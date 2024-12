Siamo tutti interconnessi digitalmente a livello globale. Individui, gruppi sociali, enti politici e amministrativi, imprese, organizzazioni internazionali o non-governative si scambiano quotidianamente dati (personali e non) per molteplici fini: socializzazione, scambio di informazioni, produzione e commercio di beni e servizi, circolazione della moneta e altri mezzi di pagamento, sviluppo scientifico e tecnologico, gestione di problemi di rilievo internazionale (pandemia, guerra, calamità naturali).

Al tempo stesso, i trasferimenti transfrontalieri di dati comportano dei rischi, tra cui come garantire la protezione della privacy e dei dati personali, la sicurezza nazionale, la confidenzialità, la proprietà intellettuale e industriale. A tale scopo, molti governi hanno adottato normative che pongono condizioni più o meno restrittive ai trasferimenti di dati all’estero.

Data localisation e tutela dei dati personali

È sempre più frequente imbattersi in normative nazionali che, in vario modo, impongono dei requisiti volti a limitare o, addirittura, impedire la fuoriuscita da un Paese di dati personali raccolti, o comunque presenti, in quel Paese. Secondo uno studio pubblicato dall’OCSE nel 2022, nel 2021, sussistevano 92 misure in 39 Paesi che imponevano esplicitamente che i dati fossero archiviati o trattati a livello nazionale (data localisation)[1].

Questi requisiti o limiti sono spesso presentati o possono apparire come volti a tutelare i dati personali, evitando che siano trasmessi in Paesi non ritenuti in grado di assicurare una tutela adeguata rispetto a quella del Paese in cui i dati si trovano. Tuttavia, a ben vedere, data localisation e tutela dei dati personali rispondono ad esigenze distinte e non sono necessariamente l’una strumentale all’altra.

La data localisation, nella forma più restrittiva, può avere conseguenze pregiudizievoli sulle attività umane, sociali, economiche e pubbliche che si giovano o dipendono dai flussi trasfrontalieri di dati. Ciò impone di riflettere e valutare le misure in questione al fine di individuare soluzioni che consentano di soddisfare le ragionevoli esigenze sopra menzionate, senza tuttavia ostacolare il conseguimento di altri interessi legittimi.

Di cosa parliamo quando parliamo di “data localisation”

Non c’è una definizione univoca di data localisation. Uno studio OCSE del 2023[2], ha individuato tre categorie di misure che potrebbero essere considerate forme di data localisation:

misure che richiedono la conservazione di una copia dei dati rilevanti all’interno del territorio nazionale, senza vietare la conservazione o il trattamento in altri Paesi[3];

misure che, oltre ad imporre che una copia dei dati sia conservata all’interno del Paese (mirroring), consentono il trasferimento dei dati all’estero solo se sono soddisfatte determinate condizioni[4];

misure che impongono l’archiviazione dei dati entro il territorio nazionale, vietandone al contempo il trasferimento in altri Paesi o rendendolo soggetto ad una specifica autorizzazione amministrativa[5].

Il tratto comune alle varie forme di data localisation è garantire che i dati restino soggetti alla giurisdizione del Paese in cui sono stati raccolti o importati. Per questo si dice che la data localisation esprime la sovranità sui dati del Paese che la richiede[6].

Diverse dalle misure di data localisation sono le misure che non esigono l’archiviazione locale dei dati, ma obbligano le imprese di garantire l’accesso ai dati alle autorità pubbliche del Paese[7]. Tuttavia, queste misure possono tradursi in misure di localizzazione de facto ove i requisiti per il trasferimento di dati all’estero siano cosí restrittivi da non poter essere, di fatto, soddisfatti[8].

Secondo il citato studio OCSE del 2022, il 33% del numero totale di misure di data localisation individuate hanno implicazioni per diversi settori,[9] circa il 23% concernono solo il settore finanziario, bancario o dei pagamenti, il 15% il settore pubblico, mentre il restante 29% si applica alle telecomunicazioni, al cloud computing, alla sanità, al gioco d’azzardo, alle piattaforme tecnologiche e ad altri settori[10]. Per quanto riguarda i tipi di dati, le quattro categorie principali sono: documenti aziendali (17% delle misure), dati del settore pubblico (13%), dati finanziari (12%) e dati personali (11%).

Da questa panoramica risulta già chiaro che le regole sulla localizzazione dei dati sono distinte da quelle sulla protezione dei dati personali. Esse non si applicano necessariamente o soltanto ai dati personali e possono avere finalità diverse dalla tutela della privacy degli individui.

Gli argomenti a favore e contro la data localisation

I governi dei Paesi che adottano misure di localizzazione dei dati adducono vari motivi di interesse pubblico a sostegno di tali misure tra cui:

la sicurezza informatica e il contrasto dello spionaggio informatico (soggetti stranieri non avrebbero accesso fisico ai dati conservati all’interno del Paese);

(soggetti stranieri non avrebbero accesso fisico ai dati conservati all’interno del Paese); la tutela dei dati dei cittadini (che, invece, potrebbe essere a rischio se soggetta alle leggi di altri Paesi in cui i dati vengono trasferiti);

(che, invece, potrebbe essere a rischio se soggetta alle leggi di altri Paesi in cui i dati vengono trasferiti); garantire l’accesso ai dati alle forze dell’ordine e autorità governative (che potrebbe essere altrimenti precluso ove i dati siano detenuti in un altro Paese);

(che potrebbe essere altrimenti precluso ove i dati siano detenuti in un altro Paese); prevenzione di rischi geopolitici (infatti, i dati conservati in un Paese verrebbero sottratti alla sorveglianza dei servizi di intelligence stranieri);

(infatti, i dati conservati in un Paese verrebbero sottratti alla sorveglianza dei servizi di intelligence stranieri); assicurare vantaggi competitivi ai fornitori nazionali di servizi che ruotano intorno ai dati;

di servizi che ruotano intorno ai dati; sviluppare capacità informatiche e digitali all’interno dei Paese (nel senso che richiedere che i dati siano conservati a livello nazionale potrebbe essere un fattore trainante dell’innovazione e stimolare gli investimenti nelle infrastrutture di hosting, come ‘data centers’ locali);

(nel senso che richiedere che i dati siano conservati a livello nazionale potrebbe essere un fattore trainante dell’innovazione e stimolare gli investimenti nelle infrastrutture di hosting, come ‘data centers’ locali); contrastare un ‘neocolonialismo’ dei dati (i Paesi in via di sviluppo possono avere la preoccupazione di perdere il controllo sui dati generati localmente ove questi finiscano nelle mani di grandi imprese multinazionali, che ne trarrebbero profitto in via esclusiva)[11].

Sono però molteplici anche le ragioni contrarie alla data localisation, tra cui:

per soddisfare il requisito di ‘mirroring’ occorre creare dei server nazionali , sostenendo spese di capitale e di gestione, oltre alle spese di cloud computing sostenute quando i dati vengono archiviati e trattati in altri Paesi;

