I fattori che governano la Data Sovereignty
Il direttore della strategia di digitalizzazione di TIBCO, Alessandro Chimera, tratta i dilemmi digitali che vengono sollevati dalla Data Sovereignty e descrive i protocolli e i processi che impattano sul modo in cui lavoriamo.
Nell’attuale epoca del cloud computing, è importante comprendere la sovranità sui dati per quello che è e capire come dobbiamo comportarci per essere in regola con le varie ramificazioni e conseguenze.
Descritta in vari modi come un’idea, un concetto, una sottoscrizione di policy e qualche volta come un principio base della sicurezza dei dati, oggi è chiaro che la data sovereignty rappresenta una regola guida fondamentale nel mondo globale in rete del cloud computing.
Messa in termini semplici, la sovranità sui dati è il processo con cui ci assicuriamo che i dati digitali siano soggetti alle leggi del Paese in cui vengono elaborati, analizzati, memorizzati, archiviati e gestiti.
Turbolenze geopolitiche
Nonostante il fatto che la data sovereignty sia apparsa in numerosi titoli di giornale durante le rivelazioni di Snowden, circa un decennio fa, essa rimane oggi nella base culturale di molte grandi aziende multinazionali a causa delle turbolenze geopolitiche e delle instabilità causate nei mercati mondiali dalla pandemia.
Detto ciò, anche al di fuori del turbine di forze del vortice geopolitico che interagisce con le realtà post-Covid, l’esplosione globale dei dati che si combina con la profondità e l’ampiezza dei canali del commercio internazionale, oggi concorrono tutti a spingerci a un nuovo livello di supervisione dei dati approvata dai governi.
Con il progetto GAIA-X, l’Europa ha lanciato un’iniziativa mirata a creare un nuovo approccio per assicurare una sovranità digitale in risposta alle egemonie nel cloud concentrate intorno alle mega piattaforme di Stati Uniti e Cina. GAIA-X è considerato il cloud di prossima generazione per l’Europa.
L’idea alla base della nuova piattaforma è che il sistema vedrebbe i vari fornitori di servizi cloud collegati attraverso un sistema di scambio dati interoperabile che agirebbe come un recipiente per i dati attraverso i vari settori di mercato.
GAIA-X opererebbe anche come un repository che le imprese potrebbero esplorare quando cercano servizi dati specifici – quali IA (Intelligenza Artificiale), IoT (Internet of Things), analytics e big data. GAIA-X renderà più semplice per le imprese di varie aree del mercato – come per esempio la sanità, l’agricoltura, la finanza, l’energia e i servizi pubblici – scambiarsi dati e realizzare non soltanto la sovranità sui dati, ma anche la disponibilità dei dati e l’innovazione; si tratta di una situazione win-win: tutti e tre gli obiettivi allo stesso tempo.
Partendo dal lavoro svolto e dalla discussione avviata, quali altri fattori dovrebbero controllare i dirigenti C-suite per tener conto di regolamenti quali il Cloud Act USA e la sentenza europea Schrems II, con le relative implicazioni in termini di scambio e memorizzazione dei dati?
L’innovazione sbilanciata
Le organizzazioni, alla luce della suddetta situazione, devono agire subito e, soprattutto, devono farlo basandosi su uno sbilanciamento iniziale che tutti sperimentano a causa della natura stessa della struttura del cloud.
È un’equazione semplice: le aziende devono sfruttare i dati nel cloud e farlo su larga scala – essendo gli hyperscaler attivi nel mega-cloud basati soprattutto negli USA e in Cina, c’è uno sbilanciamento intrinseco a causa del fatto che queste aziende hanno un impatto eccessivo sull’innovazione.
Dove questi giganti sbilanciati non riescono a soddisfare i regolamenti di UE, UK e altri patti, si rischia di operare con strutture modulari di DNA che possono quasi inevitabilmente decadere o frantumarsi. Si tratta di una situazione che, almeno per il momento, peggiorerà, diventando più pressante e difficile da gestire.
Secondo gli analisti di IDC, tra il 2010 e il 2022 si è assistito a una crescita nei dati globali pari al 5.250%. Considerando l’utilizzo dell’IA tuttora in crescita, le piattaforme di social media, IoT (Internet of Things) e i dispositivi in generale, la tendenza è ancora a crescere.
