Netcomm ribadisce la rilevanza di un quadro normativo chiaro e stabile in materia di trasferimento di dati tra l’Unione Europea e gli Stati Uniti per la crescita economica e l’innovazione del Paese, invitando i responsabili politici nazionali ed europei nonché l’Autorità Garante per la protezione dei dati personali a sostenere la necessaria conclusione dei dialoghi entro l’estate.
Negli ultimi anni, si sono rese ancora più evidenti alcune criticità dovute al vuoto legislativo in materia di trattamento dei dati, emerso a seguito della sentenza della Corte di Giustizia Europea del 16 luglio 2020 (nota come “Schrems II”), che ha annullato il cosiddetto “Privacy Shield”, ossia la Decisione di Adeguatezza adottata nel 2016 dalla Commissione europea per regolamentare, tra le altre cose, gli obblighi in materia di trasferimento dei dati tra Unione Europea e Stati Uniti.
Tale sentenza ha avuto – e sta continuando ad avere – conseguenze di tipo economico su numerose attività commerciali, anche alla luce della crescita esponenziale dei servizi digitali come effetto della pandemia. Infatti, per continuare a fornire i prodotti e i servizi su cui si reggevano, molte aziende si sono trovate costrette a fare affidamento sulle proprie (talvolta molto limitate) risorse e a doversi districare in un quadro normativo estremamente complesso. Non solo: anche altri settori, non direttamente legati alle dinamiche commerciali, ma che presuppongono continui scambi informativi e di dati – come, per esempio, le attività di ricerca scientifica in campo medico e diagnostico – stanno affrontando difficoltà analoghe.
In sostanza, la certezza di un quadro normativo di riferimento che regoli la circolazione dei dati e il loro trasferimento transatlantico risulta essere un tema cruciale per la crescita e lo sviluppo dell’economia, dell’innovazione e della ricerca scientifica e tecnologica. Per questo motivo, Netcomm (Consorzio del Commercio Digitale in Italia) invita i responsabili politici nazionali ed europei, nonché l’Autorità Garante per la protezione dei dati personali, a sostenere la necessaria conclusione dei dialoghi, affinché si possa raggiungere il prima possibile un accordo definitivo che tuteli i diritti e le libertà fondamentali e, al contempo, consenta fluidità nello sviluppo dell’economia, promuovendo l’innovazione.
Un quadro normativo complesso
L’effetto principale della sentenza della Corte di Giustizia Europa è stato generare un contesto di grande indeterminatezza, che è stato affrontato con una serie di provvedimenti pensati per fornire supporto agli operatori nello svolgere le attività di trasferimento: dalle “Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire un livello di protezione dei dati personali adeguato all’UE” dello European Data Protection Board (EDPB) alle “Clausole Contrattuali Standard” pubblicate dalla Commissione Europea nel giugno 2021, solo per citarne alcune.
Ciò nonostante, molte criticità applicative sono rimaste e le aziende, da circa tre anni, stanno fronteggiando tale situazione con grandi difficoltà e incertezze.
Il punto di vista delle imprese attraverso il caso “Analytics”
A risentire di questo contesto sono soprattutto le piccole e medie imprese (PMI), con conseguenze non indifferenti sotto il profilo economico e gestionale.
Gli strumenti messi a loro disposizione, seppur importanti, risultano troppo complessi e di difficile applicazione, con conseguenti difficoltà anche nella gestione degli aspetti contrattuali con fornitori e clienti. Non meno importante, le aziende si sono dovute assumere il rischio dei trattamenti dei dati effettuati, che comprende anche conseguenze sul piano sanzionatorio in caso di non-compliance.
In questo contesto, è emblematico il caso “Analytics”, quando il Garante per la protezione dei dati personali a livello nazionale ha ammonito un’azienda italiana per il suo utilizzo. In realtà, il punto centrale della questione non era (solo) l’utilizzo di determinati strumenti bensì il trasferimento dei dati che l’utilizzo di tali strumenti poteva comportare. A seguito della vicenda, considerando il fatto che molti servizi presenti sul web sono erogati da provider basati negli Stati Uniti e che il funzionamento di tali servizi presuppone il trasferimento dei dati oggetto di trattamento negli USA, le imprese hanno dovuto verificare che le misure adottate per i propri servizi fossero in linea con il livello di protezione richiesto dal GDPR e, in caso negativo, hanno dovuto sospenderne l’utilizzo fino al ripristino della conformità.
In sintesi, le conseguenze di questa vicenda hanno raggiunto diverse realtà imprenditoriali, private e della pubblica amministrazione che erano solite utilizzare questo strumento per costruire la relazione con i propri utenti.