, sostenendo spese di capitale e di gestione, oltre alle spese di cloud computing sostenute quando i dati vengono archiviati e trattati in altri Paesi; le misure di localizzazione possono confliggere con le leggi di altri Paesi che impongono l’accesso ai dati conservati su server detenuti da società estere, mettendo le imprese nazionali in serie difficoltà[12];

la ‘localizzazione’ dei dati non è l’unico mezzo per mitigare rischi geopolitici e, anzi, ci sono soluzioni efficaci e meno problematiche, come la crittografia dei dati e altre misure di sicurezza;

e, anzi, ci sono soluzioni efficaci e meno problematiche, come la crittografia dei dati e altre misure di sicurezza; in molti casi, i fornitori di servizi cloud offshore dispongono di maggiori competenze tecniche e strumenti di protezione dei dati piú efficaci delle aziende informatiche locali e, oltre ad avere maggiori capacità finanziarie, possono essere più incentivate ad investire nella cybersecurity e nella resilienza informatica, essendo queste ultime parte del loro portfolio di servizi;

dei dati piú efficaci delle aziende informatiche locali e, oltre ad avere maggiori capacità finanziarie, possono essere più incentivate ad investire nella cybersecurity e nella resilienza informatica, essendo queste ultime parte del loro portfolio di servizi; l’adeguamento alle norme di tutela dei dati personali è spesso a carico dei fornitori di servizi cloud, ma, se, a causa del requisito di localizzazione dei dati, alle imprese locali è precluso l’accesso ai servizi cloud, finirebbe per ricadere su queste ultime l’onere di implementare le misure appropriate ai sensi delle normative privacy applicabili e sostenerne i costi;

ma, se, a causa del requisito di localizzazione dei dati, alle imprese locali è precluso l’accesso ai servizi cloud, finirebbe per ricadere su queste ultime l’onere di implementare le misure appropriate ai sensi delle normative privacy applicabili e sostenerne i costi; per molte imprese, tra cui quelle bancarie, finanziarie e assicurative, la condivisione delle informazioni sugli attacchi informatici a livello transfrontaliero è fondamentale per migliorare la capacità di difendersi da attacchi informatici, riciclaggio di denaro e tentativi di frode;

per migliorare la capacità di difendersi da attacchi informatici, riciclaggio di denaro e tentativi di frode; per i cyberattackers potrebbe essere più facile avere accesso al data server locale di una singola azienda che a un data center sul cloud, data la minore sofisticatezza delle misure di sicurezza;

che a un data center sul cloud, data la minore sofisticatezza delle misure di sicurezza; alcuni governi potrebbero sovvenzionare l’installazione di data centers locali, come richiesto dalle misure di data localisation , per finalità di intelligence, sorveglianza governativa o repressione del dissenso politico ;

, ; privare le aziende nazionali dell’accesso ai servizi di cloud computing internazionali riduce la loro capacità di fornire servizi su larga scala [13];

[13]; anziché proteggere le imprese nazionali dalla concorrenza internazionale, la localizzazione dei dati può ridurne la competitività , escludendole dal commercio internazionale e dagli scambi di dati transfrontalieri;

, escludendole dal commercio internazionale e dagli scambi di dati transfrontalieri; i requisiti di localizzazione hanno un impatto negativo sull’ambiente, rendendo necessarie maggiori infrastrutture;

rendendo necessarie maggiori infrastrutture; stringenti requisiti di localizzazione possono limitare o impedire il telelavoro o l’homeworking in altri Paesi , riducendo così le opportunità lavorative per i cittadini del Paese in cui vigono tali requisiti;

, riducendo così le opportunità lavorative per i cittadini del Paese in cui vigono tali requisiti; lo sviluppo di nuove tecnologie che si basano su un intenso uso di grandi quantità di dati come il cloud computing[14], l’e-commerce, i Big Data, l’intelligenza artificiale (AI) e l’Internet of Things (IoT)[15] può essere ostacoltato dalla frammentazione geografica dei dati. In particolare, lo sviluppo dei sistemi di AI si basa sulla capacità di apprendere da ampi dataset presenti in innumerevoli Paesi e quindi esige la libera condivisione dei dati. Sennonché i Paesi che adottano misure di localizzazione potrebbero impedire l’accesso dei dati detenuti nei loro territori all’AI e quindi diminuire il rigore del processo di apprendimento dell’AI e, conseguentemente, l’attendibilità dei risultati[16].

I rischi della data localisation in caso di crisi geopolitiche

Inoltre, in caso di una crisi geopolitica, la localizzazione dei dati solo in un Paese aumenta il rischio di indisponibilità o perdita dei dati.

Infatti, il governo ucraino ha modificato la normativa sulla localizzazione dei dati poco prima che iniziassero le ostilità con la Russia, al fine di consentire il trasferimento di dati di maggiore rilevanza pubblica o privata su cloud[17]. Il cloud è un sistema di server informatici decentralizzati e collegati in rete, sparsi in tutto il mondo. I dati archiviati, spesso crittografati e sicuri, sono conservati in duplice copia su più server e sono accessibili tramite Internet da qualsiasi luogo. Pertanto, anche se un server viene distrutto, i dati non vanno persi perché sono copiati altrove[18].

La data localisation ha un impatto negativo sia sulle attività delle imprese, riducendo l’efficienza o il funzionamento di importanti sistemi organizzativi e processi aziendali, sia sugli individui, limitando la disponibilità di servizi innovativi[19].

Gli Stati che impongono misure di localizzazione dei dati possono perseguire legittime esigenze pubbliche, come la ‘sovranità dei dati’ (ossia il pieno controllo sui dati ‘domestici’[20]), la sicurezza nazionale, la crescita economica nazionale, la tutela della privacy e la sicurezza informatica. Sennonché, la data localisation rischia di essere controproducente, impedendo o ostacolando il soddisfacimento di tali esigenze.

Data localisation e privacy

Ad esempio, il controllo sui dati ‘domestici’ potrebbe tradursi in un’ingerenza sulla privacy dei cittadini. Del pari, ritardando lo sviluppo di strumenti di difesa contro cyberattacks, i dati personali e anche le informazioni sensibili dello Stato sulla rete sono meno ‘sicure’.

Costringere le imprese nazionali a sostenere costi per infrastrutture informatiche e impedirne la partecipazione a processi produttivi e dagli scambi commerciali internazionali che si basano sullo scambio trasfrontaliero dei dati ritarda la crescita economica nazionale. Spesso i dati crescono di valore quando sono condivisi su larga scala e, combinandosi con altri, generano ulteriori dati.

Esempi di data localisation: la Federazione Russa

A partire dal 1° settembre 2015, le organizzazioni considerate ‘operatori’ di dati personali devono garantire che, quando raccolgono dati personali di cittadini russi, la registrazione, la sistematizzazione, l’accumulo, l’archiviazione, l’aggiornamento, la modifica e l’estrazione di tali dati devono avvenire su database situati nella Federazione Russa[21]. Ciò significa che tutti i dati personali dei cittadini russi raccolti dagli operatori di dati devono essere archiviati in server, sistemi IT, database o data center situati in Russia.

Ambito di applicazione

La legge ha un ampio ambito di applicazione. Si applica a tutte le informazioni relative ad individui identificabili[22] e dev’essere rispettata da operatori sia russi che stranieri. Inoltre, il Servizio federale per la vigilanza sulle comunicazioni, sull’informatica e sui mass media (Roskomnadzor) ha precisato che la localizzazione si applica ai dati di persone che risiedono in Russia (a prescindere dalla cittadinanza) i cui dati sono raccolti in Russia (quindi non anche in Paesi terzi).

Destinatario dell’obbligo di localizzazione è l’operatore dei dati, la cui definizione è analoga a quella di titolare dei dati nel diritto dell’UE[23]. L’operatore risponde dell’operato di chi tratta dati personali per suo conto (il responsabile del trattamento secondo la terminologia dell’UE).

Scopo della legge

Lo scopo principale della legge è quello di facilitare le attività investigative senza ostacoli derivanti dalla giurisdizione di un altro Stato[24].

L’operatore dei dati deve notificare a Roskomnadzor l’ubicazione dei database in cui conserva i dati, salvo che ricada in una delle eccezioni dall’obbligo di notifica[25]. Ciò consente a Roskomadzor di svolgere controlli sull’osservanza della legge.

È possibile tenere una copia di dati personali fuori dalla Russia, ma a condizione che gli interessati diano il consenso e solo previa notifica al Roskomnadzor. In pratica, gli operatori di dati non devono archiviare i dati personali al di fuori della Russia senza prima archiviare i dati all’interno del territorio russo.