Ma sembra che ci si sia dimenticati del fatto che condurre business a livello internazionale significa muoversi in tutto il mondo. L’indizio sta proprio nel nome.
Grandi cloud, grande responsabilità
Oggi sappiamo che è possibile generare, elaborare, spostare, scambiare e integrare dati su una scala importante con fornitori cloud quali AWS, Microsoft Azure, la Piattaforma Cloud Google, Alibaba e gli altri concorrenti a questa corona a quattro punte.
Per la cronaca, gli altri contendenti più piccoli in questo settore sono IBM Cloud (Kyndryl), Oracle Cloud, OVHcloud, Tencent Cloud, DigitalOcean e Linode (controllato da Akamai).
Da tutti questi fornitori cloud si vedono oggi informazioni sensibili elaborate quali EPR (Electronic Patient Record, cartella elettronica dei pazienti), informazioni su ricette mediche, dati transazionali relativi a e-commerce privato e molto altro ancora.
Se si combina la nozione relativamente microeconomica di questi workload di dati presi a sé con la vista macroeconomica delle informazioni raccolte dai fornitori di servizi cloud sotto forma di metadati (indirizzi IP, credenziali, informazioni di logging e altro), si può comprendere meglio come mai si debba arrivare a un controllo più competente dei dati.
Anche un osservatore casuale che non sia un data scientist dovrebbe essersi fatta un’idea piuttosto chiara degli imperativi sui dati che sono di fronte a tutti.
Dovendo indirizzare tutte queste responsabilità, oggi siamo a un punto in cui l’Europa ha un’opportunità speciale di soddisfare l’esigenza di avere una maggiore condivisione e un’elaborazione decentralizzata dei dati più vicino all’utente.
Azioni che i dirigenti possono intraprendere oggi
Dal momento che i dati restano al centro dei nostri sforzi di trasformazione digitale, cosa possono fare le organizzazioni per indirizzare le più importanti aree di interesse nella data sovereignty?
Le tre azioni elencate di seguito possono essere approcciate e portate avanti in modo contemporaneo e continuo: la numerazione adottata serve unicamente a denotare una possibile sequenza logica di elaborazione.
- L’Azione #1 è un processo di auto-verifica. Si tratta di una buona occasione per rivedere la strategia attuale e pianificata di gestione dei dati e del cloud computing, iniziative e tattiche per aumentare la consapevolezza della responsabilità nell’utilizzo dei dati che spetta a tutti i dipendenti. Tutti i membri dello staff dovrebbero venir formati su GAIA-X e informati su come e perché è attualmente in evoluzione.
- L’Azione #2 rappresenta un passo in più nella pratica. Questo è il punto in cui un’impresa stabilisce e formalizza le proprie politiche ESG (Environmental, Social & Governance) centrate sul cloud che costituiscono le basi di come un CoE (Center of Excellence, Centro di Eccellenza) nuovo (o già esistente) per il governo e la sovranità sui dati entra a far parte della routine settimanale di ogni membro dello staff. Tutti gli stakeholder devono capire come e perché approcci aperti, trasparenti e sicuri ai dati, che siano pienamente documentati, sono un’esigenza fondamentale del luogo di lavoro.
- L’Azione #3 è un processo globale. È qui che un’impresa cerca partner e vendor che siano conformi e si allineino con i principi UE che richiedono: “Un ecosistema digitale aperto, trasparente e sicuro in cui i dati e i servizi possono essere resi disponibili, raccolti e condivisi in un ambiente fidato”.
Quando un’organizzazione non ha una posizione formalizzata di CDO (Chief Data Officer), può ancora focalizzarsi sulla qualità dei dati, la privacy, la data sovereignty, la proprietà dei dati (data ownership) e l’etica dell’IA con la funzione IT esistente in carica.
Continuare a percorrere la strada intrapresa significa muoversi da una base cloud-first e cloud-native a una omni-cloud e cloud-smart in termini di sovranità sui dati e responsabilità globale sulle informazioni nel loro insieme.
I fattori che governano la Data Sovereignty