I dati sono il petrolio del Ventunesimo secolo. Il fatto che questo concetto sia trito e inflazionato non ne diminuisce la veridicità. Anzi, con l’avanzare della transizione digitale, sempre più aziende e settori dell’economia si appoggiano ai flussi di dati che generano, processano, inviano e ricevono. Vale anche su scala globale, dove la competitività delle economie è sempre più strettamente legata ai flussi di dati in entrata e in uscita. Pur essendo il loro valore aggiunto difficile da quantificare, è certo che siano una delle risorse più preziose dell’economia globale. Ma tuttora manca un’architettura di fondo per regolarne lo scambio tra i Paesi, una lacuna che ostacola la crescita globale e lascia spazio ai modelli autocratici di gestione dei dati. E attraverso la sua presidenza del G7, l’Italia ha un’occasione vitale per provare a riempirla.

LA BALCANIZZAZIONE DEI MODELLI

Oggi lo scambio di dati tra Paesi (o entità come l’Unione europea) si regge, di fatto, su accordi bilaterali. Spicca il Data Privacy Framework tra Ue e Usa entrato in auge nelle scorse settimane. È la terza iterazione di un accordo conteso: entrambe le versioni precedenti sono state invalidate dalla Corte europea di giustizia per dubbi riguardo alla sicurezza dei dati Ue conservati in Usa. Oggi, oltre agli States, le autorità europee ritengono che solo una manciata di altri Paesi abbia standard di trattamento e protezione dei dati “adeguati” a quelli europei. Per gli altri è troppo complesso, oneroso o semplicemente non ideale adeguarsi ai regolamenti che Bruxelles propone come un modello globale da imitare.

Il flusso di dati tra Ue e Usa è quello più importante al mondo per portata e valore economico (impatta un interscambio da sette mila miliardi di dollari). Ma anche l’ultimo accordo rischia di saltare, mettendo in pericolo la condivisione di dati tra le due sponde dell’Atlantico. Nel mentre stanno nascendo altri meccanismi per gestire i flussi di dati transfrontalieri, anche se nessuno si è ancora affermato come dominante. La gran parte rimangono accordi bilaterali, ma stanno comparendo anche soluzioni multilaterali, come il sistema Cross-Border Privacy Rules (Cbpr), che sta emergendo dal Forum di Cooperazione Asia-Pacifico (Apec) ed è sostenuto dagli Stati Uniti.

Se l’approccio Ue è creare un ecosistema digitale caratterizzato da una forte regolamentazione, quello degli Usa (privi di una legislazione federale di rilievo e una strategia coerente sulla privacy digitale) è improntato all’innovazione e all’allargamento dell’arena con un approccio più hands off e business first. Da una parte eccessiva burocrazia, dall’altra preoccupazioni sulla privacy. E sullo sfondo la Cina, che sta consolidando un regime digitale basato sul controllo autoritario dei dati ed esportando il proprio modello altrove nel mondo. Per tutti gli altri Paesi, tra cui il Giappone, nessuna di queste tre opzioni è la via ideale e manca ancora una soluzione che favorisca la creazione di un’economia digitale globale, libera, aperta e interoperabile.

LA FIDUCIA COME CHIAVE DI VOLTA

Nel 2019, nel contesto del G20, l’allora primo ministro giapponese Shinzo Abe propose il concetto di “Data Free Flow with Trust” (flusso di dati libero con fiducia, o Dttf). L’idea è garantire sia privacy e sicurezza dei dati personali e sensibili, sia la scorrevolezza dei flussi di dati transfrontalieri, sulla base della fiducia reciproca tra i partner. Il fondamento di questo approccio è una semplice consapevolezza: rendere identiche le normative sui flussi di dati dei vari Paesi è impossibile, dunque la soluzione deve passare da un meccanismo di interoperabilità dei regolamenti digitali basati sui principi condivisi e concordati in materia di privacy, sicurezza e proprietà intellettuale.

Nell’ambito del G7 che quest’anno presiede, l’attuale governo giapponese si è mosso per cercare di trasformare il concetto in realtà. A maggio, al summit di Hiroshima, i leader del Gruppo hanno discusso di come dare seguito al principio Dttf. “Condividiamo l’idea che la fiducia debba essere costruita e realizzata attraverso vari quadri giuridici e volontari, linee guida, standard, tecnologie e altri mezzi che siano trasparenti e proteggano i dati”, hanno scritto i leader del G7 nel comunicato finale.

Serve lavorare a partire da quattro aree-chiave, hanno concordato i partecipanti: cooperazione normativa e localizzazione, accesso governativo fidato e condivisione dei dati. Come base di partenza, i ministri digitali dei Paesi G7 hanno deciso di creare un “Institutional Arrangement for Partnership” (Accordo istituzionale per il partenariato, o Iap), un nuovo ente che agisca come raccordo per delineare un nuovo meccanismo, da costruire all’interno del foro multilaterale più opportuno, ossia l’Ocse. Da qui in poi, il sentiero è tutto da tracciare.

QUALE CONVERGENZA?

A maggio i responsabili per il digitale del G7 hanno avviato un dialogo, con la promessa di lavorare per lanciare l’Iap quanto prima e portare risultati e criticità al tavolo dei leader in tempo per i prossimi incontri tra leader e ministri del G7 – che avverranno sotto la guida di Roma a partire da gennaio 2024. L’incarico è complesso: si tratta di immaginare un modello che riesca a bilanciare i diversi approcci a sicurezza, privacy e mercato di tutti i Paesi che vorranno aderire. Una materia che va a braccetto con lo sviluppo di un sistema di governance globale per l’intelligenza artificiale, su cui l’Italia ha promesso di guidare la strada.

