagnola (AEPD).

Documentazione dei flussi di comunicazione: con il DPO, a terzi e fuori dal SEE

Il titolare del trattamento deve assicurarsi che il DPO sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali[10], al fine di consentirgli lo svolgimento dei compiti di consulenza nei confronti del titolare medesimo, oltre che di sorveglianza sulla conformità dei trattamenti, che gli sono attribuiti dal GDPR.

Quindi devono essere adeguatamente documentati:

  • tutti gli atti connessi alla designazione del DPO;
  • tutti i flussi di comunicazione con il DPO.

È importante precisare che il titolare, nei casi in cui decida di non seguire le indicazioni offerte dal DPO, deve redigere e conservare un documento nel quale indichi i motivi per i quali ha inteso assumere la decisione difforme dalle indicazioni e dai suggerimenti ricevuti.

La comunicazione dei dati a terzi e l’esportazione dei dati al di fuori dello SEE vanno adeguatamente documentate, magari anche strutturando specifiche procedure nelle quali vengano specificati i presupposti, i contesti e le modalità di effettuazione delle comunicazioni a terzi e dell’esportazione di dati personali. Come si è detto, questo tipo di documentazione deve trovare riscontro nelle informative rese agli interessati ai sensi degli artt. 13 e 14 GDPR.

Trasferimenti dati extra UE dopo Schrems II: tutti gli elementi normativi da conoscere

Sistema di data protection: un monito finale

Tutti gli adempimenti finora descritti costituiscono un arduo onere organizzativo che però è bene adempiere per proteggere in concreto i diritti e le libertà fondamentali delle persone fisiche e per creare il clima di fiducia necessario per la libera circolazione dei dati personali ed il connesso sviluppo dell’economia 4.0.

Ma se questi alti obiettivi non costituiscono per i titolari sufficienti fattori di motivazione, si consideri la probabilità di pesanti e dissuasive sanzioni in caso di inadempimento.

Valga come monito la sanzione pecuniaria di 300.000 euro che all’inizio del 2021 il Garante ha irrogato ad un importante Ente pubblico[11] perché, tra l’altro, dopo l’ispezione, quanto dichiarato dallo stesso Ente nelle note di controdeduzione “non è stato supportato da un’adeguata documentazione atta a comprovare quali livelli decisionali erano stati coinvolti, le valutazioni effettuate, le ragioni sottese alle decisioni prese e le misure adottate in relazione al trattamento dei dati personali (si pensi agli aspetti sulla valutazione del rischio o alla valutazione di impatto sulla protezione dei dati).

Peraltro, non è nemmeno emerso un adeguato coinvolgimento, da parte del titolare del trattamento, del ruolo del DPO, considerato che invece, sulla base del Regolamento, quest’ultimo avrebbe dovuto essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali”.

 

NOTE

  1. Vds. Considerando 74 ed artt. 5, par.2 e 24, par.1 GDPR.

  2. Art.5 GDPR

  3. Vds. Considerando 79 e art. 24, par.2 e 39, par.1, lettera b) GDPR.

  4. Così testualmente Fulvia EMEGIAN e Monica PEREGO – PRIVACY E AUDIT- IPSOA Guide Operative – 2019, pag.35.

  5. Vds. Art. 22, co.1, lettera d), Legge 241/1990 – Art.1, co.1, lettera p) e art.20, comma 1 bis D.lgs. 82/2005, nonché art. 2712 codice civile.

  6. Così art. 32, par. 1, lett. b) e c) GDPR.

  7. Ai sensi dell’art. 14 quaterdecies D.lgs. 196/2003.

  8. L’art. 22, co.4 del D.lgs. 101/2018 sancisce che a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni del presente decreto.

  9. Artt. 33 e 34 GDPR.

  10. Art.39, par.1 GDPR.

  11. Provvedimento GPDP n. 87 del 25 febbraio 2021 [9556958].

WHITEPAPER
DATI: come PROTEGGERLI e mantenerli CONFORMI alle regole? Scarica la Guida
Sicurezza dei dati
Database
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr