Il ruolo che la UE vuole giocare e sta giocando nella competizione globale della Digital Age è centrale se vogliamo comprendere le resistenze in atto da parte delle Big Tech all’evoluzione della normativa europea in tema di circolazione dei dati e del ruolo della privacy nell’epoca digitale.
Al centro dello scontro, per ora più minacciato che effettivamente dichiarato (si vedano gli avvisi di Mark Zuckerberg di sospensione dei servizi offerti da Meta nella Ue), non sta tanto il GDPR, che pure resta rilevante in quanto è esso la legislazione europea che rende effettivo il diritto alla protezione dei dati personali proclamato dalla Carta dei diritti della UE.
Accesso ai dati, Pizzetti: “Le linee guida EDPB uno snodo cruciale. Ecco perché”
Trasferimento dati all’estero: la vera posta in gioco
Lo scontro in atto sembra piuttosto riguardare il Digital Package Act presentato dalla Commissione UE nel dicembre 2020 e che comprende il Digital Services Act (DSA) e il Digital Markets Act (DMA). Due iniziative, queste ultime, finalizzate alla regolazione del mondo digitale in coerenza col disegno strategico relativo a una “UE that strives for more. My agenda for Europe” già contenuto e anticipato nelle dichiarazioni programmatiche della candidata alla Presidenza della Commissione Ursula von der Leyen, rese pubbliche il 16 luglio 2019 per illustrare il significato della sua candidatura a Presidente della Commissione UE e l’indirizzo politico che se fosse stata eletta avrebbe seguito nel guidare la Commissione UE e nel contribuire allo sviluppo della UE. Temi analoghi furono poi ripresi nel discorso “My view of Europe” pronunciato il 16 settembre 2020 sempre da Ursula fon der Leyen nella seduta inaugurale della sua Presidenza.
Il punto al centro del contendere, in effetti, non è chiarissimo e soprattutto rischia di diventare sempre più difficile da comprendere proprio a causa dei commenti degli esperti. Molti commentatori, infatti, leggono le minacce delle OTT di sospendere i servizi offerti agli europei come conseguenza della abolizione del Privacy Shield e del conseguente risorgere dei problemi legati ai trasferimenti di dati all’estero così come regolati dal GDPR. In questo modo però rischiano di non cogliere a pieno quale sia il vero problema in gioco e quanto importanti siano i temi ad esso connessi.
Certo, i problemi suscitati dall’annullamento del Privacy Shield da parte della Corte di giustizia UE con la decisone del 16 luglio 2020 sono tuttora aperti e la questione del trasferimento dati all’estero e delle condizioni che lo regolano resta un macigno sulle relazioni USA/UE così come lo è la differente legislazione relativa alla privacy, considerata come diritto fondamentale dei cittadini solo in UE. Va anche detto però che il tema in questione è aperto da due anni e già lo EDPB ha dettato Linee guida che, pur non del tutto persuasive nel contenuto, consentono comunque di continuare ad effettuare i trasferimenti di dati tra i due ecosistemi anche senza un nuovo accordo tra i rispettivi ordinamenti (cfr. EDPB Linee guida del 18 novembre 2021, 05/2021, sul trasferimento dei dati all’estero).
Trasferimento dati all’estero, le Linee Guida EDPB
Proprio le Linee guida 05/2021, rimettendo al contratto fra le parti interessate l’obbligo di indicare gli impegni assunti da entrambe le parti in ordine al trattamento dei dati e alla sua compatibilità con il GDPR hanno infatti indicato, almeno dal punto di vista formale, una via per consentire il rispetto dell’art.3 del GDPR anche senza basarsi su accordi tra Strati e sul contenuto delle legislazioni in vigore nei diversi ecosistemi nei quali hanno sede coloro tra i quali si svolge il trasferimento dei dati.
Certamente le Linee Guida citate hanno sollevato, anche da parte di chi scrive, perplessità e obiezioni, sia sul piano interpretativo che su quello attuativo del GDPR e mancano analisi adeguate che possano confermare che l’applicazione delle linee indicate assicurano ai cittadini europei una tutela adeguata dei loro dati.
