Come ormai tutti saprete il 16 luglio 2020 la sentenza della Corte di Giustizia dell'Unione Europea (CGEU) (nota come “sentenza Schrems II”) ha reso invalido l’accordo per il trasferimento dei dati fra UE-USA denominato “Privacy Shield”.
Fino al 16 luglio 2020 il Privacy Shield era considerato una garanzia adeguata ad effettuare trasferimenti di dati personali dai paesi europei verso le compagnie USA (“importatori di dati”) che vi avevano aderito.
Alla domanda “Come incide questo sulla mia attività?” la risposta appare complessa: facciamo un po’ di storia.

In un precedente articolo sulla sentenza, avevo trattato l’argomento dal punto di vista dei possibili impatti operativi sulle attività delle imprese.
Il 10 novembre 2020, il Comitato europeo per la protezione dei dati (EBDP) ha emesso nuove raccomandazioni, con nuove indicazioni e motivazioni, e le ha sottoposte a consultazione pubblica. La situazione non è molto cambiata rispetto alle prime indicazioni dell’EDPB che risalgono al mese di luglio 2020.
Tuttavia, il documento del 10 novembre permette di individuare potenziali strade di gestione.

Cosa è cambiato?

L’EDPB ha pubblicato una mappa con i 6 passi che le imprese devono seguire per analizzare la situazione e prendere decisioni.

La mappa suggerisce di procedere nel modo seguente:

1. Effettuare un censimento dei trasferimenti – cioè una mappatura di tutti i trasferimenti di dati personali verso paesi terzi. Ciascun trasferimento dovrebbe essere verificato dal titolare per adeguatezza e pertinenza, e dovrebbe essere limitato nel rispetto del principio di “minimizzazione”.
2. Identificare lo strumento di garanzia adottato per assicurare la legittimità del trasferimento (uno di quelli previsti agli articoli da 46 a 49 del Regolamento UE).
3. Valutare l’efficacia di adeguate garanzie per effettuare il trasferimento – il titolare del trattamento deve valutare se qualcosa, nella legislazione applicabile o nella prassi del paese terzo, possa avere un impatto negativo sul livello di protezione offerto dallo strumento.
4. Verificare la possibilità di adottare misure supplementari – il titolare deve individuare e adottare, per ciascun trattamento, misure supplementari che possano offrire un livello di protezione sostanzialmente equivalente a quello dell'UE. Alcune delle possibili misure aggiuntive (contrattuali, organizzative e tecniche), adottabili anche in modalità combinata, sono illustrate nell’allegato 2.
5. Implementare, ove possibile, le misure supplementari individuate a garanzia del trasferimento. Il titolare del trattamento, in alcuni casi, potrebbe anche consultare l’autorità di controllo competente.
6. Effettuare audit periodici – il titolare, secondo il principio di accountability, ha l’obbligo di rivalutare periodicamente, a intervalli regolari, il livello di protezione offerto ai dati trasferiti su paesi terzi attraverso audit sul livello di protezione fornito dallo strumento di trasferimento utilizzato.

Purtroppo poco. Per chi si aspettava indicazioni più operative, la delusione è stata totale.

Il documento, arricchito con molte indicazioni che illustrano le attenzioni legali al trasferimento, ribadisce che il trattamento in paesi terzi è lecito solo quando avviene con le modalità stabilite dal Regolamento UE e che il Titolare, nel fare le proprie valutazioni, non deve tenere in considerazione la sola “localizzazione” dei dati ma anche, ad esempio, i poteri dell’Autorità governativa cui è sottoposta l’organizzazione che effettua il trattamento; in alcuni casi, può essere necessario utilizzare strumenti (ad esempio le Clausole Contrattuali Standard) potenziati per renderli maggiormente restrittivi.

Di fatto, si ribadisce che il trasferimento verso gli USA appare impraticabile – perché tutti i trasferimenti verso gli operatori di quel paese, allo stato attuale, avvengono sotto il potenziale controllo delle autorità americane – a meno che non sia possibile adottare un insieme di robuste regole tecniche ed organizzative.

Lo stesso per trasferimenti verso altri paesi che hanno comportamenti legislativi che non hanno uguale rispetto dei diritti garantito ai cittadini dell’Unione Europea.

