l'analisi

L’asse tecnologico Ue-USA diviso tra protezionismo e sovranità digitale: i nodi da sciogliere

L’Europa, stretta nella morsa di durissimi confronti – quello tra USA e Cina, e quello tra Russia, Ucraina e Nato – prova a promuovere la sua leadership a difesa dei diritti e della legalità anche nel contesto digitale. Ma riuscirà nell’impresa? Le questioni più controverse

25 Mar 2022
Barbara Calderini

Legal Specialist - Data Protection Officer

La promessa europea di una società digitale europea coerente con le sue radici etiche e costituzionali, in grado di confrontarsi a livello geopolitico con i leader transatlantici e interlocutori che molto spesso navigano in direzione “ostinata e contraria”, appare un percorso ancora piuttosto indefinito.

Le stesse relazioni transatlantiche in ambito tech si trovano ad un bivio fondamentale: per UE e USA rimangono da sciogliere diversi nodi cruciali e tra questi quello sulla sicurezza dei trattamenti di dati personali e quello della concorrenza nei mercati digitali; oltre alle questioni critiche relative a tecnologie emergenti, intelligenza artificiale e semiconduttori, protezione della democrazia, passando per tasse, sostenibilità, e – ovviamente – Cina.

Dati digitali, Pizzetti: “Ecco qual è la vera posta in gioco nello scontro Ue/Usa”

Tutte problematiche di primaria rilevanza che vedono impegnati Washington e Bruxelles in negoziati piuttosto serrati ma dall’andamento alquanto altalenante. Molti i nodi da sciogliere e tra questi c’è anche il Digital Markets Act. Il provvedimento sui mercati digitali e le regole della concorrenza, tanto caro a Bruxelles, che affronta il potere economico delle grandi piattaforme online – i cosiddetti gatekeeper, delude gli americani e sta generando notevoli preoccupazioni nei funzionari statunitensi e non piace neppure al Cispe – Cloud Infrastructure Services Providers in Europe – che, infatti, già gridano al “protezionismo”.

Verso un “Accordo di adeguatezza USA-UE” sui trasferimenti di dati personali?

In modo particolare pesa il “loop temporale” conseguente l’invalidazione ad opera della Corte di Giustizia Europea, con pronuncia del luglio 2020, del Privacy Shield Framework, i cui impatti importanti incidono direttamente sulla circolazione e protezione dei dati, entrambi fattori e presupposti di legittimità cardine per l’innovazione digitale e lo sviluppo economico degli Stati, ma anche motivo di frizione geopolitica.

WHITEPAPER
Senza social media in Cina non vendi: leggi tutte le regole per usarli nel modo giusto
Manifatturiero/Produzione
Marketing

Malgrado il 2 dicembre 2020, la Commissione europea e l’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, Josep Borrell, avessero delineato con enfasi e convinzione la roadmap per la nuova agenda UE-USA per il cambiamento globale[1], tuttavia – ad oggi – Europa e Stati Uniti, non sono ancora allineati sulla definizione del nuovo patto transatlantico destinato alla tutela dei dati personali; anzi, da quando a settembre 2021 i funzionari statunitensi si dissero disponibili a valutare ed implementare un sistema di supervisione “quasi giudiziaria” guidato dall’Ufficio del Direttore dell’Intelligence Nazionale degli Stati Uniti per un maggiore controllo legale delle agenzie di sicurezza nazionale, la strada verso il nuovo “Accordo di adeguatezza USA-UE” è apparsa sin da subito lunga e ancor di più complessa.

Data sharing, una questione geopolitica

E sebbene si manifesti un tiepido ottimismo sugli esiti che potrebbero derivare dai prossimi appuntamenti nell’alveo del prossimo Trade and Tech Council (TTC) in programma per maggio, è ormai chiaro a tutti quanto la questione del data sharing si profili sempre di più come una discussione geopolitica piuttosto che di legge.

Se, dunque, da una parte l’entusiasmo manifestato da Gina Raimondo, Segretario al Commercio degli Stati Uniti, nei suoi recenti tweet, conferma la primaria attenzione rivolta alla tematica dei flussi transfrontalieri dei dati, dall’altra rimangono irrisolti i problemi centrali relativi sia alla mancanza (e all’impossibilità) di una legge federale sulla privacy negli Stati Uniti, sia all’assenza di una concreta volontà nel procedere alla riforma sostanziale delle leggi americane sulla sorveglianza: avendo infatti stabilito la CGUE che, in particolare, la sezione 702 del Foreign Intelligence Surveillance Act (FISA) e l’ordine esecutivo 12333, non limitano né controllano efficacemente l’accesso delle autorità pubbliche ai dati personali dell’UE, è chiaro come le stesse tutele fornite attraverso i vari mezzi indicati nel GDPR, tra cui le Standard Contractual Clauses (SCC) adottate dalle Commissioni europee succedutesi nel tempo, vincolando solo le parti che le hanno stipulate, non impediscano automaticamente che le autorità pubbliche americane possano comunque accedere ai dati personali dei cittadini europei.

