Flusso dati transfrontalieri, per fare bene ci vuole fiducia: l’Ocse fa il punto sulle strategie globali

La protezione e il controllo sul trattamento dei dati è diventata un’esigenza ed un obiettivo di tutti gli Stati: a fronte dell’incremento delle attività giornaliere che qualsiasi persona svolge sul Web, si è rapidamente passati dalla necessità di avere una disciplina nazionale a quella di averne una europea a quella di avere una regolamentazione mondiale.

In questi ultimi mesi, in particolare, abbiamo avuto un marcato incremento dell’attività correlata agli accordi transfrontalieri per il flusso di dati.

Cerchiamo allora di comprendere quale sia la definizione dei flussi transfrontalieri dei dati secondo le norme europee che lo definiscono come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera ed effettuiamo una breve analisi sul rapporto pubblicato in data 12 ottobre 2022 dall’OCSE^[2] sul tema “Cross-border Data Flows: Taking Stock of Key Policies and Initiatives” (Flussi di dati transfrontalieri: Bilancio delle principali politiche e iniziative).

Tutelare la privacy attentata dal digitale: i consigli dell’ONU

Il tema è già stato trattato prendendo in esame il rapporto A/77/196 “Right to privacy”, a cura dell’Assemblea Generale delle Nazioni Unite che oltre a dare un quadro piuttosto tetro dello stato di fatto della protezione della privacy a livello globale fornisce anche un decalogo di norme che dovrebbero essere utilizzate nella regolamentazione normativa del tema dello scambio dei dati tra le diverse giurisdizioni^[1].

Il rapporto OCSE sui flussi transfrontalieri

Effettueremo allora una breve analisi sul rapporto pubblicato in data 12 ottobre 2022 dall’OCSE^[2] sul tema “Cross-border Data Flows: Taking Stock of Key Policies and Initiatives” (Flussi di dati transfrontalieri: Bilancio delle principali politiche e iniziative).

La parola che più appare presente nel rapporto OCSE è “fiducia”; infatti, le persone possono essere riluttanti a collaborare con società in cui percepiscono un deficit di fiducia e, a loro volta, le aziende possono faticare a raccogliere i benefici del mercato digitale se non possono operare con fiducia a livello globale. La nozione di fiducia gioca anche un ruolo nel modo in cui i governi e gli individui interagiscono con altri governi, consentendo una cooperazione normativa transfrontaliera basata sulla fiducia.

Il rapporto identifica gli interventi principali a livello unilaterale (Sezione 2), intergovernativo (Sezione 3), tecnologico e organizzativo (Sezione 4) che sono in corso per contribuire a progredire sul tema dei flussi di dati transfrontalieri. Questi interventi hanno il dichiarato scopo di permettere una migliore comprensione dell’attuale panorama politico cercando di stimolare i governi a intensificare gli sforzi di cooperazione per promuovere la condivisione di dati transfrontalieri in modo affidabile.

Vediamo quindi nel concreto cosa viene evidenziato nelle diverse sezioni.

Politiche e regolamenti unilaterali

Quali sono gli elementi che si ritrovano costantemente nelle politiche legate alla privacy dei diversi Paesi? In primo luogo, condividono l’obiettivo comune di consentire i flussi di dati transfrontalieri proteggendo al contempo i fondamentali principi di politica pubblica interna. In secondo luogo, queste politiche e regolamenti condividono sempre più i tipi di disposizioni, meccanismi e strumenti che utilizzano o riconoscono per realizzare questo scopo comune cercando di uniformarsi tra loro.

Gli strumenti utilizzati vengono di solito divisi in due sottogruppi principali:

1. Il primo definito di “garanzie aperte” che si basano principalmente sul soggetto/ente cedente per garantire la protezione degli obiettivi di interesse pubblico coinvolti senza però essere generalmente prescrittive su come tali requisiti debbano essere soddisfatti.
2. Il secondo definito di “garanzie pre-autorizzate“, generalmente caratterizzate da un maggiore coinvolgimento del settore pubblico ex-ante per garantire trasferimenti di dati affidabili (ad esempio: l’inserimento unilaterale nella whitelist di un Paese destinatario da parte del settore pubblico, l’obbligo di incorporare nei contratti clausole specifiche pre-approvate dal settore pubblico, o i sistemi di certificazione nazionali il cui funzionamento è monitorato direttamente o indirettamente da un ente pubblico).

Per quanto riguarda il diffondersi delle condizioni standard per i trasferimenti transfrontalieri di dati in relazione alle garanzie pre-autorizzate lo stesso rapporto evidenzia come le autorità pubbliche, in collaborazione con le autorità preposte all’applicazione della normativa privacy, hanno sviluppato tali clausole contrattuali che sono a loro volta raccomandate o talvolta addirittura richieste per i contratti tra soggetti che intendono condividere dati a livello transfrontaliero. Se inserite nei contratti, queste clausole sono automaticamente considerate sufficienti per un trasferimento lecito dei dati. Parecchi Paesi hanno già sviluppato questo tipo di clausole, tra cui: i paesi Europei con le “clausole contrattuali standard” (SCC), la Nuova Zelanda, il Regno Unito, l’Argentina, le nazioni del Sud-est Asiatico (ASEAN).

Processi intergovernativi

Tra i vari processi che si stanno svolgendo per progredire la cooperazione e l’uniformazione delle normative atte a creare un flusso affidabile di dati tra i diversi Paesi il report elenca:

Le delibere del G7 e del G20

Si parte dal 2019 quando durante il World Economic Forum a Davos il Primo giapponese Shinzo Abe ha dichiarato per la prima volta il lancio dell'”Osaka Track” sul Data Free Flow with Trust (DFFT), riferendosi a una visione in cui l’apertura e la fiducia nei flussi di dati coesistono e si completano a vicenda.

Successivamente nel 2020 i leader del G20 riuniti a Riyadh hanno confermato l’accordo di “facilitare ulteriormente la libera circolazione dei dati e rafforzare la fiducia dei consumatori e delle imprese”.

Nell’Aprile 2021 i Ministri del Digitale e della Tecnologia del G7 hanno riconosciuto “l’importanza di liberare il potere dei dati nelle nostre economie e nelle nostre società, pur continuando ad affrontare le sfide legate alla privacy, alla protezione dei dati, ai diritti di proprietà intellettuale e alla sicurezza”.

In ultimo nel 2022 sempre i Ministri del Digitale e della Tecnologia del G7 hanno dichiarato “che [il DFFT] è alla base dell’innovazione, della prosperità e dei valori democratici” deliberando un piano di azione per la promozione della libera circolazione dei dati sulla base del criterio della “fiducia”.

Processi multilaterali

Parliamo in questo caso dei processi portati avanti dall’OCSE stessa che sin dal 2016, con la dichiarazione di Cancun emanata dai Paesi facenti parte dell’Organizzazione, ha statuito il suo volere di “sostenere il libero flusso di informazioni per catalizzare l’innovazione e la creatività, sostenere la ricerca e la condivisione delle conoscenze, migliorare il commercio e l’e-commerce, consentire lo sviluppo di nuove imprese e servizi e aumentare il benessere delle persone attraverso politiche, fondate sul rispetto dei diritti umani e dello Stato di diritto, che rafforzino l’apertura di Internet, in particolare la sua natura distribuita e interconnessa, rispettando al contempo i quadri normativi applicabili in materia di privacy e protezione dei dati e rafforzando la sicurezza digitale“.

L’OCSE ha da sempre sostenuto la necessità di procedere ad identificare norme comuni sulla governance dei dati per rafforzare il concetto di “fiducia” che troviamo come base unitaria di questa complessa materia.

