Sovranità dei dati e residenza dei dati: qual è la differenza?

La distinzione fondamentale è che la sovranità dei dati è un concetto legale, mentre la residenza dei dati è una categoria geografica. Tuttavia i due concetti sono profondamente correlati.

La residenza dei dati spesso determina la sovranità dei dati. Ad esempio, se un'azienda memorizza i dati in un data center in Irlanda, tali dati risiedono in Irlanda. Poiché i dati risiedono in Irlanda, l'Irlanda ha la sovranità su di essi. L'azienda deve rispettare tutte le leggi di protezione dei dati , le leggi di privacy dei dati e altri requisiti normativi imposti dal governo.

Detto questo, la residenza non è l'unico fattore per determinare chi abbia la giurisdizione sui dati. Anche altri fattori, come il luogo in cui i dati sono stati originariamente raccolti o a chi si riferiscono possono rivestire un ruolo.

La sovranità dei dati e la residenza dei dati sono concetti importanti di governance dei dati per le organizzazioni moderne. Le aziende raccolgono ed elaborano più dati che mai e spesso utilizzano il cloud computing e le app software as a service (SaaS) per farlo.

Ne consegue un enorme aumento dei flussi di dati internazionali. Le aziende possono acquisire dati dalle persone in un paese, memorizzarli in un data center in un secondo paese ed elaborarli con un'applicazione cloud in esecuzione in un terzo paese. I dati potrebbero dover soddisfare requisiti legali diversi in ognuno di questi luoghi.

Le organizzazioni necessitano di sapere dove risiedono i loro dati in ogni momento del ciclo di vita e le regole che devono seguire in ogni luogo. Le aziende possono subire sanzioni significative per avere violato le leggi locali in materia di dati

La residenza dei dati è l'ubicazione fisica dei dati. Si dice che i dati risiedono in una particolare nazione, stato o luogo se i data center, i server o altre macchine che ospitano o gestiscono i dati si trovano fisicamente in quel luogo

Poiché i dati di un'azienda possono essere spostati molto spesso, i dati di una singola organizzazione possono avere più residenze.

Supponiamo che un'azienda abbia sede negli Stati Uniti, raccolga dati personali dai consumatori statunitensi e li memorizzi su server negli Stati Uniti. Chiaramente, i dati risiedono negli Stati Uniti.

Supponiamo ora che la stessa organizzazione utilizzi un'app SaaS per elaborare questi dati e che i server dell'app si trovino in Canada. Qualsiasi dato trasferito ai server canadesi per l'elaborazione potrebbe ora risiedere in Canada e potrebbe essere soggetto alle leggi canadesi sui dati

I requisiti di residenza dei dati spesso derivano dai requisiti delle policy interne o dagli impegni contrattuali di un'organizzazione, indipendentemente da qualsiasi requisito normativo riguardo alla localizzazione dei dati.

Tuttavia, le organizzazioni non hanno sempre la possibilità di scegliere dove risiedono i propri dati. Alcune regioni hanno leggi con requisiti di localizzazione dei dati che impongono alle organizzazioni di conservare o elaborare i propri dati in un luogo particolare

Sebbene questi termini siano talvolta usati in modo intercambiabile, si riferiscono a due concetti distinti. La residenza dei dati descrive la posizione in cui sono conservati i dati, mentre la localizzazione dei dati si riferisce ai requisiti legali per mantenere i dati nel luogo in cui sono stati creati, ovvero per mantenere i dati locali.

Alcuni paesi hanno requisiti di localizzazione dei dati in base ai quali le organizzazioni devono conservare i dati creati in quel paese entro i confini del paese stesso. Questi requisiti possono andare dalla semplice conservazione di una copia dei dati nel paese al divieto di trasferimento dei dati all'esterno del paese

La sovranità dei dati è il concetto secondo cui i dati sono soggetti alle leggi del paese o della regione in cui vengono generati o elaborati. Se un paese ha "sovranità" su un dato, significa che ha l'autorità legale su quei dati, anche ai fini della sicurezza nazionale.  

La sovranità dei dati è spesso determinata dalla residenza. Se i dati risiedono in un luogo, di solito sono soggetti alle leggi di quel luogo.

Alcune leggi sulla sovranità dei dati seguono i dati, applicandosi ai dati indipendentemente da dove si spostano. Ad esempio, il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione Europea (UE) può essere applicato ai dati conservati o elaborati al di fuori dell'UE se tali dati riguardano i residenti dell'UE.

Non è solo il luogo in cui risiedono i dati a essere rilevante, bensì anche il luogo in cui sono stati acquisiti o a chi si riferiscono.

Allo stesso modo in cui i dati possono avere più residenze, possono anche ricadere sotto più sovranità. Ad esempio, i dati che risiedono in un paese dell'UE devono rispettare le leggi locali di quel paese e il GDPR a livello europeo.

I requisiti di sovranità dei dati possono variare:

• Alcuni paesi limitano i tipi di dati sensibili che un'azienda può acquisire e il modo in cui essa può raccoglierli.
  
  
• Alcuni paesi pongono dei limiti al modo in cui le organizzazioni possono utilizzare particolari tipi di dati.
  