Eccezioni all’obbligo di localizzazione

Vi sono alcune eccezioni all’obbligo di localizzazione, che riguardano il trattamento che è necessario per conseguire gli scopi stabiliti da un trattato internazionale o per adempiere agli obblighi dell’operatore dei dati ai sensi della legge russa o per assicurare il rispetto della legge, o che è eseguito da agenzie governative durante la fornitura di servizi pubblici, o da giornalisti, mass media o nell’ambito di attività scientifiche, letterarie o creative (se il trattamento non viola i diritti degli interessati)[26]. Non è, invece, possibile per un operatore ovviare al requisito della localizzazione ottenendo dagli interessati il consenso all’archiviazione di dati fuori dalla Russia.

Il Roskomadzor ha pubblicato delle linee guida che hanno chiarito ulteriormente che i requisiti di localizzazione non si applicano anche alle attività delle compagnie aeree russe e straniere e di coloro che agiscono per loro conto nel trattamento dei dati personali dei passeggeri in viaggio ai fini della prenotazione e dell’emissione di biglietti aerei e altri documenti di trasporto.

Le sanzioni per violazioni della legge

Le sanzioni per violazioni della legge sui dati personali sono assai severe e includono l’arresto o altre misure penali. Salvo che non costituisca un crimine, l’inosservanza degli obblighi di localizzazione dei dati (art. 13.11, comma 8, del Codice degli illeciti amministrativi) è punito con ingenti sanzioni pecuniarie[27]. Roskomnadzor può esercitare poteri ispettivi senza il controllo del procuratore generale[28].

Per quanto riguarda i trasferimenti di dati fuori dalla Russia, essi sono soggetti a condizioni e restrizioni ai sensi della legge sui dati personali.

Il Paese che riceve i dati deve fornire un livello adeguato di protezione dei dati personali. La legge sui dati personali prevede che tutti i firmatari della Convenzione del Consiglio d’Europa forniscano un’adeguata protezione dei dati personali[29]. Inoltre, il Roskomnadzor può emettere decisioni di adeguatezza per Paesi specifici, riconoscendo che le loro leggi sulla protezione dei dati offrono una protezione equivalente a quelle della Russia. Roskomnadzor tiene un elenco regolarmente aggiornato di tali Paesi.

In mancanza di tali decisioni, gli operatori possono concludere accordi di trasferimento dei dati, né li regola specificamente[30]. Il Roskomnadzor non ha adottato un accordo standard sul trasferimento dei dati.

Inoltre, in alcuni casi (ad esempio, trasferimenti che coinvolgono dati sensibili o grandi volumi di dati) gli operatori devono informare il Roskomnadzor prima di trasferire dati personali al di fuori della Russia.

Il Roskomnadzor ha dichiarato che la localizzazione mira a proteggere i cittadini russi sia dall’uso improprio dei loro dati personali da parte di società straniere sia dalla sorveglianza di governi stranieri[31]. Sennonché gli obblighi di conservazione di dati sul territorio russo favoriscono la sorveglianza da parte delle autorità russe.

Gli obblighi di conservazione dei dati

Ad esempio, dal 2018, gli organizzatori della distribuzione dei dati su Internet devono, in primo luogo, archiviare messaggi di testo, comunicazioni vocali, immagini, audio, video e altri messaggi degli utenti in Russia per sei mesi e, in secondo luogo, archiviare tutti i metadati di questi messaggi e utenti per un anno. Inoltre, il governo russo ha emanato una risoluzione che obbliga i fornitori di telecomunicazioni a conservare tutti i dati relativi al traffico Internet per trenta giorni.

Nel contempo, la legge impone all’organizzatore della distribuzione dei dati di fornire alle autorità statali di intelligence e sorveglianza l’accesso alle informazioni sopra elencate. Gli organizzatori dei dati dovranno fornire alle autorità di controllo russe l’accesso ad informazioni sensibili senza necessità di un controllo giudiziale[32]. Infatti, le apparecchiature di comunicazione delle autorità di controllo sono costantemente collegate ai centri di raccolta dati, cosicché tali autorità non hanno bisogno di chiedere l’accesso a queste informazioni e nemmeno di avvisare i fornitori di servizi.

Oltre che in Russia, leggi sulla localizzazione dei dati sono in vigore in un numero crescente di Paesi, tra cui Corea del Sud[33], Vietnam[34], Indonesia[35] e India[36].

L’approccio dell’Unione europea con riguardo ai dati personali

Per quanto riguarda i dati personali, il Regolamento generale sulla protezione dei dati (Gdpr), da un lato, sancisce la libera circolazione dei dati all’interno dell’UE (o, meglio, all’interno dei Paesi dello Spazio economico europeo[37]) e, dall’altro, consente il trasferimento dei dati al di fuori dell’UE (o del SEE) purché il Paese terzo dove i dati sarebbero trasferiti assicuri ad essi un livello di protezione equivalente a quello garantito dal diritto dell’UE[38]. La Commissione europea adotta decisioni sull’adeguatezza dei Paesi terzi ad assicurare un livello di protezione dei dati personali ivi trasferiti equivalente a quello vigente nell’UE[39].

Se il Paese in cui dati di individui nell’UE dovrebbero essere trasferiti non è stato valutato ‘adeguato’ dalla Commissione, il titolare o responsabile del trattamento può trasferire i dati personali al di fuori del SEE se sono in atto garanzie adeguate: norme vincolanti d’impresa (disponibili per i trasferimenti di dati tra società di uno stesso gruppo); clausole contrattuali standard (adottate dalla Commissione UE o da Autorità di controllo nazionali); meccanismo di certificazione approvato.

Il Gdpr non reca alcun requisito di localizzazione dei dati personali e, anzi, espressamente consente il trasferimento degli stessi verso qualsiasi Paese terzo che sia in grado di assicurare una tutela adeguata.

Le clausole contrattuali standard

Per quanto riguarda l’applicazione della disciplina sul trasferimento dei dati personali da parte delle Istituzioni europee, la Corte di giustizia, nel caso ‘Schrems II’[40], ha invalidato la decisione della Commissione sull’adeguatezza del ‘Privacy Shield’, un meccanismo di trasferimento e tutela dei dati personali posto in essere dal Dipartimento del Commercio degli Stati Uniti a seguito della precedente sentenza ‘Schrems’ sul trasferimento di dati personali da parte di Facebook dall’Irlanda agli Stati Uniti. Il caso ‘Schrems II’ ha riguardato l’uso da parte di Facebook di clausole contrattuali standard (‘SCC’) per trasferire negli USA dati di utenti nell’UE. Nel luglio 2020, la Corte di giustizia ha ritenuto che le misure di sorveglianza degli Stati Uniti (principalmente la Sezione 702 del Foreign Intelligence Surveillance Act e l’Ordine Esecutivo 12333) non limitassero o controllassero efficacemente l’accesso delle autorità pubbliche ai dati personali dell’UE e il Privacy Shield non conferisse ai cittadini dell’UE diritti azionabili ed effettivi nei confronti di tali autorità statunitensi.

Nel contempo, la Corte UE ha confermato che le SCC rimangono un meccanismo di esportazione valido ai sensi dell’art. 46 del Gdpr. Tuttavia, essa ha affermato che i titolari dei dati devono valutare, caso per caso, che agli interessati siano garantite garanzie adeguate, diritti azionabili e rimedi legali efficaci. A tal fine occorre tener conto degli stessi fattori in base ai quali la Commissione emette decisioni sull’adeguatezza dei Paesi terzi: lo stato di diritto, il rispetto dei diritti umani, l’accesso ai dati personali da parte delle autorità pubbliche, l’esistenza di autorità di controllo indipendenti, l’esistenza di diritti effettivi degli interessati e le possibilità di ricorso offerte agli interessati (art. 45(2) del Gdpr). Molti di questi fattori possono essere soddisfatti attraverso l’accettazione da parte dell’importatore dei dati delle disposizioni contenute nelle SCC. Ad esempio, l’importatore di dati può accettare di trattare le richieste di diritti degli interessati secondo gli standard dell’UE e di concedere diritti di terzi applicabili agli interessati. L’area problematica riguarda i fattori che non possono essere affrontati attraverso la contrattazione con l’importatore di dati, come, ad esempio, le leggi obbligatorie applicabili all’importatore di dati che prevalgono sui termini contrattuali che l’importatore di dati ha concordato con l’esportatore di dati nelle SCC.