Uno stallo operativo oneroso

Insomma, il passaggio giudiziario dal criterio dell’adeguatezza previsto dalla direttiva 95/46 alla base delle precedenti decisioni di adeguatezza UE USA assunte della Commissione Europea, a quello basato sulla sostanziale equivalenza dei sistemi di protezione dei diritti fondamentali “di matrice costituzionale” sancito dalla Corte di Giustizia, sta generando uno stallo operativo piuttosto oneroso sotto molteplici punti di vista e difficilmente superabile se non passando attraverso radicali riforme dei quadri regolatori vigenti, compresa l’introduzione di un’autorità di ricorso indipendente in grado di fornire mezzi di ricorso effettivi a garanzia degli individui europei che dovessero ritenere i propri diritti violati da un servizio di intelligence.

L’idea, sostenuta nella Comunicazione congiunta “A new EU-US agenda for global change”, dalla Presidente Von der Leyen e da Josep Borrell sarebbe quella di giungere ad un preciso accordo transatlantico sull’intelligenza artificiale basato su un piano allineato a standard globali e valori comuni, che favorisca la convergenza normativa e faciliti il libero flusso di dati. Premesse queste piuttosto “grintose” se lette alla luce dell’attuale scenario post Schrems II, dove anzi sono in costante aumento sia l’incertezza sull’uso delle Clausole Contrattuali Standard per i trasferimenti transatlantici di dati personali, sia le azioni di contrasto delle autorità preposte e degli stati membri in fatto di trasferimenti di dati negli Stati Uniti avvenuti in violazione delle prerogative previste dalla pronuncia della Suprema Corte.

Il faro dei garanti Ue sulle big tech

Lo scorso 27 maggio 2021 il Garante europeo ha avviato un’indagine sui servizi cloud erogati dalle Big Tech americane[2] e successivamente 22 autorità nazionali di protezione dei dati hanno intrapreso un’indagine congiunta su come il settore pubblico utilizza i servizi cloud.

Le decisioni francesi contro i colossi del web sono le prime di molte.

E sono note le recenti pronunce emesse dal DPA austriaco che ha ritenuto come i trasferimenti di dati a Google negli Stati Uniti nel contesto di Google Analytics non fossero ancora rispondenti alle previsioni del GDPR.

Non è neppure casuale che dal rapporto annuale di Meta alla Securities and Exchange Commission (Sec), la commissione di vigilanza della Borsa americana, emergano le notevoli difficoltà nell’elaborazione dei dati degli utenti europei sui server con sede negli Stati Uniti, potenzialmente tali da spingere l’universo Facebook ad un forzato allontanamento dall’Europa.

Una sorta di minaccia preventiva che qualcuno ha definito simile ad un ricatto ma che in realtà si è rivelata nulla di più di una sonora lamentela: Meta ha, infatti, già ufficialmente smentito le voci sulla possibile chiusura europea di Facebook e Instagram, seppur confermando l’auspicio di addivenire ad un nuovo accordo di trasferimento transatlantico sui dati che possa mettere fine alla grave incertezza giuridica che sta ostacolando l’operatività dei servizi cloud statunitensi.

Il soft power europeo una soluzione troppo facile?

Sulla stessa scia di Meta si sta muovendo anche Google sempre più spesso in balia del conflitto legale tra la legge sulla sorveglianza degli Stati Uniti e la legge sulla protezione dei dati dell’UE.

E intanto c’è già chi sostiene come la vicenda Schrems non sia altro che lo specchio di un particolare atteggiamento, tutto europeo, che vede nell’affermazione del proprio soft power la soluzione facile per poter compensare attraverso la logica dei diritti ciò che l’Europa non riesce a conseguire attraverso la forza della politica.