In tale contesto l’OCSE ha emanato una serie di raccomandazioni che possano promuovere la coerenza dei quadri normativi nei diversi Paesi. Tra di esse le principali sono:

• Raccomandazione del Consiglio dell’OCSE relativa alle linee guida sulla protezione della privacy e sui flussi transfrontalieri di dati personali del 2013;
• Raccomandazione dell’OCSE sulla cooperazione transfrontaliera nell’applicazione delle leggi a tutela della privacy del 2007;
• Raccomandazione dell’OCSE sul miglioramento dell’accesso e della condivisione dei dati del 2021;
• Raccomandazioni dell’OCSE sulla sicurezza digitale, tra cui: Raccomandazione OCSE sulla gestione dei rischi per la sicurezza digitale per la prosperità economica e sociale del 2015; Raccomandazione OCSE sulla sicurezza digitale delle attività critiche del 2019 e la Raccomandazione OCSE relativa alle linee guida per la politica di crittografia del 1997.

Inoltre l’OCSE produce una serie di rapporti analitici e facilita costantemente il dialogo su importanti questioni politiche, anche con un’attenzione specifica all’agenda politica dei flussi di dati transfrontalieri.

L’OCSE ha anche promosso uno studio per evidenziare i principi condivisi sull’accesso dei governi ai dati personali detenuti dal settore privato^[3] che può essere considerato un passo fondamentale per riconoscere i punti in comune a questo proposito, laddove esistono, e così facendo, integrare altri sforzi di cooperazione per promuovere la fiducia nei flussi di dati.

Nazioni Unite – ONU

Anche le Nazioni Unite hanno intrapreso rilevanti processi per la regolamentazione dei flussi di dati transfrontalieri.

L’attività che viene segnalata dal report OCSE come più importante ed attuale è del 2022 quando il Comitato di esperti delle Nazioni Unite sui Big Data e la scienza dei dati per le statistiche ufficiali ha annunciato il lancio di un programma pilota per rendere più sicura la condivisione dei dati a livello internazionale utilizzando le tecnologie di miglioramento della privacy (PET – Privacy Enhancing Technologies)^[4]. Il PET Lab delle Nazioni Unite sta conducendo un programma pilota con diversi istituti nazionali di statistica (NSO – National Statistical Offices). Il laboratorio dimostrerà che le PET possono rendere possibile la condivisione di dati tra organizzazioni pienamente conformi.

Accordi Regionali

Sono numerosi gli accordi regionali che hanno preso a cuore la problematica della riservatezza legata al flusso di dati transnazionali. Più nello specifico l’OCSE cita la Cooperazione Economica Asia-Pacifico (APEC)^[5], l’Associazione delle Nazioni del Sud-Est Asiatico (ASEAN)^[6], l’Unione Europea (UE) e il Consiglio d’Europa sottolineando come in queste entità sono coinvolti membri del G7 che hanno sviluppato standard regionali o accordi vincolanti per promuovere flussi di dati transfrontalieri affidabili tra i loro membri ma non solo.

Ad esempio, la normativa sulla privacy dell’APEC (originariamente sviluppato nel 2005 ed aggiornato nel 2015 e modellato sulle linee guida dell’OCSE in materia di privacy) stabilisce i principi dell’APEC in materia di privacy delle informazioni e fornisce indicazioni per la loro attuazione a livello nazionale e internazionale.

Il Quadro normativo sulla privacy dell’APEC costituisce anche la base per l’APEC Cross-border Privacy Enforcement Arrangement (CPEA) e per l’APEC Cross-Border Privacy Rules (CBPR) System sviluppato per promuovere l’interoperabilità delle norme sulla privacy attraverso l’applicazione di standard minimi. Ad oggi, sette delle ventuno economie dell’APEC partecipano al CBPR System e la speranza è che vengano coinvolti tutti i Paesi nel prossimo decennio.