Inoltre, la Corte di giustizia ha ribadito che le autorità devono sospendere o vietare il trasferimento dei dati verso Paesi terzi quando ritengono che la protezione dei dati non possa essere garantita con altri mezzi.

Il Comitato europeo per la protezione dei dati raccomanda al titolare o responsabile del trattamento che intenda trasferire dati personali fuori dall’UE una rigorosa valutazione dell’impatto di tale trasferimento sulla tutela dei dati. Ove l’esito di questa valutazione non sia positivo, il titolare o il responsabile deve adottare misure supplementari per assicurare che i dati, una volta trasferiti, abbiano una tutela adeguata[41]. Inoltre, il Comitato ha fornito delle delucidazioni sulle garanzie essenziali europee relativamente alle misure di sorveglianza, ossia una serie di elementi utili a stabilire se la normativa che in un Paese terzo prevede l’accesso delle autorità pubbliche ai dati personali a fini di sorveglianza configuri un’ingerenza ingiustificata nei diritti alla privacy e alla tutela dei dati personali e non sia, quindi, in contrasto con gli impegni assunti con lo strumento di trasferimento utilizzato (fra quelli previsti dall’articolo 46 del RGPD)[42].

SCC e approccio basato sul rischio

A seguito della sentenza Schrems II, la Commissione ha adottato SCC aggiornate il 4 giugno 2021, che si caratterizzano per un risk-based approach[43]. Infatti, si legge che “le parti dovrebbero tenere conto in particolare delle circostanze specifiche del trasferimento” e che “per quanto riguarda l’impatto della legislazione e delle prassi sul rispetto delle clausole contrattuali tipo, possono essere presi in considerazione diversi elementi nell’ambito di una valutazione globale, tra cui informazioni affidabili sull’applicazione pratica della legislazione (…) e, in condizioni rigorose, l’esperienza pratica documentata dell’esportatore e/o dell’importatore”[44]. Viene precisato, inoltre, che qualora, per concludere che all’importatore non sarà impedito di rispettare le clausole contrattuali standard, si faccia affidamento sulla prassi amministrativa nel Paese terzo, quest’ultima debba essere corroborata da altri elementi pertinenti e oggettivi, come “informazioni disponibili al pubblico, o altrimenti accessibili, e affidabili sull’esistenza o sull’assenza di richieste nello stesso settore e/o sull’applicazione pratica della legislazione, come la giurisprudenza e le relazioni di organi di vigilanza indipendenti”.

Questo approccio basato sulla valutazione dei rischi nel caso concreto si riscontra anche nella versione finale delle Raccomandazioni del Comitato europeo per la protezione dei dati sulle misure supplementari[45]. Il Comitato si spinge a dire che, ove l’esportatore ritenga che “i dati trasferiti e/o l’importatore rientrino o possano rientrare nell’ambito di applicazione di una legislazione problematica” dello Stato terzo, ovvero “una legislazione che pregiudica la garanzia contrattuale, prevista dallo strumento di trasferimento, di un livello di protezione sostanzialmente equivalente” a quello dell’UE, costituendo una misura restrittiva dei diritti individuali non necessaria e proporzionata in una società democratica, l’esportatore possa tuttavia procedere con il trasferimento dei dati nel Paese terzo, se non ha motivo di credere che tale legislazione problematica venga interpretata e/o attuata nella pratica in modo da riguardare i dati trasferiti e l’importatore. In tal caso, l’esportatore non è neanche tenuto a mettere in atto misure supplementari.

Il Data Privacy Framework Ue-Usa (DPF)

In risposta alle incertezze derivanti dalla sentenza ‘Schrems II’ circa la legittimità dei trasferimenti di dati personali dall’UE negli USA, un’ampia collaborazione tra governo statunitense e Commissione europea ha portato, nel 2022, ad un accordo di principio su un meccanismo di trasferimento e tutela dei dati (‘EU-US Data Privacy Framework’, DPF), che riflette l’impegno comune a garantire i flussi transatlantici di dati nel rispetto di garanzie giuridiche fondamentali.

Nei mesi successivi, prima di finalizzare la decisione di adeguatezza sul DPF, la Commissione europea ha chiesto il parere del Comitato europeo per la protezione dei dati sul progetto di decisione di adeguatezza del DPF. Il Comitato, pur riconoscendo i miglioramenti apportati dall’Executive Order 14086 adottato dagli USA, specialmente per quanto riguarda la limitazione dell’accesso ai dati provenienti dall’UE da parte dei servizi di intelligence statunitensi a quanto necessario e proporzionato per proteggere la sicurezza nazionale, ha espresso diverse preoccupazioni, tra cui quelle relative alle garanzie inadeguate in merito alla “raccolta temporanea di massa” e alla successiva conservazione e condivisione dei dati raccolti in massa all’interno del quadro giuridico statunitense. Inoltre, anche il Parlamento europeo ha espresso le proprie riserve sul contenuto del DPF. Pur riconoscendo che la capacità di trasferire dati personali oltre confine ha “il potenziale per essere un motore chiave dell’innovazione, della produttività e della competitività economica”, il Parlamento ha sostenuto che il DPF non soddisfa completamente gli standard giuridici dell’UE a causa della mancanza di un “criterio oggettivo” che legittimi l’intrusione delle autorità governative statunitensi nella privacy degli individui nell’UE i cui dati sono trasferiti negli USA.

Nonostante queste preoccupazioni, il 10 luglio 2022 la Commissione europea ha adottato la decisione di adeguatezza sul DPF, confermando che esso fornisce un livello adeguato di protezione dei dati personali. Di conseguenza, i dati personali possono ora circolare liberamente dall’UE alle aziende statunitensi che abbiano autocertificato la loro adesione ai principi del DPF.

Il delicato equilibrio tra privacy, libero scambio e sicurezza nazionale

L’esperienza del DPF e degli strumenti per il trasferimento dei dati UE-USA che lo hanno preceduto (Safe Harbour e Privacy Shield[46]) conferma che trovare il delicato equilibrio tra le preoccupazioni per la privacy, gli imperativi del libero scambio e gli interessi della sicurezza nazionale nel campo dei dati rimane una sfida. L’UE non ha tentato di localizzare i dati personali, ma di colmare, mediante la cooperazione internazionale, le disparità giuridiche tra l’UE e gli USA per quanto riguarda le garanzie fondamentali per la privacy, dimostrando l’importanza di creare uno spazio digitale globale mediante la cooperazione intergovernativa.

L’approccio Ue sui dati non personali

Per quanto riguarda i dati non personali, il Regolamento 2018/1807 del 14 novembre 2018, relativo ad un quadro applicabile alla libera circolazione dei dati non personali nell’Unione europea, vieta la data localisation[47], ma richiede che i dati siano resi accessibili alle autorità competenti.

In particolare, questo Regolamento vieta agli Stati membri di impedire l’accesso alle autorità competenti di altri Stati membri ai dati elettronici non personali trattati nel loro territorio da persone (fisiche o giuridiche, stabiliti o meno nell’UE) che forniscono servizi elettronici di trattamento dei dati (es. servizi di cloud computing) ad utenti nell’UE o da persone (fisiche o giuridiche) nell’UE per loro esigenze.