Nel frattempo, mentre da una parte salgono a 28 i componenti di Structura-X, la federazione nata per rendere interoperabili le infrastrutture cloud europee figlia di Gaia-X, dall’altra i principali attori statunitensi fornitori di software legacy, veri e propri “gatekeeper del software” accelerano gli investimenti strutturali all’interno dei confini europei presentandosi in veste di partner degli operatori coinvolti nello sviluppo del progetto legato al cloud europeo: Google con Tim, Microsoft con Leonardo, oltre ad Amazon Web Services, onnipresente[3].

Gli USA contro il Digital Markets Act (DMA) dell’UE

Le perplessità palesate da Washington sul Digital Markets Act sono state al centro di una recente comunicazione scritta – visionata e resa nota dal Financial Times – che l’amministrazione Biden, tramite il dipartimento del Commercio, avrebbe indirizzato ad Andreas Schwab, il deputato del Parlamento europeo (Ppe) relatore della nuova legge.

La lettera che riporterebbe la firma di Arun Venkataraman, consigliere di Gina Raimondo, segretario al commercio Usa, pare sostenga fermamente la necessità di un’urgente revisione della “Legge sui mercati digitali” in chiave sia di maggiore attenzione ai risvolti di protezione dei diritti di proprietà intellettuale e ai problemi di sicurezza, sia di un decisivo ampliamento della portata soggettiva delle nuove regole in modo tale da includere anche rivali europei e stranieri delle società tecnologiche Usa. Big Tech che, altrimenti, sarebbero le sole sottoposte ad un regime legale, di fatto, “discriminatorio” ed ingiustificatamente vessatorio[4].

“Chiediamo all’Ue che adotti parametri di selezione non discriminatori nei confronti delle aziende americane, assicurando fra l’altro che nell’ambito del Dma siano ricomprese anche rivali europei e stranieri delle società Usa”.

Preoccupazioni e riluttanze che però lo stesso Schwab avrebbe rispedito al mittente ritenendole pretestuose e strumentali: “i funzionari Usa tentano di utilizzare questioni di sicurezza per difendere il potere delle big tech” come riporta il Financial Times.

Tuttavia, va evidenziato come ad un tale segnale forte di “lobbying ufficiale in difesa dei campioni nazionali”, non corrisponda, almeno per una parte dei democratici americani e dei singoli Stati, lo stesso zelo manifestato nel voler tutelare i propri colossi tecnologici contro la stretta normativa europea. Anzi, emerge piuttosto chiaramente l’intenzione a non voler diminuire la pressione destinata proprio alle Big Tech e allo strapotere accumulato dalle stesse: diversi legislatori statunitensi stanno, infatti, portando avanti in Congresso battaglie per l’approvazione dei disegni di legge incentrati sull’introduzione di una regolamentazione della governance digitale più rigida, compresa la riforma della cosiddetta Sezione 230 e la rivisitazione della disciplina antitrust.

Non ultimo, tra i detrattori dei progetti normativi europei, c’è anche chi si domanda se i nuovi requisiti previsti dai quadri regolatori in fieri pensati per le piattaforme online, tra cui le dimensioni dell’impresa, la base di utenti o la quota di mercato, possano ritenersi coerenti e, quindi, compatibili con gli obblighi dell’Europa previsti dall’Accordo generale sugli scambi di servizi – GATS – dell’OMC: ovvero l’insieme di quelle regole e discipline dedicate al commercio internazionale dei servizi, volti alla creazione di un sistema condiviso che mira a stimolare la progressiva liberalizzazione internazionale dell’accesso ai mercati.

Anche su questo punto si preannuncia un dibattito piuttosto animato.

Il ruolo dell’Unione Europea nella contesa digitale

Il ruolo dell’Unione Europea nella contesa digitale è, insomma, ancora tutto da decidere; dall’approccio statunitense, auto-regolatorio fondato sull’antitrust, a quello cinese, autoritaristico e guidato dal capitalismo di stato, piuttosto che subire i condizionamenti dell’una o dell’altra superpotenza appare certo molto più conveniente dimostrarsi il terzo grande protagonista.

E dunque, muteranno i toni? Verranno rivalutate le alleanze?

Una cosa è certa: per l’Europa si preannuncia una strada in salita, irta e scivolosa. Insidiosa anche per l’incidenza delle sue stesse geometrie interne esposte alle velleità di chi cerca di dividere in nome del populismo e del sovranismo.

Altrettanto le sfide del costituzionalismo europeo alle prese con i poteri privati in ambito digitale rimangono un tema aperto, complesso e in continua evoluzione: basti pensare alle due indagini antitrust separate che la Commissione europea ha in corso verso Facebook e Apple, oltre a quelle intraprese dalle autorità di regolamentazione nazionali, Francia e Germania in modo particolare, verso Google, Facebook, Amazon e Apple, accusate di pratiche distorsive della concorrenza e abuso di posizione dominante.

