La questione di un accordo fra Stati Uniti ed Europa che possa subentrare al Privacy shield decaduto è di primaria importanza industriale, ma riveste anche una valenza geopolitica. Il commento di Jean-Pierre Darnis, consigliere scientifico allo Iai e ricercatore associato alla Fondation pour la recherche stratégique
La Commissione europea e gli Stati Uniti hanno recentemente intensificato i loro negoziati per definire un regime transatlantico di scambio dati che possa subentrare al Privacy shield invalidato nel luglio 2020 da una decisione della Corte di giustizia europea. Il segretario americano al Commercio Gina Raimondo e il commissario europeo per la giustizia Didier Reynders hanno dichiarato volontà di trovare una convergenza sui temi della privacy e dei diritti nel contesto digitale.
L’attuale apparente accelerazione politica traduce l’intensità dei dibattiti relativi alla questione dello scambio di dati. Per tanto tempo questi argomenti, assai tecnici, sembravano interessare soltanto gli addetti ai lavori. Oggi vediamo sempre più mobilitazione intorno al digitale, nuovo terreno di battaglia politica sia nei contesti interni che internazionali.
La spinta per togliere validità a questo accordo è avvenuta nell’ambito del caso Schrems. Max Schrems è un cittadino austriaco che dal 2009 si è impegnato in una difesa giuridica del diritto alla privacy nel contesto digitale. Ha poi fondato l’Ong Noyb (None Of Your Business) e illustra la crescita di un filone politico europeo che intende promuovere battaglie per la difesa dei diritti dei cittadini nelle loro relazioni con le piattaforme tecnologiche. La solidificazione di questo filone politico rappresenta un caso notevole di europeizzazione dell’azione politica ma anche di una tematica che può rivelarsi come trasformativa per il dibattito politico.
In effetti assistiamo a un principio di separazione fra coloro che mettono in avanti la continuità del business e le ragioni della crescita difendendo l’adozione veloce di un meccanismo che possa stabilizzare gli scambi di dati fra Europa e Stati Uniti e quelli che insistono sulle garanzie imprescindibili nella tutela dei diritti individuali. Emerge quindi una nuova divisione politica fra un “partito della crescita” e uno della “difesa dei diritti”. Questa cesura potrebbe potenzialmente rinnovare l’insieme del dibattito europeo, se non mondiale.
La differenza fra Stati Uniti e Unione europea sulla privacy viene da lontano, già nel 1995 la seconda adottava l’European Data Protection Directive e possiamo osservare l’investimento europeo in materia regolamentare, con un ruolo di spicco della Commissione europea che si distingue per capacità e visione. Gli ultimi sviluppi regolamentari dell’Unione europea come il Digital act o la proposta di regolamentazione dell’Intelligenza artificiale ben illustrano l’azione europea in materia.
Negli Stati Uniti nel 1952 fu istituita la Nsa che illustra il paradigma di controllo dei dati ai fini della sicurezza. Questa tendenza si è poi prolungata fino a oggi, con per esempio il voto nel 2018 del Cloud Act (Clarifying Lawful Overseas Use of Data), legge federale che permette alle autorità di polizia e ai servizi di intelligence di ottenere dalle società di cloud informazioni situate nei server negli Stati Uniti o all’estero.
Rileviamo quindi una differenza di approccio fra una politica statunitense che insiste sulla priorità da dare alle questioni di sicurezza, anche usando monitoraggi di massa, e l’approccio Ue attento alla protezione dei dati del singolo individuo. Stati Uniti e Unione europea illustrano le moderne evoluzioni di antichi sistemi democratici, anche con radici comuni, ma risulta difficile conciliare oggi questi orientamenti divergenti. Si pone sicuramente la questione della convergenza o divergenza delle democrazie in un quadro transatlantico, problema non banale.
Per assicurare la continuità delle attività numeriche, la Commissione ha adottato sistemi di adeguazione per il trasferimento di dati con Andorra, Argentina, Canada, Isole Feroe, Guernesey, Israele, l’isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e Giappone. Ci sono anche discussioni in corso con la Corea del Sud. Questi accordi permettono di assicurare un livello paragonabile a quello dell’Unione europea in materia di garanzie sul rispetto e trattamento dei dati, e rappresentano una fondamentale fluidificazione per le attività fra i Paesi firmatari. Già pero ci sono “elefanti nella stanza” e al di là dell’assenza statunitense, rileviamo quella del Regno Unito, un segno delle complicazioni dovute al post Brexit.