Premesso che l’accountability, la conoscenza, il comportamento trasparente del Titolare del trattamento verso gli interessati possono in linea teorica ridurre l’impatto sanzionatorio, l’EDPB lascia intravedere alcune possibili soluzioni che esposte nei prossimi paragrafi; si prendono in esame alcuni casi concreti, sulla base dell’esperienza, per ipotizzare in che misura le indicazioni dell’EDPB possano essere concretamente praticabili.

Si cercherà di dare alcune indicazioni sui seguenti aspetti/trattamenti:

• utilizzo di sistemi di video conferenza e di e-learning;
• utilizzo sistemi di posta;
• utilizzo di piattaforme di mail-marketing;
• utilizzo di licenze in cloud;
• utilizzo di sistemi di storage cloud;
• utilizzo di applicazioni SaaS;
• utilizzo di sistemi di virtualizzazione del desktop.

ma anticipando delle soluzioni in molti casi sarà necessario avviare progetti di riconversione per raggiungere la conformità.

Sistemi di videoconferenza ed e-learning

Prima di tutto occorre analizzare il mercato. In base alla conoscenza del mercato dei prodotti/piattaforme disponibili, emerge che le piattaforme “made in USA” sono di gran lunga le più performanti, le più sicure, le più stabili e quelle che meglio utilizzano la banda di trasmissione.

Visto che l’EDPB prevede la possibilità di effettuare un bilanciamento degli interessi in gioco per valutare i possibili rischi legati al trasferimento di dati, si ritiene che l’attivazione di una buona minimizzazione dei dati trasferiti (misura tecnica), accompagnata dalla massima trasparenza nei confronti degli interessati (misura organizzativa) possano consentire l’effettuazione del trattamento.

Operativamente:

• effettuare e documentare il bilanciamento di interessi;
• informare gli interessati sulle caratteristiche della piattaforma utilizzata e spiegare quali categorie di dati saranno trattati e a quale scopo. In base al principio di minimizzazione, devono essere raccolti solo i dati strettamente necessari alla erogazione del servizio (ad esempio: nome, cognome, email, dati di log);
• ove non strettamente necessario, non effettuare registrazioni; se la registrazione è necessaria, è bene effettuarla in un ambiente diverso (per esempio su un sistema locale) dall’ambiente cloud messo a disposizione dalla piattaforma;
• se necessario, conservare i dati del meeting/lezione/webinar su propri sistemi nel tempo più breve possibile;
• a evento concluso, cancellare dalla piattaforma i dati dell’evento.

I passi operativi elencati possono essere applicati indifferentemente a webinar, videoconferenze e erogazioni contestuali di contenuti, nonché ai contenuti fruiti in modalità e-learning (con la raccomandazione di cancellare rapidamente i dati presenti sul sistema non appena l’erogazione sia terminata).

L’attivazione delle metodologie di controllo per evitare che ci siano soggetti disturbatori o soggetti che effettuino la registrazione in modo non lecito è data per scontata.

Ovviamente la cancellazione potrebbe lasciare delle “tracce”, ma ugualmente possiamo dire di aver minimizzato il rischio.

Qualcuno potrebbe affermare che alcuni rischi permangono, legati per esempio alla possibilità che alcune informazioni siano comunque raccolte dalle piattaforme e utilizzate per analisi BIG DATA, ma la minimizzazione permette di rendere disponibili alle piattaforme solo dati che sono già disponibili in rete su altri sistemi; non si sta, in buona sostanza, favorendo alcuna una diffusione di “nuovi” dati.

Sistemi di posta elettronica

Ci si riferisce a piattaforme e-mail che il titolare sceglie di utilizzare per finalità aziendali e che mette a disposizione dei propri dipendenti.

Qui cominciano i dolori, perché i sistemi di posta elettronica, oltre ai dati di contatto del mittente e del destinatario, veicolano potenzialmente la trasmissione di dati di ogni tipo (anche quelli appartenenti a categorie particolari) e non è possibile intervenire a livello tecnico per prevedere o bloccare eventuali trasferimenti di dati in paesi terzi. Di conseguenza il principio di minimizzazione non è applicabile.

È invece senz’altro possibile definire regole precise di utilizzo delle mail per limitare la trasmissione di dati personali all’interno dei messaggi, ma in moltissimi casi questa regola limiterebbe l’utilizzo dei sistemi di posta elettronica, che hanno il vantaggio fondamentale di poter inviare informazioni rilevanti per le attività dell’impresa in modo rapido ed efficace.

