Negli ultimi trent’anni internet e le sue regole hanno presentato soprattutto caratteristiche americane. Oggi questa definizione è sempre più sfumata. I grandi attori globali fanno a gara per cercare di plasmare la rete a propria immagine, seguendo i propri valori, anche attraverso leggi specifiche. In gioco ci sono due aspetti che spesso si danno per scontati, ma che in realtà sono centrali nella vita di molti: la sicurezza dei dati e il modo stesso con cui fruiamo le tecnologie digitali.
Questa battaglia si gioca tra Stati Uniti, Cina e Unione europea. Tre sistemi con tre distinte filosofie alla base che si intravedono in tutti i comparti, come l’uso dei big data o l’Intelligenza artificiale. L’approccio americano è basato su un sostanziale liberi tutti, in cui la gestione dei dati e dell’innovazione resta in mano alle grosse aziende private, le cosiddette Big Tech. Pechino ha invece un approccio più strategico dove lo Stato è entrato in modo deciso non solo con gli investimenti ma anche con le regole e il controllo di dati e informazioni.
Bruxelles cerca l’Europe’s way al digitale
L’Ue invece continua il suo percorso verso una strada alternativa. Qualche giorno fa, il presidente del Consiglio europeo, Charles Michel, intervenendo al forum Ft-Etno ha parlato dei piani dell’Unione per un «digitale centrato sull’uomo». Secondo Michel «tra il modello americano “il business sopra ogni cosa” e il modello autoritario di controllo statale cinese, c’è molto spazio per un modello attraente». «Questa», ha aggiunto, «potrebbe essere “la via europea” verso la rivoluzione digitale».
L’intento di Bruxelles è quello di continuare un percorso normativo intrapreso nel corso degli anni, arricchito nel 2018 con il GDPR, il Regolamento Generale sulla Protezione dei Dati, e che dovrebbe culminare con l’adozione del regolamento di ePrivacy ancora fermo ai box. Questa via condivisa da Consiglio e Commissione si riflette in tutti gli ambiti del digitale, dalla gestione dei dati degli utenti, allo sviluppo di capacità europee, fino a norme più stringenti per regolare i comportamenti dei colossi dell’industria tecnologica.
Carolina Polito, Research Assistant presso il Ceps (Centre for European Policy Studies), ha spiegato a Linkiesta che la “Europe’s way” per il digitale sarà incentrata su vari aspetti: «Su una sempre maggiore integrazione del Digital Single Market europeo; su investimenti crescenti nei settori dell’Intelligenza Artificiale, Cloud Computing e Internet delle cose». Ma non solo. Anche la politica di regolazione del mercato dovrà cambiare. Polito afferma infatti che oltre a maggiori supporti a piccole-medie imprese e start-up europee sarà necessario «stabilire delle regole per la competizione, sia tra imprese europee che con imprese extraeuropee, che favoriscano innovazione e fair-trade».
Proprio in questa direzione vanno alcuni lavori della Commissione. Politico ha potuto visionare tre documenti riservati sui pacchetti legislativi che Bruxelles sta elaborando in materia di concorrenza e protezione degli utenti. Nel mirino ci sarebbero tutte le Big tech americane. Parlando al Parlamento Ue il 28 settembre scorso il Commissario per il mercato interno e i servizi Thierry Breton, ha puntato ancora il dito contro le grandi piattaforme: «Questa crisi ha rivelato il ruolo e il carattere sistemico di alcune piattaforme che spesso si comportano come se fossero troppo grandi per preoccuparsi del proprio ruolo».
Il prossimo passo sarà la presentazione del pacchetto, denominato Digital Services Act (DSA) entro dicembre. Di fatto un affondo a 360° sulle attività di molti colossi della Silicon Valley. Le norme infatti dovrebbero prevedere la loro identificazione come veri e propri Gatekeepers, cioè soggetti essenziali per altre aziende per raggiungere utenti e consumatori.
Al momento non sono ancora chiare le singole disposizioni ma è certo che si divideranno in due categorie: comportamenti vietati e lista degli obblighi. In quest’ultimo caso i servizi nel mirino saranno: gli store di app e prodotti e i social network; i motori di ricerca; i sistemi operativi; e i servizi di cloud. Quest’ultimo punto ci riporta alla questione dei dati. Sempre secondo Polito allo stato attuale non ci sono indicazioni di possibili fughe delle piattaforme dal mercato europeo: «L’esperienza del GDPR non lascia presupporre che le piattaforme possano ritenere, al netto delle controversie con l’Ue, vantaggioso abbandonare questo mercato. A tal proposito è importante sottolineare come al contrario, essendo i servizi digitali spesso indivisibili, molte piattaforme digitali hanno considerato più profittevole adottare il GDPR come standard globale piuttosto che differenziare i loro servizi per i mercati fuori dall’Europa».