Per quanto riguarda invece la situazione dell’ASEAN, la sua normativa di riferimento serve a rafforzare la protezione dei dati personali nei Paesi ASEAN e a facilitare la cooperazione tra i partecipanti non creando obblighi giuridicamente vincolanti a livello nazionale o internazionale, ma incoraggiando i Paesi membri di sforzarsi di cooperare, promuovere e attuare i principi di privacy.

Anche in questo caso gli accordi regionali hanno teso a stabilire delle regole comuni di applicazione generale ed infatti nel 2021 sono state approvate l’ASEAN Data Management Framework (DMF) e le Model Contractual Clauses for Cross Border Data Flows (MCCs). Gli MCC sono termini e condizioni contrattuali modello che possono essere inclusi negli accordi legali vincolanti tra le imprese che si trasferiscono reciprocamente dati personali a livello transfrontaliero. Ciò contribuisce a ridurre i costi e i tempi di negoziazione e di conformità, soprattutto per le PMI, garantendo al contempo la protezione dei dati personali quando questi vengono trasferiti oltre confine.

L’evoluzione della normativa europea

L’OCSE analizza poi anche l’evoluzione della normativa europea partendo con l’adozione del Regolamento generale sulla protezione dei dati UE 2016/679 (GDPR). Il trasferimento dei dati verso Paesi terzi non appartenenti allo Spazio Economico Europeo (SEE, ossia UE più Norvegia, Liechtenstein, Islanda) è infatti uno dei temi più rilevanti e problematici tra quelli regolamentati dal Regolamento.

Se, infatti, la circolazione dei dati tra i Paesi facenti parte della UE non pone grossi problemi in quanto tutti vincolati direttamente dal GDPR, maggiori problematiche si pongono invece quando entrano in gioco altri ordinamenti, dando vita alla necessità di regolamentare i trasferimenti dei dati verso i Paesi Extra-UE.

Successivamente nel 2018, l’UE ha inoltre adottato un regolamento relativo a un quadro per la libera circolazione dei dati non personali nell’Unione europea, che prevede che le aziende e le pubbliche amministrazioni possano conservare e trattare i dati non personali ovunque scelgano all’interno dell’UE, vietando ai Paesi membri di imporre requisiti di localizzazione dei dati.

In ultimo nel 2022 è entrato in vigore il Data Governance Act (DGA) dell’UE. Il DGA regola il trattamento dei dati elettronici, personali e non, con l’obiettivo di armonizzare la governance dei dati tra gli Stati membri e garantire così il libero flusso di tutti i tipi di dati tra di essi prevedendo anche meccanismi quali decisioni di adeguatezza e clausole contrattuali standard per i dati non personali.

Accordi commerciali preferenziali

Parallelamente alle iniziative che l’OCSE ha sintetizzato in precedenza, numerosi accordi commerciali preferenziali e di economia digitale stanno affrontando in misura crescente le questioni relative ai flussi di dati transfrontalieri e alla fiducia (nel contesto dei dati personali e non). Dal 2008, e fino al dicembre 2020, 29 accordi che coinvolgono 72 economie hanno introdotto una qualche forma di disposizioni sui flussi di dati.

Circa la metà di questi accordi include indicazioni non vincolanti sui flussi di dati, mentre l’altra metà, contiene impegni vincolanti sui flussi di dati (di tutti i tipi di dati), tra cui spiccano l’Accordo globale e progressivo per il Partenariato Trans-Pacifico (CPTPP), l’Accordo tra Stati Uniti, Messico e Canada (USMCA) e l’Accordo di commercio e cooperazione UE-Regno Unito.

Quasi tutti questi accordi includono anche eccezioni che consentono alle parti di limitare i flussi di dati per soddisfare “legittimi obiettivi di politica pubblica” e, soprattutto, tutti includono disposizioni sulla necessità di una legislazione nazionale in materia di privacy.

In questo periodo sono di attualità gli accordi che stanno siglando UE e Stati Uniti (che provano a riscrivere il Privacy Shield e la Gran Bretagna che sta negoziando un accordo con Stati Uniti e Singapore.