Certo, sarebbe possibile attivare l’impiego di mail crittografate con chiave unica del titolare; si ritiene, però, che la crittografia sarebbe poco funzionale per l’utilizzo che normalmente si fa del sistema di posta elettronica in quanto il principio cardine degli scambi che avvengono con questo strumento è l’interoperabilità tra i sistemi. È proprio questa caratteristica a far sì che i messaggi inviati raggiungano i destinatari in modo tempestivo ed efficace.

Nel caso delle imprese, l’unica strada praticabile – con impiego di risorse e tempi da quantificare ma comunque non banale – è l’avvio di un piano di migrazione verso un dominio di posta elettronica organizzato in un paese dell’Unione europea.

Nel caso di posta “personale”, ciascun individuo può scegliere ciò che preferisce; l’eventuale scelta di un provider con base negli Stati Uniti non è vietato ed il trasferimento dei dati, in questo caso, avviene sulla base del contratto stipulato (è cioè legata alla corretta erogazione del servizio). In questo caso, la posta elettronica è ad uso privato e non è soggetta al Regolamento UE. 

Sistemi di posta elettronica

Si parla delle piattaforme che consentono l’invio massivo di messaggi a una vasta platea di interessati (ad esempio i clienti di una impresa o gli iscritti a una associazione).

In questo caso, pur in presenza di una minimizzazione dei dati (si utilizza il solo indirizzo mail), un suggerimento possibile è migrare verso un provider basato nell’Unione Europea; fortunatamente in questo settore sono disponibili alternative molto valide. Un’unica ma fondamentale accortezza: bisogna preventivamente verificare che la piattaforma europea scelta non utilizzi per il servizio piattaforme cloud di fornitori con base negli USA, altrimenti le condizioni di non liceità del trattamento si ripropongono nella stessa identica modalità.

Nel caso in cui questo non fosse possibile, è necessario – dopo aver minimizzato i dati personali raccolti dalla piattaforma - informare in modo trasparente gli interessati sulle caratteristiche del trasferimento e magari raccogliere il loro consenso espresso al trasferimento (aggiungendolo alla richiesta di consenso al mail-marketing).

Licenze in cloud

Si parla di tutte quelle piattaforme che mettono a disposizione delle imprese applicativi software e sistemi operativi e ne garantiscono il continuo aggiornamento. Sono normalmente compresi nei servizi offerti gli aggiornamenti di antivirus e antispam, le patch di sistema operativo e le patch delle applicazioni software utilizzate (basti pensare ai servizi offerti da Microsoft e da Apple, di ampio utilizzo). 

Si parla di sistemi unici, solitamente acquistati dall’azienda per i dipendenti in blocco, che garantiscono la sicurezza dell’intero ambiente operativo anche in virtù dei continui e costanti aggiornamenti.

Anche in questo caso, è necessario effettuare un bilanciamento di interessi (da un lato quelli aziendali, dall’altro i diritti e la libertà degli interessati) e rispettare con molta attenzione il principio di minimizzazione, entrambi elementi fondamentali di accountability che possono mitigare i rischi associati al trasferimento.

È bene infatti consegnare a queste piattaforme solo un indirizzo email (lo username) e una password e non trasmettere o rendere disponibili al fornitore del servizio altri dati personali relativi ai dipendenti. Un ulteriore efficace mitigazione è la definizione di politiche di aggiornamento centralizzate, ad esempio attraverso un server locale che raccoglie gli aggiornamenti e li mette a disposizione degli utenti interni.

Appare francamente meno praticabile l’ipotesi di passare ad altre piattaforme, magari open source; questa scelta richiede un ripensamento dell’intero sistema ICT aziendale e lo espone ad altri rischi.

La scelta opensource diventa quindi una strada che potrebbe essere presa in considerazione solo da grandi organizzazioni, in grado di attivare un forte presidio informatico interno ma che richiede una valutazione attenta dei costi e delle risorse necessarie a una trasformazione dell’intero sistema aziendale.

Sistemi di storage cloud

Si parla di servizi cloud che le imprese acquistano per costruire l’archiviazione dei propri dati aziendali.

In questi casi, il gestore della piattaforma è sempre un responsabile del trattamento; il Titolare non può ovviamente essere tranquillo se il gestore in questione opera sotto la legislazione degli Stati Uniti.