La questione del trattamento dei dati digitali in Europa, della loro conservazione e della protezione, viene spesso espressa nel concetto di sovranità digitale, tematica al centro di molti dibattiti. Accanto allo sforzo regolamentare abbiamo assistito a una volontà di sviluppare un “cloud sovrano” con lo sviluppo di Gaia X. Oggi il progetto Gaia X accoglie 212 aziende, includendo anche Palantir, Huawei o Alibaba Cloud, e sembra per certi versi allontanarsi dall’idea iniziale di un cloud europeo “proprietario” che potesse assicurare la sovranità dei dati per le amministrazione pubbliche, uno dei bisogni all’origine dell’iniziativa franco-tedesca come presentata nel maggio dell’anno scorso. Ci si sta orientando verso un Gaia X come architettura di cloud regolamentata che possa rispettare principi ed esigenze in materia di sovranità digitale europea (Gdpr by design), una via che permetterebbe di conciliare le esigenze di controllo (o di non controllo) dei dati con una realtà industriale imprescindibile. La presenza di aziende non Ue nel consorzio non significa che dopo verranno integrate nell’offerta “Gaia X”, ma crea comunque una serie di interrogativi. Il coinvolgimento delle grandi aziende cloud nel Gaia X rappresenta un tentativo di imporre uno standard europeo a livello mondiale. Vari problemi rimangono pero’ irrisolti, come quello della portata del Cloud act sulle infrastrutture aziendali statunitensi anche se basate in Europa.
Nel 2020 venne anche lanciata un’altra iniziativa, l’health data hub (piattaforma di dati della sanità) che subito suscitò inquietudine per il rischio di trasferimento di questi dati fuori dall’Unione europea. Questo anche se Microsoft Azure, che aveva ottenuto il contratto di gestione della piattaforma sul suo cloud, assicurò che i dati sarebbero rimasti nell’Ue. Microsoft ha recentemente dichiarato che l’insieme dei clienti UE dei servizi cloud potrà usufruire di uno stoccaggio dei propri dati nell’Ue entro la fine 2021. Questo esempio di reazione da parte dell’industria è anche frutto della pressione esercitata dalle varie iniziative europee.
L’attenzione europea si manifesta anche con grande acuità nella sede del parlamento europeo. La commissione per le libertà civili ha pubblicato il 20 aprile scorso un rapporto che incalza la Commissione europea a definire regole per lo scambio di dati con gli Stati Uniti e richiama l’attenzione a una posizione europea rigorosa quando si firmano accordi di adeguamento, che debbono essere allineati con le norme europee in vigore (Rgpd). Il Parlamento europeo si sta chiaramente posizionando a favore della difesa dei diritti individuali nel contesto digitale mentre osserviamo una Commissione europea che cerca di definire un compromesso accettabile tenendo anche conto delle ragioni dell’economia e dell’importanza dei rapporti con gli Stati Uniti. Anche li vediamo un’accelerazione della dialettica politica fra le istituzioni europee.
La questione di un accordo fra Stati Uniti ed Europa che possa subentrare al Privacy shield decaduto è di primaria importanza industriale, ma riveste anche una valenza geopolitica. Si iscrive nella possibilità di sfruttare le convergenze emerse con l’amministrazione Biden e di rafforzare i rapporti Ue-Usa, anche in chiave di competizione con la Cina. L’accordo sul trasferimento dei dati fa parte da questo punto di vista di un agenda tecnologico transatlantica che include la regolamentazione dell’Ia ma anche l’investimento per capacità autonome di semiconduttori, che rappresenta l’occasione di un potenziale rinnovamento del rapporto transatlantico. L’alleanza di sicurezza tramite la Nato è stata riaffermata nella sua legittimità, anche da Joe Biden.
Ma non basta per fronteggiare le sfide tecnologiche che richiedono prese di posizioni e costruzione di accordi sulle varie poste in gioco di oggi e di domani. La Commissione europea e l’amministrazione Biden hanno espresso consapevolezza per la portata delle questioni tecnologiche nella relazione transatlantica e stanno aumentando l’impegno per definire accordi in questi comparti. Anche dal punto di vista geopolitico, la crescita di una “politica tecnologica” rappresenta un rinnovamento del paradigma della politica internazionale. In questo senso e a differenza del quadro di sicurezza organizzato nella Nato, l’alleanza transatlantica non può essere considerata come statica. Essa richiede uno sforzo specifico per essere rinnovata, che non si può riassumere in un “semplice” trattato internazionale, bensì richiede di definire i termini di una convergenza fra democrazie. Si tratta di un esercizio difficile e ambizioso, ma che se portato a buon fine potrebbe radicalmente trasformare l’andamento di un mondo che uscirebbe dalla logica di partizione per rimettere in moto la forza dell’integrazione delle democrazie.