Nell’ambito di queste trattative l’OCSE evidenzia come tutti i Paesi hanno iniziato a negoziare accordi più ampi sull’economia digitale (DEA) che riguardano una serie di questioni, dall’intelligenza artificiale ai pagamenti elettronici.

Misure tecnologiche ed organizzative

Nell’ambito del suo report l’OCSE dedica una ampia sezione a quelli che definisce “Intermediari di Dati” (“data intermediaries”) quale espressione di una misura tecnologica per ottenere un accesso e una condivisione di dati più sicura.

Gli intermediari di dati fungono da mediatori tra coloro che desiderano rendere disponibili i propri dati e coloro che cercano di sfruttarli. L’intermediario si adopera per governare i dati in modi specifici e fornisce un certo grado di fiducia su come i dati saranno utilizzati. Possono anche essere intesi come una categoria di attori vagamente definiti che intermediano il rapporto tra gli attori che condividono i dati e quelli che vi accedono attraverso mezzi tecnici e organizzativi, facilitando, se non migliorando, l’uso e il riutilizzo dei dati nelle società.

La quarta sezione della relazione si concentra sugli spazi di dati come un tipo di intermediario decentralizzato che promuova i flussi di dati transfrontalieri.

Un approccio innovativo noto come “spazi di dati” o “piattaforme industriali di dati” sta prendendo piede come opzione per superare alcune delle sfide legate alla condivisione dei dati, anche a livello transfrontaliero, soprattutto per quanto riguarda i dati “industriali” o “non personali”.

Gli spazi di dati sono un sistema in cui i dati sono condivisi sulla base di standard aperti e trasparenti con l’obiettivo di consentire la cooperazione, ridurre le barriere all’ingresso e promuovere l’innovazione nell’economia digitale.

OCSE cita alcuni esempi recenti:

• Gaia-X è un’iniziativa europea per sviluppare un quadro software di controllo e governance e implementare un insieme comune di politiche e regole da applicare a qualsiasi stack tecnologico cloud/edge esistente per ottenere trasparenza, controllabilità, portabilità e interoperabilità tra dati e servizi. I servizi Gaia-X devono essere creati, gestiti e adottati dal mercato attraverso operatori che decidono volontariamente di adottare lo standard Gaia-X. Un primo esempio di applicazione di Gaia-X è Catena-X. Catena-X intende organizzarsi come associazione registrata in Germania. Catena-X si considera un ecosistema estensibile a cui possono partecipare in egual misura produttori e fornitori di autoveicoli, associazioni di concessionari e fornitori di attrezzature, compresi i fornitori di applicazioni, piattaforme e infrastrutture. Lo scopo dell’associazione è quello di creare uno standard uniforme per la condivisione di informazioni e dati lungo l’intera catena del valore automobilistico
• Altro esempio è lo spazio aperto creato da International Data Spaces (IDS) per le piattaforme di dati che potrebbe essere utilizzato per lo sviluppo di spazi di dati specifici. In particolare, l’IDS mira a consentire a nuovi “servizi intelligenti” e processi aziendali innovativi di operare tra aziende e industrie, garantendo al contempo che il controllo autodeterminato dell’uso dei dati (sovranità dei dati) rimanga nelle mani dei fornitori di dati.

