Il post vuole offrire una riflessione sugli interventi europei approntati per affermare la sovranità sui dati, presupposto essenziale per la sovranità digitale. In particolare, si esaminano gli aspetti legati alla territorialità della sovranità europea.
Negli ultimi anni il termine “sovranità digitale” è diventato sempre più presente nelle comunicazioni delle istituzioni: con esso, si intende l’esercizio di una forma di autorità legittima e di controllo sui dati, software, infrastrutture e servizi digitali, nonché sugli standard che ne condizionano l’attività e il funzionamento.
La voce sintetizza la capacità di utilizzare le tecnologie algoritmiche per l’elaborazione dei dati e l’approccio di data governance adottato dagli ordinamenti per affermare la propria influenza e dominio sulle nuove tecnologie, anche nei termini di esclusione e protezione dalle ingerenze estere. Per l’Unione europea il termine è diventato infatti sinonimo di autonomia digitale, intendendo con ciò l’ottenimento di una vera e propria indipendenza dell’Unione rispetto alle tecnologie sviluppate dagli Stati Uniti e dall’Oriente (sulle iniziative europee, si veda A. Palladino, Europa digitale 2030, la Commissione propone una “Bussola” per la sovranità digitale).
La riforma avviata con la Strategia europea sui dati evidenzia poi la necessità per gli Stati membri di imporre limitazioni e controlli sulle attività e sull’economia delle nuove tecnologie, anche se transnazionali e globali, quando esse riguardino i cittadini europei. La sovranità digitale nel vecchio continente assume quindi le vesti di una vera e propria rivendicazione degli Stati sui valori e diritti europei, nonché di una lotta ai grandi operatori privati, che, inosservati, hanno organizzato le proprie forme giuridiche e la fornitura dei servizi a discapito dei confini e della normativa europea.
In questo contesto, il primo presupposto per affermare la sovranità digitale deve essere individuato nella sovranità sui dati, intendendo con ciò la regolazione del trattamento e della circolazione dei dati, per loro natura strutturalmente intangibili, non rivali, non escludenti, frazionabili.
La verifica della sovranità europea sui dati presuppone tuttavia il ripensamento parziale dei canoni tradizionali che caratterizzavano l’autorevolezza degli Stati sovrani (territorio, sicurezza, extraterritorialità). Il processo di datificazione della realtà e il progressivo sovrapporsi della realtà virtuale a quella fisica hanno presto mostrato all’Unione europea l’impossibilità di limitare i dati territorialmente, nonché l’opportunità adottare un’interpretazione innovativa del “territorio”.
La proliferazione incontrollata dei dati e la nuova economia connessa all’elaborazione delle informazioni, infatti, hanno spinto l’Unione a mettere in atto una serie di iniziative per garantire che il trasferimento dei dati avvenga in maniera protetta tra gli Stati europei e non europei. In questo senso si possono richiamare il GDPR, concernente la protezione e la circolazione dei dati personali, il Regolamento EU 2018/1807 per la circolazione dei dati non personali, nonché le iniziative confluenti nella filosofia Open Data (come le direttive PSI susseguitesi negli anni), il Data Governance Act e il Data Act, interventi che, in diverse direzioni, vogliono creare uno spazio comune europeo di dati in cui le informazioni possano essere agevolmente condivise e riprodotte.
L’elemento della territorialità, che prima rispecchiava il potere che l’organizzazione era in grado di esercitare entro confini definiti e sui soggetti che transitavano su quel territorio, deve quindi essere reinterpretato alla luce nella nuova realtà virtuale. Non a caso spesso ci si riferisce alla sovranità dei dati in termini di a-territorialità, concetto che viene accostato al costituzionalismo digitale e al c.d. Brussels Effect.
Il necessario abbandono del canone territoriale per come precedentemente inteso trova conferma in vari elementi, come ad esempio l’elaborazione del criterio dei destinatari dei beni o dei servizi (altresì chiamato criterio dell’indirizzamento – targeting – del trattamento) accanto al criterio dello stabilimento per l’applicazione del GDPR (art. 3 GDPR, esaminato nelle Linee-guida 3/2018 sull’ambito di applicazione territoriale del RGPD adottato dall’EDPB).
Si può citare poi il diverso approccio maturato dall’Unione con riferimento alle tecniche di localizzazione dei dati, ossia con riguardo alle diverse misure approntate per garantire che i dati restino soggetti alla giurisdizione del Paese in cui sono stati raccolti o importati (per cui si veda il rapporto Ocse nel 2023). All’iniziale ipertrofia normativa che caratterizzava la regolazione dei dati personali e non personali per gli obblighi di conservazione e archiviazione dei dati nel territorio nazionale per le imprese è seguita infatti la piena consapevolezza degli svantaggi legati a tali limitazioni, sia sotto il profilo della sicurezza dei dati (che sarebbero maggiormente esposti a cyberattacchi), che della sicurezza degli stessi Stati membri (si pensi al caso dello spionaggio informatico), motivo per cui si ritiene che la data localization esprime sì la sovranità sui dati del Paese che la richiede, ma esplica, in sostanza, una forma di protezionismo.
Discorso a parte per quanto concerne la circolazione dei dati è quello riguardante il trasferimento al di fuori dei confini europei, che l’Unione consente solo verso Paesi terzi che siano in grado di assicurare un livello di protezione e di tutela adeguati. È il caso oggi del nuovo Data Privacy Framework suggellato con gli Stati Uniti nel 2023 (per cui si rimanda a M.B. Armiento, Il nuovo EU-USA Data Privacy Framework: quale tutela per la privacy dei cittadini europei?; B. Carotti, Maximilian Schrems e la caduta del Privacy Shield).
La sovranità sui dati dell’Unione deve essere dunque misurata con riferimento all’effettiva solidità delle normative adottate riguardo alla circolazione controllata dei dati, alle tecniche di elaborazione e gestione dei dati, alla sicurezza dei dati e delle infrastrutture, alla capacità dell’Unione di far rispettare le regole dall’interno e all’esterno dei confini territoriali materiali.
Per fare questo, occorre attuare un’indagine combinata dei Regolamenti e delle Direttive, nonché delle normative adottate nei singoli Stati membri. Un segnale positivo arriva tuttavia sicuramente dal c.d. Brussels Effect, fenomeno che dimostra la straordinaria capacità dell’Unione di modellare il mercato e l’ambiente commerciale globale sulla base degli standard europei in materia di sicurezza, privacy, regolazione della concorrenza e gestione dei dati, senza necessità di adottare interventi coercitivi. L’influenza esercitata dall’Unione sugli operatori di mercato e il potere di estendere il regime dei dati previsto nel territorio al di fuori dei confini europei è prova evidente della autorevolezza delle scelte di data governance adottate.
Che a tale autorevolezza si accompagni poi l’emancipazione dell’Unione rispetto ad altri ordinamenti è questione legata non solo alle regole di gestione dei dati ma soprattutto alle politiche infrastrutturali e di cybersicurezza elaborate.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