Viene, cosí, sancito, anche per i dati non personali, il principio di libera circolazione all’interno dell’UE, salvo che eventuali limiti o divieti siano giustificati da motivi di sicurezza pubblica nel rispetto del principio di proporzionalità e notificati alla Commissione UE[48].

Inoltre, sono previste misure per garantire la disponibilità dei dati ai fini del controllo di regolamentazione da parte degli Stati membri.

Il Regolamento 2018/1807 stabilisce una procedura di cooperazione tra Stati membri in modo che l’autorità di uno Stato possa chiedere assistenza allo Stato membro in cui sono trattati i dati per ottenere accesso ad essi. Tale richiesta deve indicare i motivi e le basi giuridiche per accedere ai dati, va trasmessa al punto di contatto unico dello Stato in cui si trovano i dati ed è inoltrata da quest’ultimo all’autorità competente di tale Stato. Questa autorità, entro un termine ragionevole, deve fornire i dati richiesti o comunicare per quali ragioni non ritiene soddisfatte le condizioni per chiedere assistenza ai sensi del Regolamento.

La versione europea di “sovranità digitale”

È stato sostenuto che l’UE mira alla sovranità digitale, ossia la capacità di agire nel mondo digitale in modo indipendente ed efficace, per proteggere i suoi interessi fondamentali e quelli dei suoi Stati membri[49].

A seguito di alcuni avvenimenti particolarmente preoccupanti, come le rivelazioni di Snowden sulla sorveglianza di massa statunitense[50], il caso ‘Cambridge Analytica’ e l’invasione dell’Ucraina, leaders politici europei hanno affermato l’esigenza per l’Unione di liberare se stessa, gli Stati membri e i cittadini europei dai rischi sempre maggiori posti dal possesso di dati da parte dei ‘Tech Giants’ statunitensi.

La creazione di data spaces in settori strategici

La ‘strategia europea dei dati’, attualmente perseguita dalla Commissione UE, prevede la creazione di data spaces in settori strategici[51]. Essa muove dal presupposto che imprese e amministrazioni pubbliche dell’UE, tramite l’uso dei dati, possano adottare decisioni migliori, rispondendo alle esigenze delle persone e giovando all’economia e alla società[52]. A tal fine, è necessario garantire un migliore accesso ai dati e un loro utilizzo responsabile. Se, da un lato, i dati dovrebbero circolare liberamente all’interno del mercato unico europeo, dall’altro, viene ribadito che l’approccio dell’UE ai flussi di dati internazionali è “aperto ma assertivo, basato sui valori europei”.

Ciò appare confermato dalla disciplina sui trasferimenti internazionali di dati dettata da alcuni atti normativi emanati nell’ambito della strategia europea dei dati.

Il Data Act

Uno di questi è il Regolamento sui dati 2023/2854, noto come Data Act, che è entrato in vigore l’11 gennaio 2024 e diventerà applicabile il 12 settembre 2025[53]. Esso mira a regolamentare l’uso e l’accesso ai dati (e ai metadati) generati attraverso i dispositivi connessi e impone requisiti generali ai fornitori di cloud computing al fine di facilitare il passaggio da un fornitore all’altro.

Si tratta di un quadro intersettoriale per la condivisione dei dati (personali e non personali) nell’IoT all’interno dell’UE. In estrema sintesi, agli individui e alle imprese che utilizzano dispositivi connessi vengono concessi maggiori diritti sui dati di terzi generati dall’uso del dispositivo connesso, il che esige che produttori e fornitori di servizi progettino i prodotti in modo da non ostacolare l’accesso agevolato. I titolari dei dati potrebbero anche dover ripensare le operazioni e la gestione dei dati. I dati dei prodotti e i dati dei servizi correlati devono essere accessibili all’utente. Il Data Act mira inoltre a facilitare il passaggio da un fornitore di servizi di trattamento dei dati all’altro, dando sia alle persone che alle imprese un maggiore controllo sui propri dati attraverso un diritto di portabilità rafforzato dei dati generati da dispositivi intelligenti.

Per quanto concerne il trasferimento internazionale dei dati, i fornitori di servizi di trattamento dei dati devono adottare misure tecniche, organizzative e giuridiche appropriate al fine di impedire l’accesso governativo internazionale e di Paesi terzi a dati non personali detenuti nell’UE e il trasferimento dei dati nei casi in cui quest’ultimo sarebbe in contrasto con il diritto UE o con il diritto nazionale dello Stato membro interessato[54].

Inoltre, le decisioni di un’autorità giudiziaria o amministrativa di un Paese terzo che obbligano un fornitore di servizi di trattamento dei dati a trasferire o dare accesso a dati non personali detenuti nell’UE rientranti nell’ambito di applicazione del Data Act sono efficaci e applicabili soltanto se basate su un accordo internazionale in vigore tra il Paese terzo richiedente e l’UE (es. un trattato di mutua assistenza giudiziaria) o tra tale Paese terzo e lo Stato membro interessato.

In mancanza di un simile accordo, se un fornitore di servizi di trattamento dei dati è destinatario di una decisione giurisdizionale o amministrativa di un Paese terzo che prevede il trasferimento di dati non personali detenuti nell’UE, il cui rispetto possa comportare per il fornitore di servizi una violazione del diritto dell’UE o del diritto nazionale dello Stato membro interessato, il trasferimento di tali dati in tale Paese terzo può avere luogo solo se il sistema giuridico del Paese terzo richiede che la decisione sia motivata, conforme al principio di proporzionalità e abbia carattere specifico, la decisione sia soggetta all’esame di un organo giurisdizionale competente del Paese terzo e quest’ultimo debba tenere debitamente conto degli interessi giuridici del fornitore dei dati tutelati dal diritto dell’UE o dal diritto nazionale dello Stato membro.

Il meccanismo di consultazione istituito dal Data Act

Per valutare la sussistenza di tali condizioni, il fornitore di servizi di trattamento dei dati può avvalersi di un meccanismo di consultazione istituito dal Data Act[55]. La consultazione dell’autorità nazionale competente è obbligatoria nel caso in cui il fornitore ritenga che la decisione amministrativa o giudiziaria straniera possa incidere sugli interessi di sicurezza nazionale o di difesa dell’UE o dei suoi Stati membri.

Inoltre, ove le condizioni per il trasferimento di dati nel Paese terzo si possano ritenere soddisfatte, il fornitore di servizi deve fornire solo la quantità minima di dati ragionevolmente necessaria a rispettare la decisione emessa da un’autorità del Paese terzo, nonché informare il consumatore della richiesta di accesso ai suoi dati prima di dare seguito alla richiesta, tranne che quest’ultima sia finalizzata al contrasto di attività illecite.

Il Data Governance Act, DGA

Un altro atto normativo parte della strategia europea dei dati è il Regolamento sulla governance dei dati 2022/868 (Data Governance Act, DGA), entrato in vigore il 23 giugno 2022 e applicabile dal 24 settembre 2023[56]. Esso detta norme relative al riutilizzo dei dati (personali e non) da parte di enti del settore pubblico degli Stati membri dell’UE e fornitori di servizi di intermediazione dei dati.

Il DGA non obbliga gli enti del settore pubblico a consentire il riutilizzo dei dati da essi detenuti e non li esonera da eventuali obblighi di tutela dei dati derivanti da altri atti normativi, come il Gdpr. Gli enti che rendono disponibili per il riutilizzo alcuni dei dati raccolti o generati nello svolgimento dei loro compiti pubblici dovranno rispettare determinati requisiti (ad esempio, rendere pubbliche le condizioni e la procedura per il riutilizzo dei dati). Le disposizioni del DGA si applicano anche ai dati detenuti da enti pubblici che sono protetti da segreto commerciale o da diritti di proprietà intellettuale o in quanto dati personali.