Il ruolo pivotale del trattamento dei dati per il Sistema Paese
È opportuno sottolineare come tali tematiche siano ancora più centrali se si considera l’intera rete del valore dell’eCommerce e dei servizi digitali, come evidenziato dal recente studio condotto da Netcomm in collaborazione con The European House – Ambrosetti[1]. Tale rete costituisce una filiera complessa e articolata che coinvolge numerosi settori e presuppone diversi servizi digitali; e questi implicano, quasi nella totalità, relazioni commerciali tra USA e UE. A beneficiare di tali relazioni non sono soltanto le PMI, ma, a livello aggregato, l’intera rete imprenditoriale, sia digitale che non, che in Italia crea sviluppo, occupazione, produttività e favorisce la competitività del Sistema Paese a livello internazionale. Essa, infatti, rappresenta il primo settore per incremento del proprio peso relativo sul fatturato complessivo delle imprese private italiane e pesa per il 40,6% della crescita di fatturato del totale delle attività economiche del settore privato negli ultimi cinque anni.
Appare quindi evidente come, tra le politiche di sviluppo di tale filiera, rientrino anche gli aspetti legati alle attività di trattamento dei dati, con particolare riguardo ai flussi transatlantici.
Una questione di progresso scientifico
La questione del trasferimento dei dati tra USA e UE non riguarda solamente settori direttamente legati alle dinamiche commerciali, ma anche altre attività che presuppongono comunque scambi di dati e informazioni, come la ricerca scientifica.
Un esempio concreto e piuttosto recente: durante il periodo pandemico, il trasferimento di dati a livello internazionale è stato un fattore fondamentale nella lotta al Covid, in quanto ha permesso lo studio del virus, lo sviluppo di farmaci efficaci nel trattamento della malattia e l’approdo in tempi piuttosto celeri ai vaccini. Più in generale, l’attività di ricerca in campo medico e diagnostico, lo sviluppo di nuove cure e di dispositivi medici efficienti hanno bisogno di uno scambio di dati costante per progredire. Ancor di più le sperimentazioni cliniche, che coinvolgono necessariamente più soggetti, spesso localizzati sia all’interno che al di fuori dell’Unione europea, e per i quali devono essere messe in atto attività di trattamento estremamente articolate.
Estendendo queste riflessioni ad altri settori – basti pensare a tutti quelli che oggi fanno un qualche uso di soluzioni e servizi basati sull’Intelligenza Artificiale -, si comprende come la questione del trasferimento dei dati sia fondamentale per il progresso, non solo economico, ma anche tecnologico e scientifico.
Qualcosa si muove: verso la nuova decisione di adeguatezza
A fine 2022, a seguito della promulgazione da parte del Presidente Biden dell’Executive Order (7 ottobre 2022), è stata pubblicata una bozza della nuova Decisione di Adeguatezza da parte della Commissione Europea per il nuovo “EU-U.S. Data Privacy Framework”. Ciò ha rappresentato un punto di svolta per migliaia di realtà che ogni giorno fanno affidamento su flussi tra USA e UE e necessitano quindi di un quadro normativo chiaro e stabile.
Si è aperta però una fase delicata di discussione: la Decisione di Adeguatezza sta seguendo l’iter previsto dal Regolamento GDPR e quindi dovrà affrontare il parere di diversi organi europei prima di essere approvata. Siamo in attesa del parere del Parlamento che, pur non essendo vincolante, è necessario ai fini dell’approvazione del provvedimento.
Sarà’ inoltre necessaria una stretta collaborazione con il Governo americano per rendere operativo ed esecutivo il nuovo quadro. A oggi, attendiamo che gli Stati Uniti portino a termine il processo di riconoscimento dell’UE come Paese terzo “adeguato”, affinché la Commissione possa a sua volta portare a compimento il processo di adozione della Decisione di Adeguatezza giustificata dalla riorganizzazione del quadro normativo statunitense, tra cui la nomina dei giudici del Tribunale del riesame della protezione dei dati.
Alla luce di quanto detto, Netcomm sottolinea l’urgenza della chiusura dell’iter legislativo, sostenendo la conclusione dei dialoghi tra UE e USA entro l’estate e confidando nel prezioso supporto dell’EDPB e dell’EDPS in questa direzione.
[1] Ricerca Netcomm “La rete del valore dell’eCommerce e dei servizi digitali” sviluppata in collaborazione con The European House – Ambrosetti e rilasciata lo scorso gennaio 2023.