Va riconosciuto comunque che nei due anni ormai trascorsi dalla decisione della Corte di Giustizia sono state più numerose le lamentele e le minacce delle OTT circa i servizi forniti ai cittadini UE, specialmente attraverso i social e le app disponibili sulla loro piattaforma, che non i problemi concreti sorti relativamente al transito dei dati tra utenti e fornitori dei servizi sulle due sponde dell’atlantico.
Resta da spiegare allora perché da qualche mese aumentino le dichiarazioni minacciose da parte delle OTT di sospendere i servizi da esse forniti agli utenti residenti in UE, e specialmente ai cittadini-consumatori. Dichiarazioni che sono cresciute dopo che nell’ottobre 2021 le piattaforme più popolari del web hanno smesso per un giorno di funzionare, gettando nel panico i loro utenti e soprattutto i singoli cittadini che non hanno più potuto usare per qualche ora le app operanti attraverso le piattaforme in questione.
DSA e DMA: il peso delle nuove regole per le Big Tech
Tornando al nodo del Digital Package Act europeo, possiamo con certezza affermare che sia il Digital Services Act che il Digital Markets Act definiscono, sia separatamente che insieme e fra loro coordinati, un ambizioso sistema regolatorio. Si tratta di un insieme di regole che hanno, tra l’altro, lo scopo di proteggere meglio gli utenti (o i consumatori) on line e promuovere un sistema di digital markets digitale più leale e più aperto alla competizione.
Come è noto, il pacchetto presentato dalla Commissione europea, oltre a dare attuazione all’indirizzo politico della Commissione, dà anche una risposta alle pressioni che negli anni la società e l’industria europee, hanno esercitato sugli Stati membri e sul Parlamento europeo al fine di attenere un quadro normativo capace di regolare, secondo i valori europei e la legislazione UE, l’economia digitale.
DSA e DMA, l’Ue prova a regolare le Big Tech: obiettivi, limiti e rischi delle proposte
Una volta che queste proposte siano approvate, come si pensa possa avvenire durante la presidenza francese dell’Unione iniziata il 1 gennaio 2022, l’ecosistema europeo sarà caratterizzato da un sistema regolatorio che, disciplinando i social media, i marketplace digitali e le grandi piattaforme digitali nei loro rapporti con gli utenti, è in grado di definire le responsabilità delle piattaforme digitali rispetto ai contenuti, ai prodotti e agli annunci che esse distribuiscono e trasmettono agli utenti secondo modalità che avvicinano il mondo on line a quello of line e quindi aumentano notevolmente la tutela degli utenti e dei destinatari dei servizi oltre che le condizioni reali della concorrenza fra piattaforme.
La conseguenza di questi apparati normativi sarà però anche quella di imporre nuovi “pesi” regolatori alle compagnie digitali e soprattutto alle c.d. “very large online platforms” e cioè quelle piattaforme on line che hanno una capitalizzazione di mercato di almeno 65 miliardi di euro e un numero di utenti mensili in UE non inferiore ai 45 milioni di soggetti.
Le nuove regole si applicheranno a tutte le piattaforme online che offrono i loro servizi nella UE, indipendentemente da dove esse abbiano sede.
Non è questa l’occasione adatta per esaminare più in dettaglio i nuovi obblighi che il DSA e il DMA pongono a carico delle very large platforms on line ma quello che ci si può attendere è che questa nuova regolazione, una volta approvata ed entrata in vigore, faccia della UE e dello Spazio Unico Economico Europeo due ecosistemi capaci di dare e meritare fiducia da parte degli utenti da un lato, e di garantire un mercato digitale più trasparente, più tutelato e più conforme ai principi fondamentali della UE, dall’altro.
In questo senso è indubitabile che sia il DSA che il DMA sono perfettamente in linea come la prospettiva di una UE fit for the digital age e danno sostanza concreta anche alla pretesa della cosiddetta sovranità digitale della UE.