I servizi di intermediazione dei dati

I servizi di intermediazione dei dati comprendono una vasta gamma di servizi: i servizi finalizzati a instaurare, attraverso strumenti tecnici, giuridici o di altro tipo, rapporti commerciali ai fini della condivisione dei dati tra un numero indeterminato di interessati e di titolari dei dati, da un lato, e gli utenti dei dati, dall’altro (ad esempio, i mercati dei dati su cui le imprese possono mettere dati a disposizione di terzi), servizi di intermediazione tra interessati che cercano di rendere i propri dati personali disponibili a potenziali utenti dei dati e servizi offerti dalle cooperative di dati. I fornitori di tali servizi sono terze parti neutrali che collegano individui e aziende con gli utenti dei dati[57]. Essi non possono utilizzare direttamente i dati che intermediano a fini di profitto finanziario.

Il concetto di “altruismo dei dati”

Il DGA ha introdotto il concetto di “altruismo dei dati” e consente di registrarsi come “organizzazioni per l’altruismo dei dati riconosciute”, che trattano i dati condivisi volontariamente da cittadini e imprese a beneficio della società. Inoltre, il DGA ha istituito il Comitato europeo per l’innovazione in materia di dati (European Data Innovation Board, EDIB), un gruppo formale di esperti presieduto dalla Commissione UE.

DGA e trasferimenti internazionali dei dati

Per quanto riguarda i trasferimenti internazionali dei dati, il DGA detta condizioni specifiche per due categorie di dati non personali detenuti dagli enti del settore pubblico: dati “commercialmente sensibili” e dati “altamente sensibili”.

I trasferimenti di dati non personali “sensibili dal punto di vista commerciale”, come segreti commerciali e dati protetti da diritti di proprietà intellettuale, sono soggetti a un sistema di adeguatezza o di responsabilità (accountability)[58].

I trasferimenti verso Paesi terzi possono avvenire sulla base di decisioni di adeguatezza della Commissione, che attestano l’esistenza in tali Paesi di garanzie adeguate per l’uso dei dati. In mancanza di una decisione di adeguatezza, il trasferimento può avvenire in base a un sistema di responsabilità. In tal caso, il riutilizzatore deve garantire che, anche dopo il trasferimento dei dati nel Paese terzo, i dati siano riutilizzati nel rispetto dei diritti di proprietà intellettuale e, ove siano considerati riservati, che essi non siano divulgati a seguito del riutilizzo. Inoltre, il riutilizzatore deve accettare la giurisdizione dello Stato membro dove si trova l’ente pubblico per la risoluzione giudiziaria delle controversie.

I dati non personali “altamente sensibili”, il cui trasferimento a Paesi terzi possa mettere a rischio gli obiettivi di politica pubblica dell’UE, quali la sicurezza e la salute pubblica, o possa comportare il rischio di una reidentificazione dei dati non personali anonimizzati, possono essere soggetti a condizioni più rigorose per essere trasferiti verso Paesi terzi. I dati “altamente sensibili” dovrebbero essere definiti dal diritto dell’UE, ad esempio nel contesto della normativa settoriale pertinente (come lo Spazio europeo dei dati sanitari). In casi eccezionali, questi atti potrebbero includere anche restrizioni sui trasferimenti verso Paesi terzi per tutelare l’interesse pubblico.

Sempre in tema di trasferimenti di dati a Paesi terzi, il DGA stabilisce che l’ente pubblico, la persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati, il fornitore di servizi di intermediazione dei dati o l’organizzazione per l’altruismo dei dati riconosciuta devono adottare le ragionevoli misure tecniche, giuridiche e organizzative per impedire il trasferimento internazionale di dati non personali detenuti nell’UE o l’accesso a questi ultimi da parte delle autorità pubbliche qualora tale trasferimento sia in contrasto con il diritto dell’UE o il diritto nazionale dello Stato membro interessato[59].

La decisione di autorità amministrativa o giudiziaria di un Paese terzo in base alla quale un ente pubblico, una persona fisica o giuridica cui è stato concesso il diritto di riutilizzo dei dati, un fornitore di servizi di intermediazione dei dati o un’organizzazione per l’altruismo dei dati riconosciuta trasferiscano dati non personali detenuti nell’UE è riconosciuta efficace solo se basata su un accordo internazionale in vigore tra il Paese terzo richiedente e l’UE o tra il Paese terzo richiedente e uno Stato membro. In mancanza di un accordo internazionale, se il rispetto della decisione dell’autorità di un Paese terzo è in contrasto con il diritto dell’UE o con il diritto nazionale dello Stato membro pertinente, il trasferimento di tali dati può aver luogo solo se la decisione soddisfa requisiti analoghi a quelli richiesti dal Data Act in un caso analogo (v. sopra). Inoltre, il destinatario della decisione deve trasferire solo la quantità minima di dati ammissibile in risposta a una richiesta e informare il titolare dei dati prima di soddisfare la richiesta di accesso o trasferimento dei dati, tranne che la richiesta sia formulata nell’ambito di un’attività di contrasto dell’illegalità.

Ne deriva che la versione europea di ‘sovranità digitale’ si caratterizza per consentire il trasferimento di dati (personali e non) deternuti nell’UE verso Paesi terzi che, di loro iniziativa o in forza di un accordo internazionale con l’UE o singoli Stati membri, offrano garanzie giuridiche idonee a tutelare interessi generali e diritti individuali.

Note

[1] V. Organizzazione per la cooperazione e lo sviluppo economico (OCSE), Policy Paper ‘A Preliminary Mapping of Data Localisation Measures’, 2022.

[2] OCSE, Policy Paper ‘The Nature, Evolution and Potential Implications of Data Localisation Measures’, 2023.

[3] Queste misure sono spesso volte a garantire che le autorità regolatorie possano avere accesso ai dati e concernono dati aziendali (finanziari e fiscali) o i metadati delle telecomunicazioni. Ad esempio, la legge svedese sulla contabilità stabilisce che le informazioni contabili devono essere conservate e archiviate per sette anni in Svezia.

[4] Ad esempio, in Australia l’Electronic Health Records Act (atto sulle cartelle sanitarie elettroniche) richiede che le informazioni sulle cartelle cliniche dei pazienti siano conservate in Australia, ma consente l’accesso ad esse dall’estero nei casi in cui l’accesso sia necessario per i soggetti interessati o per gli operatori sanitari che prestano servizio all’estero. Nel New Brunswick, in Canada, il Personal Health Information and Access Act (atto sui dati personali sulla salute e sull’accesso) richiede la conservazione locale, ma prevede anche condizioni per l’accesso al di fuori del Canada ove sussistano determinate condizioni.

[5] Queste restrizioni possono applicarsi ad una serie di dati, compresi quelli bancari, di telecomunicazione o di pagamento, nonché a categorie più ampie di informazioni. In Indonesia, ad esempio, il Regolamento 71 (2019) relativo all’implementazione di sistemi e transazioni elettroniche prevede che ptutti i dati siano gestiti, trattati e archiviati in Indonesia. Le eccezioni a questa regola si verificano nel caso in cui le tecnologie di archiviazione non siano disponibili a livello nazionale, secondo i criteri sono stabiliti dall’autorità competente. Un altro esempio è la legge cinese sulla cybersecurity, che all’articolo 37 impone agli operatori di infrastrutture informatiche critiche di conservare i ‘dati importanti’ in Cina, ossia i dati che potrebbero mettere in pericolo la sicurezza nazionale, il funzionamento dell’economia, la stabilità sociale, la salute e la sicurezza pubblica.

[6] L’obiettivo principale della localizzazione è garantire il controllo e i limiti sull’uso dei dati e non garantire la privacy individuale, pertanto si tratta di una forma di protezionismo dei dati piuttosto che di protezione dei dati (v. S. Ahirrao, Storage Wars: The Pros and Cons of Data Localization/Nationalization, 31 dicembre 2020).

