Il problema del trasferimento globale dei dati e le ambizioni digitali dell’Ue

EPA/JUSTIN LANE

A tre anni dall’entrata in vigore del regolamento sulla protezione dei dati (la GDPR), la confusione sui trasferimenti internazionali di dati a seguito della storica sentenza Schrems II minaccia di ostacolare lo sviluppo di nuove tecnologie e mettere in pericolo l’agenda digitale europea. 

Il 16 luglio 2020, la Corte di giustizia dell’Unione europea ha stabilito per la seconda volta che il Privacy Shield Framework UE-USA non fosse valido in quanto gli Stati Uniti non assicurano un livello di protezione dei dati paragonabile a quella della GDPR dell’UE.

La sentenza Schrems II (che prende il nome del signor Maximilian Schrems che ha portato Facebook davanti ai giudici europei per bloccare il trasferimento dei suoi dati fuori dall’UE) ha conseguenze di vasta portata non solo per le relazioni UE-USA sui dati, ma per tutti i paesi terzi, in quanto richiede alle aziende europee di valutare se il paese in cui stanno trasferendo i dati fornisca un livello di protezione adeguata  per i dati stessi in base al diritto dell’Unione. Il trasferimento di dati personali verso paesi terzi non deve minare o indebolire la protezione che viene garantita all’interno dello Spazio Economico Europeo.

Il problema secondo i giudici è che la Commissione europea quando ha approvato la protezione offerta dallo scudo privacy UE-USA ha commesso un errore di valutazione: i programmi che consentono alle autorità pubbliche degli Stati Uniti di accedere ai dati personali trasferiti dall’UE agli Stati Uniti per ragioni di sicurezza nazionale non sono compatibili con le regole europee.

“Schrems II ha invalidato un meccanismo di trasferimento e ha gettato seri dubbi sugli altri. Ha lasciato le imprese senza una linea chiara sul trasferimento di dati negli Stati Uniti – o in altri paesi che non sono stati considerati adeguati. Pesa pesantemente [sul] canale più importante del commercio globale e dell’economia globale”, ha detto a EURACTIV.com Omer Tene, vice presidente e chief knowledge officer dell’International Association of Privacy Professionals.

Privacy, Commissione al lavoro per proteggere i dati degli europei che finiscono negli Stati Uniti e in Cina

Che cosa sono i dati? Che cosa significa proteggerli? La commissaria europea e vice-Presidente della Commissione Vera Jourová ha spiegato quali sono i punti fermi dei negoziatori dell’UE che trattano con gli statunitensi nel quadro del nuovo accordo transatlantico sul …

A novembre, il Comitato europeo per la protezione dei dati (EDPB) ha emesso una serie di raccomandazioni su come garantire un “livello europeo di protezione dei dati”, proprio a partire da questa sentenza. L’EDPB ha anche espresso un parere sulla protezione dei dati offerta nei paesi terzi, che, pur non essendo giuridicamente vincolante, è comunque un passo fondamentale per il riconoscimento formale.

Se un paese terzo non fornisce il livello minimo di protezione dei dati richiesto dalla GDPR, bisogna adottare misure di protezione aggiuntive o fermare del tutto il trasferimento dei dati. È quello che è successo di recente in Portogallo: l’autorità portoghese per la protezione dei dati il 28 aprile ha chiesto all’Istituto nazionale di statistica di fermare il trasferimento di dati personali agli Stati Uniti.

Il problema vero è definire delle regole chiare che valgano per tutti. L’applicazione della GDPR è infatti lasciata alle autorità di protezione dei dati degli stati membri, come il Garante privacy italiano.  Un’interpretazione troppo libera costituisce un rischio per i diritti dei cittadini europei così come previsti dalla GDPR, mentre un’interpretazione troppo rigida rischia al contrario di creare ulteriori barriere al trasferimento globale dei dati.

La strategia europea in sostanza è quella di convincere i paesi terzi a conformarsi alle sue regole di protezione dei dati, perché altrimenti fermerà i flussi di dati, provando effettivamente  a rendere la GDPR uno standard globale. Diversi paesi si sono fatti convincere: Giappone, Brasile e Corea del Sud. Ma il problema sono gli USA e la Cina.

Strategia industriale: l'Ue vuole lanciare nuove alleanze su semiconduttori, dati e cloud

Nella revisione della sua strategia industriale la Commissione dichiara che intende diversificare le catene di approvvigionamento e lanciare nuove alleanze industriali per ridurre la dipendenza dai Paesi terzi.

Rafforzare l’autonomia strategica Ue, accelerare la transizione verde e digitale, e ridurre la …

Da un lato negli Stati Uniti sono scoppiati i due più grandi scandali sul tema (quello della vicenda di Edward Snowden e quello di Facebook e Cambridge Analytica); dall’altro lato in Cina lo sviluppo di tecnologie sempre più sofisticate fanno temere che vi siano programmi di sorveglianza di massa e di riconoscimento facciale nelle mani del governo di Pechino. La Cina ha pubblicato la propria Iniziativa globale sulla sicurezza dei dati, una proposta di governance globale dei dati volta a placare la sfiducia reciproca occidentale e cinese, proprio per tentare di rassicurare rispetto ai dubbi sul controllo da parte delle autorità dei dati tecnologici.

Il terreno è molto scivoloso. In ballo ci sono diritti, la capacità di influenzare comportamenti individuali (non solo per convincere un utente a comprare una certa scarpa ma per convincerlo a votare per un certo candidato, come nel caso di Cambridge Analytica), e una gigantesca quantità di risorse; basti pensare che il colosso cinese Huawei è stato recentemente escluso dai progetti di infrastrutture 5G in tutta Europa proprio per il timore che passasse tutti i dati al Partito comunista cinese.

La Cina ha presentato un progetto di legge sulla protezione delle informazioni personali (PIPL), un quadro sulla privacy ampiamente ispirato alle regole della GDPR. Includerebbe l’obbligo di avere il consenso individuale per la raccolta dei dati, limiti al trattamento dei dati e l’istituzione di comitati indipendenti per la privacy per le grandi piattaforme online. Se fosse adottata renderebbe la Cina più attenta alla protezione dei dati rispetto agli Stati Uniti, ma il problema è che potrebbe proteggere i dati degli europei trasferiti alle imprese cinesi ma non è detto che li proteggerebbe anche dal governo cinese.

Intelligenza artificiale, la Commissione Ue intende vietare la "sorveglianza indiscriminata"

La Commissione europea cercherà di dichiarare fuori legge i sistemi di intelligenza artificiale utilizzati per operazioni di “sorveglianza indiscriminata”, come parte dei nuovi divieti che saranno presentati la prossima settimana.

Come parte del progetto di regolamento su un “approccio europeo per …