La proposta di regolamento Ue e sull’accesso equo ai dati e sul loro utilizzo

La ricerca sullo spazio dati ha ricevuto un importante impulso dalla proposta di Legge pubblicata dalla Commissione Europea nel 2022 (“Proposta di regolamento relativo a norme armonizzate sull’accesso equo ai dati e sul loro utilizzo“)^[7]. Secondo la proposta, le caratteristiche principali di uno spazio comune europeo dei dati comprenderebbero:

1. Un’infrastruttura sicura e rispettosa della privacy per mettere in comune, accedere, condividere, elaborare e utilizzare i dati;
2. Una struttura chiara e pratica per l’accesso e l’utilizzo dei dati in modo equo, trasparente, proporzionato e non discriminatorio e meccanismi di governance dei dati chiari e affidabili;
3. Le norme e i valori europei, in particolare la protezione dei dati personali, la legislazione sulla protezione dei consumatori e il diritto della concorrenza, sono pienamente rispettati;
4. i titolari dei dati avranno la possibilità, nello spazio dati, di concedere l’accesso o di condividere alcuni dati personali o non personali sotto il loro controllo;
5. I dati resi disponibili potranno essere riutilizzati dietro compenso, anche economico, o gratuitamente;
6. partecipazione di un numero aperto di organizzazioni/individui.

Nel complesso, la caratteristica comune degli “spazi dati” è l’obiettivo di riunire fornitori di dati, utenti e intermediari, aumentando l’interoperabilità e la fiducia per migliorare la condivisione dei dati tra enti e individui. Ciò può essere applicato sia orizzontalmente tra i settori, sia verticalmente all’interno dei settori.

A livello tecnico, gli spazi di dati si basano su standard comuni per il raggruppamento o il collegamento, l’accesso, l’elaborazione, l’utilizzo e la condivisione dei dati tra diversi punti finali. Si basano su una comprensione condivisa della governance dei dati e degli obiettivi politici relativi ai dati.

A seconda del loro funzionamento, gli intermediari di dati possono essere più o meno importanti per consentire flussi di dati transfrontalieri affidabili. Gli spazi di dati dipendono da regole comuni sviluppate per lo spazio che consentono di superare le barriere legali e tecniche alla condivisione dei dati tra le organizzazioni, ottenendo la fiducia attraverso l’interoperabilità tecnica, semantica, organizzativa e legale.

Conclusioni

Citando il rapporto OCSE si può concludere che “I dati e il loro flusso transfrontaliero sono fondamentali per realizzare il potenziale delle tecnologie digitali per la prosperità delle economie e delle società digitali, consentendo lo sviluppo di modelli di business nuovi e innovativi e potenziando quelli tradizionali che dipendono dallo spostamento e dall’aggregazione dei dati in tutto il mondo. In questo contesto, mantenere un elevato grado di fiducia nei flussi di dati transfrontalieri per le imprese, i cittadini e le società è fondamentale per realizzare i benefici della trasformazione digitale per la nostra economia globale, rispettando al contempo elevati standard di protezione dei dati”.

Il rapporto non ha altro obiettivo che quello di fornire una base di partenza ai Paesi del G7 e del G20 per procedere più rapidamente nella normazione di questa materia che si deve basare sulla fiducia reciproca dei soggetti coinvolti; e per arrivare alla fiducia nel mondo moderno l’unica soluzione è quella di fornire una normativa chiara, trasparente, coerente e soprattutto concretamente attuabile.

Note

1. Vedasi “Tutelare la privacy attentata dal digitale: i consigli dell’ONU” a cura di Angelo Alù in https://www.agendadigitale.eu/sicurezza/privacy/digitale-privacy-a-rischio-cosi-si-puo-tutelare-secondo-lonu/ ↑
2. https://www.oecd-ilibrary.org/science-and-technology/cross-border-data-flows_5031dd97-en ↑
3. CDEP (2020), “DIRECTORATE FOR SCIENCE, TECHNOLOGY AND INNOVATION COMMITTEE ON DIGITAL ECONOMY POLICY Statement of the Committee on Digital Economy Policy”, http://www.oecd.org/digital/trusted-government-access- ↑
4. https://unstats.un.org/bigdata/events/2022/unsc-un-pet-lab/UN%20PET%20Lab%20-%20Press%20Release%20-%2025%20Jan%202022.pdf ↑
5. https://www.apec.org/ ↑
6. https://asean.org/ ↑
7. https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52022PC0068&from=IT ↑