Forse la sfida più importante è la scala, ossia fare sì che questo nuovo modello possa essere facilmente adottato da quella schiera di Paesi che non ha ancora una dottrina giuridica consolidata sui flussi di dati.  Ma mentre si combatte la frammentazione rimane essenziale anche garantire che i flussi transfrontalieri di dati avvengano nel rispetto dei diritti. Motivo per cui il nuovo quadro giuridico, basato sulla fiducia reciproca, deve essere aperto alle democrazie riconosciute internazionalmente come tali e governate dallo stato di diritto, come suggerisce in un nuovo rapporto il German Marshall Fund. Ecco perché il G7 è il posto perfetto in cui farlo.

TRA RESPONSABILITÀ E SOVRANITÀ NAZIONALE

Per gli autori del Gmf, il nuovo modello deve “includere garanzie significative” sulla protezione dei diritti individuali e della privacy – anche per quanto riguarda il rischio di abuso da parte di enti pubblici, come le agenzie di intelligence (storico punto di frizione tra Ue e Usa). Servono anche “meccanismi di responsabilità” per garantire che chi elabora i dati attui le misure di salvaguardia, tra cui supervisione interna ed esterna e possibilità di ricorsi individuali. In breve, il quadro normativo “deve garantire che le entità incaricate del trattamento dei dati […] rispettino la privacy e gli altri diritti fondamentali delle persone nel Paese ricevente, in modo paragonabile (anche se non identico) alle pratiche del Paese di origine”.

Tutto questo va commisurato al fatto che i Paesi hanno sistemi giuridici diversi e che ciascuno può stabilire le proprie garanzie e i propri meccanismi di responsabilità. “Non ci si deve aspettare che i Paesi destinatari modifichino radicalmente il proprio quadro giuridico per duplicare le leggi del Paese di origine o che accettino semplicemente quelle già in vigore in un altro Paese”, scrivono gli autori (guardando a Bruxelles). Al contempo, “un Paese non può dormire sugli allori” per il solo fatto di essere una democrazia compiuta, ma deve “colmare tutte le lacune legali e procedurali o migliorare le carenze per fornire garanzie significative e meccanismi di responsabilità efficaci”.

UN’OPPORTUNITÀ PER L’ITALIA

Prendendo in consegna la presidenza di turno del G7 dal Giappone, starà al Belpaese guidare il processo per creare l’Iap – che dovrà essere fin dalla nascita un’autorità in grado di unificare e armonizzare, creando quella fiducia così essenziale per il processo indicato da Abe e garantendo la competenza, l’integrità, la trasparenza e l’assoluta apertura agli attori esterni volenterosi di partecipare al processo. Incaricata di creare un nuovo modello che potenzialmente possa essere adottato da tutte le democrazie del mondo, questa istituzione dovrebbe fungere da punto focale per le conversazioni sulla governance dei dati che si svolgono nei forum e raggruppamenti multilaterali – Ocse, Omc, G20, G7, Apec, Ipef.

Nel suo influente rapporto sulla materia, l’Information Technology & Innovation Foundation (Itif) ha scritto che quando l’Iap prenderà piede a livello di G7 dovrà subito iniziare a collaborare con il resto del mondo – parlando anche con enti come i Paesi del Sudest asiatico (Asean) e l’Unione africana. Lo scopo è la massima diffusione: promuovere i principi del Dfft e analizzare come gli altri Paesi li implementano, aiutandoli a identificare le aree in cui possono migliorare ed evitando di escluderle a priori. Un approccio (parallelo a quello dell’Ocse nel diffondere i suoi Principi per l’IA) che l’Italia può facilitare grazie alla sua propensione diplomatica e rete di amicizie globali.

LA SINTESI DEI MODELLI

Gli altri passi concreti proposti dall’Itif sono la creazione del meccanismo per la condivisione dei dati, l’implementazione di criteri che consentano ai Paesi di valutare rapidamente con chi possono essere condivisi e l’adozione del sistema globale Cbpr – quello nato nell’alveo dell’Apec e sostenuto dagli Usa – come standard per la privacy dei dati a livello globale. Occorre dunque preferire la velocità di diffusione alla rigidità burocratica, anche per motivi geopolitici. “Sarebbe un errore strategico lasciarsi sfuggire questa opportunità a causa di differenze e conflitti bilaterali che nel grande schema delle cose impallidiscono di fronte al contrasto con la Cina e altri Paesi autoritari digitali”, ha scritto l’autore del rapporto Itif Nigel Cory.

Questo non significa sposare l’approccio business first del Cbpr e gettarsi alle spalle la primazia europea nella protezione dei dati. Piuttosto, come ha suggerito Kenneth Propp dell’Atlantic Council, l’incontro-scontro tra le diverse sensibilità giuridiche può portare a una sintesi virtuosa. Per esempio, i membri del Cbpr (Usa in testa) possono integrare le linee guida Ocse sulla privacy per venire incontro allo scetticismo dei governi europei che ostacolano l’adozione di quel meccanismo. Di contro, se questi ultimi riconoscessero i principi del Cbpr come base legale per i trasferimenti dei dati, questa soluzione ibrida probabilmente sarebbe la strada più realistica verso un’economia digitale globale, libera, aperta e interoperabile.