[7] A partire dal 2015, la legge danese sulla contabilità (Bookkeeping Act) prevede l’obbligo per le aziende di garantire l’accesso alle autorità pubbliche danesi (ove giustificato). Analogamente, la normativa neozelandese sulla conservazione dei dati aziendali consente di conservare i dati al di fuori della Nuova Zelanda, a condizione che siano soddisfatti determinati criteri di integrità e di accesso ai dati. Misure analoghe sono state adottate in Brasile e in Messico. Queste misure riguardano principalmente dati non personali (come dati contabili aziendali) e al fine di garantire l’accesso ai dati da parte delle autorità nazionali impongono di indicare il luogo in cui i dati possono essere conservati, di stipulare un accordo per lo scambio di informazioni o di conservare i dati secondo le linee guida nazionali, indipendentemente dal luogo in cui sono conservati.

[8] V. Centre for Information Policy Leadership (CIPL), The “Real Life Harms” of Data Localization Policies, 2023. Ad esempio, prima dell’adozione da parte della Commissione europea della decisione di adeguatezza sul quadro UE-USA per la protezione dei dati personali (decisione di esecuzione (UE) 2023/1795 del 10 luglio 2023), il trasferimento negli USA di dati personali di individui nell’UE era assai problematico a causa dei rilievi critici svolti dalla Corte di giustizia nella sentenza Schrems II riguardo alle misure di sorveglianza di massa vigenti negli USA (sentenza 16 luglio 2020, C‑311/18, ECLI:EU:C:2020:559).

[9] La metà delle misure che si applicano ‘trasversalmente’ a più settori richiede che i dati aziendali siano archiviati a livello nazionale per consentire l’accesso alle autorità competenti (senza restrizioni di flusso), mentre l’altra metà prevede divieti di trasferimento nel contesto di dati personali o “critici o importanti”.

[10] Tali misure tendono a combinare requisiti di conservazione e divieti di trasferimento trasfrontaliero.

[11] V. Center for Global Development, Working Paper ‘Data Localization: A “Tax” on the Poor’, 2024.

[12] È pressoché impossibile per una società partecipare ad un mercato globale ove respinga le richieste di accesso ai dati da essa detenuti in un determinato Paese a governi di altri Paesi. Perciò il fine della localizzazione dei dati potrebbe essere vanificato dall’impossibilità di applicare restrizioni all’accesso da parte di autorità governative estere ai dati detenuti nel territorio nazionale.

[13] Un data center locale potrebbe ad un certo punto avere più o meno spazio di archiviazione dei dati di quanto necessario, mentre il cloud computing consente alle aziende di decidere le dimensioni del loro spazio di archiviazione dei dati in funzione delle varie esigenze aziendali. Inoltre, le aziende nazionali potrebbero richiedere costi di archiviazione dei dati maggiori rispetto ai fornitori di servizi cloud internazionali.

[14] Il cloud computing è un modello per consentire un accesso di rete ubiquo, conveniente e su richiesta a un pool condiviso di risorse informatiche configurabili (ad esempio, reti, server, storage, applicazioni e servizi) che possono essere rapidamente messe a disposizione e rilasciate con un minimo sforzo di gestione o interazione con il fornitore di servizi.

[15] L’IoT è un universo interconnesso di dispositivi, dati e software. In pratica, l’IoT collega dispositivi fisici – televisori, frigoriferi, cuffie, ecc. – a Internet tramite sensori che inviano dati alle reti cloud per trasformarli in informazioni utili.

[16] V. Center for Global Development, Working Paper ‘Data Localization: A “Tax” on the Poor’, 2024.

[17] Poco prima dell’invasione russa nel febbraio 2022, il parlamento ucraino ha approvato una legislazione per consentire lo spostamento di questi dati governativi, fiscali, bancari, educativi e immobiliari nel cloud. Ciò ha consentito al governo ucraino di collaborare con fornitori di servizi cloud privati ​​per trasferire questi dati da server locali, divenuti vulnerabili, nel cloud, dove sono piú sicuri e protetti (v. R. White, How the cloud saved Ukraine’s data from Russian attacks, C4ISRNET, 22 giugno 2022).

[18] V. R. White, How the cloud saved Ukraine’s data from Russian attacks, citato.

[19] V. Centre for Information Policy Leadership (CIPL), The “Real Life Harms” of Data Localization Policies, Marzo 2023.

[20] Sovranità dei dati o ‘sovranità digitale’ significa che I dati di un paese dovrebbero essere soggetti alle leggi di tale Paese e conservati entro il suo territorio.

[21] V. l’art. 18, paragrafo 5, della legge federale n. 152-FZ del 27 luglio 2006 sui dati personali (Legge sui dati personali), modificata dalla Legge federale n. 242-FZ del 21 luglio 2014 sulla modifica di alcune leggi legislative relative all’aggiornamento della procedura per il trattamento dei dati personali nelle reti di informazione-telecomunicazione (legge sulla localizzazione dei dati).

[22] Qualsiasi combinazione di due o più di questi elementi o la presenza di identificatori assegnati dallo Stato fa rientrare i dati nell’ambito degli obblighi di localizzazione (A. Savelyev, Russia’s new personal data localization regulations: A step forward or a self-imposed sanction?, Computer Law & Security Review, Volume 32, Issue 1, 2016, pp. 128-145).

[23] L’operatore è chi, da solo o insieme ad altri, determina le finalità e le modalità del trattamento e il contenuto dei dati personali.

[24] V. A. Savelyev, Russia’s new personal data localization regulations: A step forward or a self-imposed sanction?, citato.

[25] Ai sensi dell’art. 22 della legge russa sui dati personali un operatore dei dati può essere esentato dagli obblighi di notifica al Roskomnadzor e in determinate circostanze può trattare i dati personali senza notifica. Ad esempio, se i dati personali sono: inclusi nei sistemi informatici che hanno acquisito lo status di sistema IT statale ai sensi delle leggi applicabili o nei sistemi IT statali creati per scopi di sicurezza statale e ordine pubblico; trattati senza l’ausilio di sistemi automatizzati; trattati ai sensi delle leggi relativi alla sicurezza dei trasporti.

[26] V. art. 6, paragrafi 1, 2, 3, 4 e 8 della Legge sui dati personali.

[27] In particolare, funzionari aziendali e funzionari governativi sono soggetti a sanzioni comprese tra RUB 100.000 e RUB 200.000, mentre le aziende a sanzioni da 1.000.000 a 6.000.000 RUB. Roskomnadzor ha già emesso numerose sanzioni significative per violazioni della legge sulla localizzazione dei dati, tra cui quelle contro Facebook e Twitter per non aver rispettato i requisiti di localizzazione dei dati e contro LinkedIn per aver rifiutato di trasferire dati personali di persone russe nel territorio russo.

[28] V. A. Gurkov, Personal Data Protection in Russia. In: Gritsenko, D., Wijermars, M., Kopotev, M. (eds) The Palgrave Handbook of Digital Russia Studies. Palgrave Macmillan, 2021, Cham.

[29] V. art. 12, par. 1, della legge federale russa sui dati personali.

[30] Tuttavia, nella pratica, gli accordi di trasferimento dei dati sono ampiamente utilizzati, soprattutto quando sono coinvolti soggetti stranieri o operatori terzi. Molti operatori di dati stipulano questi accordi con destinatari situati all’interno e all’esterno della Russia per impedire la divulgazione non autorizzata o la pubblicazione dei dati personali da parte dei destinatari come richiesto dalla legge (v. art. 7 della legge russa sui dati personali).

[31] V. A. Gurkov, Personal Data Protection in Russia, citato.

[32] V. A. Gurkov, Personal Data Protection in Russia, citato.