Il documento dell’EDPB fa intravedere la possibilità di arricchire le clausole contrattuali standard con clausole personalizzate e più stringenti; si ritiene che tale possibilità, teorica e tutta da dimostrare nella pratica, potrebbe essere percorsa solo da imprese – grandi e importanti – a cui il gestore riconosca potere negoziale e contrattuale, cosa sicuramente non alla portata di micro, piccola e media impresa italiana. Potrebbe ad esempio essere uno strumento adottato da enti e organizzazioni pubbliche per gestire tutte le piattaforme utilizzate per la gestione progetto cloud per la PA.

Quali sono le altre strade a disposizione? Non si parla di soluzioni tecniche brillanti ma di interventi sulla situazione corrente che aprono qualche spiraglio di maggiore conformità.

Comprendere in che modo è utilizzata la piattaforma di archiviazione è ovviamente il primo passo.

Nel caso in cui l’utilizzo della piattaforma sia finalizzato a dotarsi di un sistema di backup di lasca continuità (ricordo che il backup va accuratamente progettato nel rispetto e in concordia alle politiche dell’azienda), è possibile dotare il server aziendale di un sistema di crittografia allo scopo di inserire in piattaforma solo dati pre-crittografati, che non sarebbero perciò in alcun modo accessibili dal provider. In questo caso, le modalità di gestione della chiave devono essere chiare e documentate e devono includere le procedure di recupero della chiave o prevedere l’utilizzo di chiavi alternative.

Nel caso in cui, invece, il servizio di storage includa il trasferimento di basi dati strutturate o archivi all’interno della piattaforma cloud (soluzione che permette alle imprese di ridurre i costi legati all’acquisto e alla gestione di server locali) è opportuno in primo luogo valutare quali tipologie di dati si intende trasferire in piattaforma, ricordando che i dati personali ex articolo 9 e 10 del Regolamento UE presentano intrinsecamente elementi di maggiore vulnerabilità per l’impresa.

Potrebbero esistere più possibili alternative tecniche che, in qualche modo, permettono di superare alcuni elementi di non conformità.

Il cambiamento del provider. L’impresa può decidere di passare, anche parzialmente (attraverso la realizzazione di cloud ibridi), a sistemi di archiviazione in cloud localizzati e gestiti da società dell’Unione Europea. Sulla base della tipologia di informazioni coinvolte, si può decidere di separare i servizi e di rivolgersi a un gestore europeo per tutto quanto implica un trattamento di dati personali e di rimanere con il gestore statunitense per tutto il resto. Una scelta del genere consente di limitare i rischi legati al trasferimento ma lo spostamento dei dati richiede un progetto ad hoc con tempi e costi da valutare opportunamente.

La crittografia. L’impresa può decidere di utilizzare un server locale (in house o presso un provider Europeo) con il compito di agire da filtro per tutto quello che deve “prendere” o “posare” in archivio. Tutto ciò che deve essere “preso” e “posato” sul cloud, incluse le richieste di accesso ai servizi, passa attraverso il “server filtro” ed è sottoposto a crittografia con una chiave (anche hardware) a utilizzo esclusivo dell’impresa; per motivi di sicurezza è necessario inoltre acquisire due o più chiavi uniche che devono essere applicate alla trasmissione. L’impiego di questa soluzione tecnologica porta inevitabilmente a dover prendere in considerazione tre elementi di criticità.

Il primo, come al solito, riguarda la conservazione delle chiavi. Il secondo, è relativo al tempo necessario per crittografare l’intero archivio di dati.

Il terzo e ultimo elemento riguarda la possibilità di gestire il lavoro a distanza evitando che le operazioni di crittografia svolte dal “server-filtro” diventino un collo di bottiglia. La soluzione in ipotesi di quanto ridurrebbe le prestazioni del sistema? Alcune funzioni di ricerca di informazioni di uso assolutamente comune oggi (per esempio una ricerca a testo libero) potrebbero un domani, con una diversa modalità di erogazione del servizio, diventare intrinsecamente complesse o quindi non utilizzabili?

Lo studio di una soluzione ibrida è potenzialmente la migliore soluzione ma l’impatto sulla struttura informatica dell’azienda è tutta da valutare in termini di tempo e costi non sempre facilmente disponibili.