  
• Alcuni paesi impongono determinati controlli di cybersecurity e impongono alle organizzazioni di seguire procedure specifiche in caso di violazione dei dati.
  
  
• Alcune normative sulla privacy conferiscono agli interessati molti diritti sui propri dati, compresa la possibilità di cancellarli.

Il mancato rispetto delle leggi locali in materia di dati può comportare multe o altre sanzioni legali. Può anche causare danni alla reputazione. Se un'organizzazione infrange le normative sulla privacy dei dati, i clienti potrebbero trasferire i propri acquisti altrove

I requisiti di residenza e sovranità dei dati possono influenzare le decisioni di un'organizzazione in merito ai tipi di dati che raccoglie, il modo in cui li utilizza e l'infrastruttura IT che costruisce.

Oggi, le organizzazioni raccolgono più tipi di dati (dati dei clienti, dati operativi, dati transazionali) da più fonti di dati (app web, sistemi aziendali, dispositivi Internet of Things) in tutto il mondo. Molte organizzazioni utilizzano i servizi cloud per data storage, elaborazione, analytics e altri workload d'importanza chiave.

Via via che i dati si spostano attraverso l'infrastruttura IT connessa al cloud di un'organizzazione, possono attraversare molti confini. Ovunque vadano, i dati possono essere soggetti a nuove leggi. Quando lavorano con fornitori di cloud service, le organizzazioni devono sapere dove vanno i loro dati ai fini dello storage, del backup e dell'elaborazione

Le organizzazioni possono scegliere di collaborare con provider di cloud pubblico la cui infrastruttura si trova nello stesso luogo dell'organizzazione. Alcune organizzazioni si affidano a cloud privati con hardware posizionato dove ne hanno bisogno.

Molte organizzazioni adottano un approccio multicloud ibrido, utilizzando più ambienti e provider di cloud privato e pubblico. Questo approccio ibrido può aiutare l'organizzazione a costruire l'infrastruttura di cui necessita per conformarsi a diverse leggi sui dati in luoghi diversi.

La complessità della residenza e della sovranità dei dati nel cloud ha portato allo sviluppo del cloud sovrano, un tipo di cloud computing progettato per aiutare le organizzazioni a rispettare i requisiti legali e normativi delle diverse regioni.

Alcune organizzazioni optano per sistemi di dati on-premise anziché per l'elaborazione e lo storage su cloud. Mantenere i dati on-premise può aiutare a ridurre alcuni problemi di conformità, tuttavia queste soluzioni possono anche essere costose e meno scalabile rispetto al cloud.

Alcuni paesi impongono alle organizzazioni di adottare determinate misure per proteggere i dati, come l'applicazione di specifici controlli di accesso e tecnologie di rilevamento delle minacce.

Sebbene prevenire gli accessi non autorizzati alle informazioni sensibili sia già una priorità per la maggior parte delle organizzazioni, la residenza e la sovranità dei dati possono dettare le misure specifiche di sicurezza dei dati da adottare. 

Alcune leggi sui dati stabiliscono ciò che le organizzazioni possono fare con i dati in loro possesso.

Ad esempio, alcune leggi proibiscono l'uso di dati sensibili a meno che non siano soddisfatte specifiche condizioni restrittive. Alcune leggi garantiscono alle persone molti diritti sui propri dati personali, incluso il diritto di farli cancellare su richiesta.

Le organizzazioni soggette a queste leggi devono mettere in atto meccanismi per garantire che i dati siano utilizzati in modo corretto e che i consumatori possano esercitare facilmente i propri diritti.  

I requisiti di residenza e sovranità dei dati possono avere implicazioni per i workload dell'intelligenza artificiale (AI) e del machine learning (ML).

Alcune nazioni limitano determinati usi dell'AI su determinati tipi di dati. Ad esempio, la legge UE sull'AI proibisce tecnologie come i sistemi di punteggio sociale e i sistemi di AI che utilizzano determinate vulnerabilità, come quelle legate all'età o alla disabilità.

Inoltre, poche organizzazioni creano attualmente i propri modelli AI da zero. Molte utilizzano modelli AI di altri provider, in hosting nel cloud. Questi modelli AI possono introdurre le stesse complessità di altri servizi cloud.

Le preoccupazioni sull'uso sicuro dell'AI hanno portato a un crescente interesse per l'AI sovrana, ovvero le iniziative che le nazioni intraprendono per sviluppare i propri sistemi di AI e governare l'AI all'interno dei propri confini.

Gli strumenti di governance dell'AI possono aiutare le organizzazioni a ottenere maggiore visibilità e controllo su come e dove l'AI viene implementata nei loro stack. Questo maggiore livello di visibilità e controllo consente alle organizzazioni di garantire che le applicazioni di AI e ML offrano valore nel rispetto delle normative vigenti.

Dichiarazione di non responsabilità: il cliente è responsabile della conformità a tutte le leggi e normative vigenti. IBM non fornisce consulenza legale, né dichiara o garantisce che i suoi servizi o prodotti assicurino al cliente la conformità a qualsiasi legge o regolamento.