Conclusioni

C’è sicuramente, in generale e in entrambe le sponde dell’Atlantico, un certo scetticismo sul fatto che il modello digitale europeo, aperto a livello normativo su diversi fronti, in particolare quelli sul Digital Services Act[5], Digital Markets Act, Data Governance Act e Artificial Intelligence Act, possa contribuire al successo di un rinnovato costituzionalismo europeo idoneo a valorizzare e promuovere le esigenze ineludibili di governance globale dei dati e di sovranità digitale.

Coordinare le priorità strategiche tra UE e USA, peraltro coinvolgendo anche il Regno Unito (in linea con quanto discusso al G7 sotto la presidenza britannica), in vista del perseguimento di interessi comuni, dall’intelligenza artificiale, alla sicurezza, alla sovranità digitale; dalle infrastrutture critiche, 5G, 6G, agli asset di cybersecurity, fino alla governance tecnologica e al ruolo delle piattaforme online, si sta rivelando una sfida alquanto ardua.

E in tal senso, quanto maggiore è il fascino che sta suscitando a livello geopolitico la visione della Cina, per la quale il controllo delle reti e dei dati all’interno dei propri confini rappresenta un vantaggio competitivo imprescindibile in vista dell’ambita governance globale dei dati, tanto più incerto e preoccupante si presenta lo scenario internazionale – a cominciare dalla guerra in Ucraina, tanto più lungo e impervio sarà l’iter per portarla a termine.

Note

  1. I cui capisaldi riguardano temi come salute, commercio, difesa e sicurezza internazionale, tutela dell’ambiente e della biodiversità, democrazia e diritti umani, geopolitica, Cina, Russia, Iran e vicinato orientale, area Middle East and North Africa e il resto dell’Africa e, certo, governance tecnologica, intelligenza artificiale e sovranità digitale strategica.
  2. Da maggio , il GEPD sta indagando sui contratti cloud delle istituzioni dell’UE con AWS e Microsoft. In un’altra recente decisione il Garante europeo della protezione dei dati (GEPD) ha rimproverato il Parlamento europeo per la presenza di Google Analytics e Stripe nel codice di un sito Web di prenotazione di test COVID-19 che era stato creato per esso da un fornitore di terze parti.
  3. Il 03 febbraio scorso il CISPE (portavoce dei provider di servizi di infrastruttura cloud in Europa) ha annunciato come Aruba, AWS (Amazon Web Services), Elogic, Leaseweb, Outscale e OVHCloud siano i primi tra i suoi membri a dichiarare la conformità dei propri servizi al suo Codice di condotta per la protezione dei dati. Il Codice CISPE, convalidato dal Comitato europeo per la protezione dei dati (EDPB) e approvato dall’Autorità francese per la protezione dei dati (CNIL), è il primo codice di condotta del Regolamento generale sulla protezione dei dati (GDPR) specificamente progettato per i provider di servizi di infrastruttura cloud.
  4. La proposta della Commissione europea individua tre criteri di selezione: una capitalizzazione superiore ai 65 miliardi di euro, oltre 45 milioni di utenti attivi mensili in Europa e oltre 10 mila clienti corporate, una posizione di forza duratura nel mercato che è presunta sulle due precedenti condizioni sono presenti da almeno tre anni. Nella rete della nuova disciplina antitrust cadrebbero tutte le big tech americane – Google, Facebook, Amazon, Apple e Microsoft, ma anche piattaforme europee come Booking e Zalando
  5. Il 20 gennaio 2022, il Parlamento europeo ha votato, in plenaria a Strasburgo, il testo sul Digital Services Act (DSA), la proposta di regolamento europeo, che mira all’adeguamento del regime normativo di parziale esenzione di responsabilità degli intermediari digitali, risalente al 2000 (Direttiva 2000/31/CE del Parlamento europeo e del Consiglio, c.d. «direttiva sul commercio elettronico), attraverso la ferrea previsione di una serie di oneri procedurali destinati alle piattaforme online, fornitori di servizi digitali, big tech incluse.

WHITEPAPER
Gli step chiave per realizzare un modello di Internal Audit intuitivo e sicuro
Amministrazione/Finanza/Controllo
CIO
@RIPRODUZIONE RISERVATA

Articolo 1 di 4