Applicazioni SaaS

Si parla delle piattaforme cloud che erogano servizi completi in cui i dati aziendali sono conservati in un cloud “spazio condiviso” con altre imprese; dal punto di vista tecnico, la condivisione di risorse con altri non presenta rischi particolari perché normalmente le soluzioni offerte sono molto robuste dal punto di vista della sicurezza.

Alcuni fornitori statunitensi, consapevoli del loro ruolo di Responsabili del trattamento, hanno predisposto e incluso all’interno delle condizioni di utilizzo del servizio le Clausole Contrattuali Standard; il punto di vista il quadro non cambia, perché il fornitore rimane in ogni caso soggetto alla legislazione USA e questa semplice constatazione rende di fatto illecito ogni conferimento di dati personali da parte dell’impresa.

Qui vengono i dolori. Trasferire i dati su un'altra piattaforma SaaS può diventare complesso perché è probabile che non esistano altre piattaforme europee con pari prestazioni; in aggiunta, se l’impresa ha una grande quantità di dati in piattaforma, qualunque ipotesi di trasferimento presso un altro provider richiederebbe tempo e avrebbe un impatto significativo sulla continuità operativa.

Certo, in teoria esistono soluzioni tecniche che possono essere adottate per mitigare il rischio; come nei casi precedenti, le soluzioni si portano dietro una serie di problematiche non banali che necessitano attento studio e valutazione in termini di tempi di esecuzione e costi.

Teoricamente, l’impresa potrebbe impiegare un server “di certificazione” – installato localmente o presso un provider che opera nello spazio economico europeo – per rendere disponibili certificati “chiave” per le applicazioni.

Ogni accesso degli utenti alle applicazioni di front-end deve prevedere come atto iniziale l’invio di una richiesta al “server di certificazione” per il rilascio di una chiave temporanea (valida, ad esempio, per la singola sessione di lavoro) che consente all’applicazione di interagire con i dati – tutti nel frattempo crittografati – che risiedono all’interno del servizio SaaS. È come se fosse presente un filtro che permette di mascherare con una chiave crittografica quello che l’utente digita o legge (e vede in chiaro) sullo schermo della propria postazione. 

Se il software di interfaccia (quello che logicamente si posiziona tra l’utente e l’applicazione SaaS per il rilascio delle chiavi) è ben scritto, l’impresa potrebbe impiegarlo per il gestire in parallelo il processo di trasformazione dei dati (da dati in chiaro a dati crittografati) senza dover interrompere le operazioni; la durata del processo di transizione può variare in funzione della dimensione degli archivi e richiede comunque l’effettuazione di controlli per verificare che non ci siano errori o imprevisti. In tal modo, i dati delle applicazioni non sono disponibili al gestore del servizio SaaS perché sono “mascherati” dalla chiave al momento della scrittura.

Due sono gli elementi fondamentali in questo scenario: l’utilizzo della crittografia e la “posizione” della chiave, che deve essere sotto il pieno controllo dell’impresa.

Le performance? Potrebbero non essere accettabili perché peggiorative rispetto a quelle a cui si è abituati, soprattutto nel caso di lavoro da remoto. Si è già detto che un sistema di crittografia organizzato con queste modalità può essere un collo di bottiglia; si aggiunga che in questo scenario è necessario che il servizio di gestione delle chiavi operi con continuità, altrimenti le attività sui sistemi rallentano ulteriormente o si bloccano. Si potrebbe ricorrere sempre alla ibridazione ospitando i servizi di crittografia su cloud europei.

Soluzione perseguibile in teoria, in linea con i principi del cloud ibrido; praticamente molto ardua.

Esistono invece possibili misure organizzative di mitigazione del rischio di trasferimento non lecito perché in paesi che non applicano pari rispetto ai cittadini europei? Della quasi impossibilità di trovare un servizio analogo nell’Unione Europea è stato già detto.

La possibilità di negoziare clausole contrattuali aggiuntive esiste ma quale potrebbero essere le clausole aggiuntive in concreto? Chiedere di essere avvertiti in caso di richieste di accesso ai dati da parte delle agenzie governative USA in modo da, eventualmente, bloccare il servizio? È possibile, ma non riduce i rischi e crea ulteriori problemi all’impresa, che in caso di blocco del servizio deve fermare la propria operatività.

Di fatto soluzioni organizzative non sufficientemente tutelanti. La soluzione ipotizzata rimane tuttavia di complessa applicazione.