Allo stesso tempo costituiscono anche una nuova regolazione del mercato digitale che estende al mondo digitale non solo i principi e i diritti fondamentali della UE ma anche la tutela e la protezione dei consumatori e dei cittadini, ben oltre la protezione che può offrire un corretto funzionamento del mercato online se presidiato solo da una adeguata applicazione dei principi di tutela della concorrenza che devono presiedere al corretto funzionamento di un market place ispirato soltanto ai principi della libertà economica di mercato.
Siamo finalmente giunti al punto.
Trasferimento dati all’estero: i rischi da evitare
Ben più che i vincoli legati al trasferimento dei dati dalla UE a Paesi terzi, imposti dal GDPR e richiamati dalla Corte di giustizia nella causa Schrems II, la costante ed evidente pressione delle OTT rispetto alla UE e anche al governo USA affinché procedano rapidamente a negoziare, a livello internazionale, regole comuni relative alla circolazione e all’uso dei dati nella Digital Age si può spiegare proprio col timore di vedere rapidamente e integralmente approvato il Digitale Package proposto dalla Commissione UE, con tutte le conseguenze che questo comporta e che qui si sono appena accennate.
Il tema è indubbiamente importante, tanto da meritare una riflessione collettiva.
Il rischio da evitare è infatti quello di restare attardati sul tema del trasferimento dei dati e della loro libera circolazione fra i diversi ecosistemi digitali e i territori sui quali essi insistono, perdendo di vista che in ballo vi può essere (e a parere di chi scrive vi è) molto molto di più.
A ben vedere infatti vi è un divergente atteggiamento tra USA e UE rispetto alla regolazione della società e dell’economia digitale.
Gli USA, fin dalla direttiva Clinton del 1993 che aprì all’uso commerciale della rete Internet e avviò la “rivoluzione digitale”, hanno puntato sullo stimolo alla tutela della concorrenza anche nel mondo digitale come fattore importante e centrale per un settore a forte capacità di innovazione, Del resto che questo sia stato un merito, se non il merito più importante, della Presidenza Clinton e del lavoro del Vice Presidente Al Gore, è stato riconosciuto in un rapporto di 105 pagine della White House Electronic Commerce Task Force, reso noto poco tempo prima della fine della presidenza Clinton e che contiene anche una interessante introduzione di Al Gore. Introduzione, quest’ultima, che aiuta a capire meglio la piena consapevolezza di Clinton e di Gore circa l’importanza della scelta che stavano compiendo.
Fin dall’inizio, dunque, l’orientamento USA fu quello di promuovere la rete come parte essenziale e pilastro di un nuovo importantissimo settore economico e, allo stesso tempo, di puntare sulla competizione propria del libero mercato per stimolare i privati a sviluppare il più rapidamente possibile le nuove tecnologie che il libero uso della rete consente.
Erano anche gli anni in cui si affermò il cosiddetto Washington consensus, legato alle dieci direttive di politica economica che l’economista Williamson mise a punto nel 1989 come pacchetto standard di regolazione da raccomandare ai Paesi in via di sviluppo che si trovassero in crisi economica e avessero bisogno di puntare su un forte sforzo del mercato per sostenere l’economia.
Regolazione della società dell’informazione: Ue e Usa non sono sullo stesso binario
Insomma, ferma restando l’importanza della regolazione contenuta nel GDPR in merito al trasferimento dei dati da un ecosistema a un altro e da un ordinamento giuridico a un altro, dobbiamo tenere presente che dietro le continue iniziative, quasi intimidatorie, delle Big Tech di questi ultimi anni e mesi si delinea anche un contrasto di ben maggiore ampiezza e importanza.
La UE non si muove affatto sugli stessi binari degli USA.
Tanto gli americani incentivano e permuovono la libera economia di mercato e contano sulla disciplina della concorrenza come strumento regolatore principale, tanto invece la UE tiene salda la prospettiva della regolazione pubblica definita dagli organi istituzionali dell’Unione come strumento principale per promuovere la competitività della UE, per garantire un ecosistema ispirato a valori e diritti fondamentali definiti e presidiati dal potere politico dell’Unione e per mantenere fermo il primato della regolazione e della decisione “politica” su quello del mercato e della libera competizione economica.