[33] V. J. Yoon, South Korea Data Localization: Shaped by Conflict (Feb. 28, 2018). https://jsis.washington.edu/news/south-korean-data-localization-shaped-conflict/

[34] V. K. MH Hille, Vietnam’s Personal Data Protection Decree: Overview, Key Takeaways, And Context, Future of Privacy Forum, May 12, 2023,.

[35] V. Z.Z. Husein – M.I. Sirie, Indonesia’s Personal Data Protection Bill: Overview, Key Takeaways, And Context, Future of Privacy Forum, October 19, 2022.

[36] V. N. Mishra, Data Governance and Digital Trade in India: Losing Sight of the Forest for the Trees?, in Anupam Chander, and Haochen Sun (eds), Data Sovereignty: From the Digital Silk Road to the Return of the State (New York, 2023; online edn, Oxford Academic, 14 Dec. 2023).

[37] Lo Spazio economico europeo (SEE) comprende i Paesi dell’UE (attualmente 27), la Norvegia, il Liechtenstein e l’Islanda. La legislazione dell’UE relativa al mercato interno diventa parte della legislazione dei Paesi SEE una volta che il Comitato SEE (composto dai rappresentanti dell’UE e dei tre Paesi SEE) decida di integrarli nel SEE e i Paesi del SEE che non sono membri dell’UE li recepiscano nei rispettivi sistemi giuridici.

[38] V. articoli da 44 a 49 del Regolamento 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[39] Attualmente, i seguenti Paesi dispongono della decisione di adeguatezza della Commissione: Andorra, Argentina, Canada (per le organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Giappone, Jersey, Nuova Zelanda, Repubblica di Corea, Svizzera, Regno Unito, Stati Uniti (per le organizzazioni commerciali nel quadro UE-USA sulla privacy), Uruguay.

[40] Sentenza 16 luglio 2020, causa C-311/18, Data Protection Commissioner v Facebook Ireland and Maximillian Schrems, ECLI:EU:C:2020:559.

[41] Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati personali dell’UE, 11 novembre 2020 (versione iniziale).

[42] Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza, 10 novembre 2020.

[43] T. Christakis, European Digital Sovereignity, Data Protection, and the Push toward Data Localization, in A. Chander, and H. Sun (eds), Data Sovereignty: From the Digital Silk Road to the Return of the State (New York, 2023; online edn, Oxford Academic, 14 Dec. 2023), p. 371-389.

[44] Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo per il trasferimento di dati personali verso Paesi terzi a norma del regolamento (UE) 2016/679, GU L 199 del 7.6.2021, pp. 31-61

[45] Raccomandazioni 01/2020, 18 giugno 2021.

[46] V. L’analisi pubblicata dal Parlamento europeo ‘From Safe Harbour to Privacy Shield, Advances and shortcomings of the new EU-US data transfer rules’ nel 2017.

[47] L’obbligo di localizzazione dei dati è definito dal Regolamento 2018/1807 come qualsiasi requisito previsto dalle disposizioni legislative, regolamentari o amministrative o anche dalle prassi amministrative generali di uno Stato membro che impone di effettuare il trattamento di dati nel territorio di un determinato Stato membro o che ostacola il trattamento di dati in un altro Stato membro.

[48] In linea con la giurisprudenza della Corte di giustizia, la ‘sicurezza pubblica’ riguarda la sicurezza sia interna che esterna di uno Stato membro, come pure le questioni di incolumità pubblica, in particolare al fine di agevolare le indagini, l’accertamento e il perseguimento di reati; essa presuppone l’esistenza di una minaccia reale e sufficientemente grave a uno degli interessi fondamentali della società, quale il pregiudizio al funzionamento delle istituzioni e dei servizi pubblici essenziali nonché all’incolumità della popolazione, come il rischio di perturbazioni gravi dei rapporti internazionali o della coesistenza pacifica dei popoli, o ancora il pregiudizio agli interessi militari (si veda il considerando 19 del Regolamento 2018/1807).

[49] V. F. Casolari – C. Buttaboni – L. Floridi, The EU Data Act in Context: A Legal Assessment, International Journal of Law and Information Technology, Vol. 31, Issue 4, 2023, pp. 399-412.

[50] V. A. Smale, Merkel Backs Plan to Keep European Data in Europe, The New York Times, Febb. 16, 2014.

[51] Comunicazione della Commissione COM(2020) 66 ‘Una strategia europea per i dati’.

[52] Nella Comunicazione della Commissione si legge: “L’UE dovrebbe creare un contesto politico attraente, cosicché entro il 2030 la quota dell’UE dell’economia dei dati (dati conservati, elaborati e utilizzati proficuamente in Europa) corrisponda almeno al suo peso economico, non per imposizione ma per scelta. L’obiettivo è creare uno spazio unico europeo di dati – un autentico mercato unico di dati, aperto ai dati provenienti da tutto il mondo – nel quale sia i dati personali sia quelli non personali, compresi i dati commerciali sensibili, siano sicuri e le imprese abbiano facilmente accesso a una quantità pressoché infinita di dati industriali di elevata qualità, che stimolino la crescita e creino valore, riducendo nel contempo al minimo la nostra impronta di carbonio e ambientale. Dovrebbe trattarsi di uno spazio nel quale il diritto dell’UE possa essere applicato con efficacia e nel quale tutti i prodotti e i servizi basati sui dati siano conformi alle pertinenti normative del mercato unico dell’UE. (…) Norme europee comuni e meccanismi di applicazione efficaci dovrebbero garantire che:- i dati possano circolare all’interno dell’UE e a livello intersettoriale; – le norme e i valori europei, in particolare la protezione dei dati personali, la legislazione in materia di tutela dei consumatori e il diritto della concorrenza, siano pienamente rispettati; – le norme in materia di accesso ai dati e loro utilizzo siano eque, pratiche e chiare, e siano istituiti meccanismi chiari e affidabili di governance dei dati; l’approccio ai flussi di dati internazionali sia aperto ma assertivo, basato sui valori europei”.

[53] Regolamento del 13 dicembre 2023 riguardante norme armonizzate sull’accesso equo ai dati e sul loro utilizzo e che modifica il regolamento (UE) 2017/2394 e la direttiva (UE) 2020/1828 (regolamento sui dati).

[54] V. considerando 101 e art. 32 del Data Act.

[55] Il destinatario della decisione o della sentenza può chiedere il parere del pertinente organismo o autorità nazionale competente per la cooperazione giudiziaria internazionale, al fine di determinare se le condizioni per il trasferimento legittimo dei dati nel Paese terzo richiedente siano soddisfatte, in particolare quando ritiene che la decisione possa riguardare segreti commerciali e altri dati commercialmente sensibili, nonché contenuti protetti da diritti di proprietà intellettuale, o che il trasferimento possa portare alla reidentificazione. L’organismo o l’autorità nazionale pertinente può consultare la Commissione. Quest’ultima può, a sua volta, avvalersi della consulenza dello European Data Innovation Board (EDIB) – organismo istituito dalla Commissione UE ai sensi del Data Governance Act – nello sviluppo di orientamenti sulla valutazione del rispetto delle condizioni dettate dal Data Act.

[56] Regolamento (UE) 2022/868 del 30 maggio 2022 relativo alla governance europea dei dati e che modifica il regolamento (UE) 2018/1724 (Regolamento sulla governance dei dati), in GU L 152 del 3.6.2022, pp. 1-44. V. F. Bravo, Data Governance Act and Re-Use of Data in the Public Sector, in European Review of Digital Administration & Law, Vol. 3, Issue 2, 2022, pp. 13-33, e J. Ruohonen – S. Mickelsson, Reflections on the Data Governance Act, DISO, 2023, pp. 2-10.

[57] G. Carovano – M. Finck, Regulating data intermediaries: The impact of the Data Governance Act on the EU’s data economy, Computer Law & Security Review, 2023, pp. 1-18.

[58] V. art. 5 del DGA.

[59] V. art. 31 del DGA.