Sistemi di virtualizzazione del desktop

Ci si riferisce alle soluzioni che consentono alle imprese di virtualizzare il proprio patrimonio informatico e di delegarne la gestione a un soggetto esterno che, sulla base del profilo operativo attribuito a ciascun dipendente dell’impresa, rende disponibili strumenti di produttività individuali e applicazioni aziendali su un cosiddetto “client leggero”, cioè un dispositivo (PC ridotto alle prestazioni essenziali) connesso attraverso protocolli sicuri al server del gestore del servizio.

In moltissimi casi il servizio è erogato da un soggetto collocato nel territorio dell’Unione europea (che ha il ruolo di Responsabile del trattamento); questo soggetto configura e gestisce piattaforme cloud che, per la parte infrastrutturale, sono ospitate presso i data center di altri fornitori. In poche parole, il fornitore dell’impresa compra servizi IaaS (infrastrutture opportunamente configurate) o PaaS (piattaforme) da fornitori collocati fisicamente anche in EU ma la cui direzione organizzativa è negli Stati Uniti. È un servizio molto usato dalle piccole e medie imprese perché presenta costi contenuti e una buona versatilità (pay per use).

Dal punto di vista della protezione dei dati personali, il fornitore dell’impresa è un Responsabile del trattamento che per erogare il servizio si appoggia a sub-responsabili del trattamento con base in USA.

Cosa fare? Teoricamente, il Responsabile dovrebbe appoggiarsi a una infrastruttura europea di una società sottoposta al diritto europeo.

Questa modalità di servizio, infatti mal si presta ad un’applicazione della crittografia con le modalità descritte nei paragrafi precedenti sarebbe estremamente complessa e le performance lascerebbero a desiderare.

Il Responsabile può anche decidere di lasciare che sia l’impresa cliente (titolare del trattamento) ad effettuare la scelta; dovrebbe rappresentare la situazione al cliente in modo trasparente, chiedendogli se preferisce mantenere il servizio con le modalità correnti o preferisce trasferirlo (ovviamente non a costo zero) presso un provider con base nell’Unione europea.

C’è ovviamente il rischio di perdere il cliente, perché l’impresa cliente potrebbe non avere sufficiente familiarità con le implicazioni “tecniche” della Data Protection e potrebbe percepire la domanda come il tentativo, da parte del fornitore, di far cassa sollevando problemi speciosi.

Conclusioni

Non esistono soluzioni semplici ma il documento emesso dall’EDPB il 10 novembre ribadisce la netta posizione avversa della Corte di Giustizia Europea sui trasferimenti verso gli Stati Uniti.

La guerra dei dati si è aperta e, come accade sempre, ci saranno morti e feriti; al momento, l’unica soluzione possibile sembra la stipula di un nuovo accordo mediante tavoli negoziali con la nuova presidenza USA che potrebbe avere una maggiore disponibilità a rispettare i principi del Regolamento UE.

Avviare una qualunque delle soluzioni sopra prospettate presenta sempre un rischio: avviare un progetto complesso e costoso e trovarsi a metà del percorso con un accordo di interscambio USA-UE che renda possibili tutti i trasferimenti oggi attivi. In tal caso l’impresa potrebbe scoprire di essersi complicata la vita inutilmente e avere mal investito tempo e soldi.

Magari si potrebbe scegliere di attivare quelle soluzioni, riportate in quest’articolo, più semplici e meno costose valutando (in accountability) quelle più complesse e monitorando costantemente la situazione legislativa.

Lo stesso avv. Guido Scorza, componente del Collegio Garante protezione dei dati personali, in un recentissimo articolo su www.agendadigitale.eu riproposto anche sulla pagina linkedin ufficiale dell’Autorità, esprime alcune perplessità sulla piena applicabilità delle raccomandazioni EDPB in assenza di tecnologie europee robuste che necessitano di investimenti non proprio trascurabili.

Le imprese, dal punto di vista della protezione dei dati personali, sono chiamate a prendere decisioni di conformità in uno scenario articolato e difficile: devono esercitare la propria accountability, essere trasparenti, affidarsi a misure tecniche e organizzative coordinate per mitigare i rischi per gli interessati e devono conciliare il tutto con l’esigenza legittima di mantenere un livello accettabile di prestazioni.
Un compito non proprio semplicissimo.

Un grazie a Paola Limatola che mi ha sopportato per questa scrittura.