Dunque, le vicende in atto e gli atteggiamenti assunti in questi mesi dalle OTT meritano una attenzione e un interesse che va ben oltre la privacy e lo stesso GDPR.
Quello che si va delineando è un grande, e finora sottovalutato, scontro ideologico circa il rapporto tra regolatori, operatori economici e imprese nella Digital Age.
Consegnato con la fine del ventesimo secolo alla storia lo scontro tra marxismo e capitalismo, forse assisteremo nel ventunesimo secolo alla ripresa dello scontro tra Stato e Mercato come regolatori della convivenza della società umana nel mondo digitale.
Per questo sarebbe bene andare oltre il tema del trasferimento dei dati all’estero come ragione essenziale dello scontro tra i diversi ecosistemi digitali e gli operatori che in essi hanno sede, così come sarebbe bene che le Autorità di garanzia dei dati personali operanti nella UE fossero decise nel non consentire che il signor Schrems, utilizzando le norme in materia di trasferimento transfrontaliero dei dati contenute nel GDPR, continui a tenere di fatto sotto scacco, come finora è avvenuto, la libera circolazione dei dati tra i diversi ecosistemi che compongono il mondo e la competizione digitale.
Il passaggio dal mondo of line al mondo on line comporta un necessario ma difficile sforzo per trasferire alla realtà on line le garanzie e le tutele che cittadini, utenti e imprese, hanno nel mondo of line. Si tratta di un compito di enorme importanza e ampiezza. Almeno rispetto ai temi qui affrontati non sembra che le Autorità di garanzia dei dati personali, impegnate come sono sui temi posti dalle due decisioni Schrems, non sembra ne siano ancora sufficientemente consapevoli.
Lo stesso si può dire, forse, per gli esperti di protezione dati ai quali invece si deve chiedere uno sforzo particolare e un impegno speciale per aiutare tutti, e soprattutto gli ecosistemi USA e UE e i decisori che li governano, a uscire dal ginepraio nel quale ci troviamo.
Una possibile via d’uscita: un comune ecosistema transatlantico dei semiconduttori
Una risposta, o almeno un bandolo per uscire dal labirinto di questa problematica, lo offre l’articolo di Mark Scott “Digital Bridge: Privacy Shield update 3.0-Semiconducts subsidies-EU/US policy spat” pubblicato da Politico del 3 febbraio 2022 che cerca di dare un quadro sintetico ma completo sullo stato delle relazioni UE/USA nel settore digitale.
Sottolinea Scott che ancora non sono iniziati veri contatti tra UE e USA per arrivare a un nuovo patto transatlantico sulla protezione dei dati mentre invece USA e UE si stanno confrontando e scontrando su come cooperare nell’ambito degli investimenti per la produzione di semiconduttori che entrambi hanno, imprudentemente (e per pure ragioni di convenienza economica), lasciato alla Cina come un campo di azione espansiva aperto e incontrollato.
Infine, sottolinea Scott, gli USA sono tentati di giocare ancora la carta protezionistica del loro ecosistema per quanto riguarda gli altri aspetti, privacy compresa, malgrado che Gina Raimondo, la US Commerce Secretary, abbia dichiarato di essere fortemente interessata e coinvolta nelle negoziazioni su tema della protezione dei dati come terreno sul quale USA e UE devono cercano e trovare un accordo.
Sul tema dei semiconduttori sia USA che UE prevedono ampi finanziamenti nell’ambito di specifiche leggi per sostenere la produzione di nuovi chip e la chip industry. Il punto che accumuna le due sponde dell’atlantico è di evitare una gara a chi offre più sussidi e operare invece per costruire un comune ecosistema transatlantico per la costruzione e produzione di semiconduttori.
Come si vede i temi sono numerosi e i problemi aperti non lo sono certamente meno. Sia USA che UE sono interessati a frenare la corsa della Cina ma entrambi i sistemi sono interessati anche a competere l’uno con l’altro in un settore che finora è stato dominato dall’industria americana ma nel quale l’Europa intende ormai giocare un ruolo di leadership globale.