Lo scontro filosofico tra Usa e Ue
Se le piattaforme, pur con qualche mal di pancia, convivono con le regole europee, le faglie di tensione più considerevoli riguardano il confronto tra Washington e Bruxelles. «L’ordinamento giuridico americano e quello europeo in materia di gestione dei dati personali si fondano su due concezioni sostanzialmente diverse del diritto alla privacy», ci spiega ancora l’analista del Ceps. «L’Europa, in particolare dopo l’adozione del GDPR, ha stabilito un sistema armonizzato e centralizzato circa la protezione dei dati personali, dove la privacy si è configurata come diritto fondamentale dell’individuo».
Discorso completamente diverso per l’ordinamento statunitense che «regola il trattamento dei dati in ambiti specifici dell’attività economica. Poiché la privacy è tutelata solo nell’ambito delle pratiche commerciali, la garanzia per il cittadino è posta in essere quando questi è considerato nel suo status di consumatore. Questo approccio si riflette nel fatto che è la Federal Trade Commision, agenzia deputata alla tutela dei consumatori, l’ente di riferimento anche per la tutela della privacy», conclude Polito.
Peter Tanham sull’Irish Times ha invitato a osservare il GDPR con due lenti, quella europea e quella americana, spiegando come entrambe mostrino cose diverse. Per Washington la responsabilità resta individuale, mentre per Bruxelles si tratta di responsabilità delle imprese e di un ambiente ottimale nel quale i dati vengono trattati. Per questo motivo la normativa Ue è stata pensata per rendere più preciso il sistema di gestione dei dati anche per proteggerli nel caso in cui essi vengano trasferiti fuori dallo spazio europeo.
Quest’ultimo punto è uno dei più sensibili sulla direttrice Bruxelles-Washington. La bocciatura del Privacy Shield – l’accordo Ue-Usa per la gestione dei dati di cittadini europei da parte di aziende americane – da parte della Corte di giustizia dell’Unione europea è una ferita ancora aperta. Secondo Polito la sentenza ritiene che l’America non sia in grado di fornire lo stesso livello di protezione dei dati garantito dal quadro Ue e questo in particolare per i programmi di sorveglianza governativi sui cittadini non americani: «La decisione della Corte di Giustizia avrà certamente un impatto sulle relazioni transatlantiche sia sul fronte commerciale che su quello geopolitico». Anche perché impatterà su 5.300 aziende.
«Tale decisione pone delle responsabilità molto più onerose sui data exporter (come Facebook, o Google, Ndr). Far ricadere tale onore sul settore privato è in linea con una filosofia europea tesa a imporre, specialmente su alcuni soggetti quali le grandi piattaforme digitali, maggiori controlli, non solo dal punto di vista della protezione dei dati personali, ma anche di quello della cybersicurezza, nonché dal punto di vista fiscale». Dopo la sentenza della Corte di giustizia, la palla è passata alla commissaria irlandese per la protezione dei dati, Helen Dixon, che a stretto giro si è espressa contro Facebook ordinando di sospendere il trasferimento di dati degli utenti verso gli Stati Uniti. La battaglia è ancora in corso dato che il gigante di Menlo Park ha fatto ricorso all’Alta corte che si esprimerà verso novembre. Ma la linea è tracciata.
Sempre secondo l’analista Ceps «l’Europa sta ormai da anni cercando di imporsi come potenza normativa nello scacchiere mondiale, e la bocciatura del Privacy Shield si può e si deve leggere come un ulteriore tentativo di rafforzare tale ruolo. Ruolo di cui ha potuto insignirsi a fronte di un chiaro vacuum internazionale e che per il momento sembra rafforzare la posizione del Vecchio Continente di fronte alle altre potenze piuttosto che indebolirlo».
La Cina prova a giocarsi la carta unificatrice
Chi vorrebbe poter entrare in questa arena è Pechino. Nella nostra discussione la Cina è rimasta ai margini ma non per questo il ruolo cinese è meno importante. All’inizio di settembre il ministro degli esteri Wang Yi, dopo un deludente tour estivo in Europa, ha provato a rilanciare l’azione cinese con l’annuncio della Global Initiative on Data Security. Una proposta, per dirla con le parole del portavoce Zhao Lijian (uno dei membri del ministero più attivi nella strategia dei Wolf Warrior), per contribuire con la saggezza cinese alla definizione di regole internazionali sulla governance dei dati.
La mossa è arrivata dopo la decisione degli Stati Uniti di lanciare il programma Clean Network, un’iniziativa per proteggere la privacy dei cittadini da intrusione di attori maligni, che per il segretario di Stato Mike Pompeo altri non sarebbero che il Partito comunista cinese. La proposta di Yi mostra almeno due cose. La prima è la reale preoccupazione della Cina di essere tagliata fuori dall’accesso alla tecnologia occidentale. La seconda sottende l’idea che ci sia margine per approfittare dall’approccio unilaterale degli Usa, per porsi ancora una volta, come campione del multilateralismo. Il punto è che la proposta in sé presenta limiti e problemi.
Uno dei passaggi più controversi riguarda lo stoccaggio dei dati. Secondo Pechino dovrebbe avvenire nei Paesi in cui i dati risiedono. Questo in linea di principio si avvicina alle battaglie europee, ma allo stesso tempo cozza con le vere intenzioni del Pcc. A luglio il Comitato permanente dell’Assemblea nazionale ha proposto una legge sulla sicurezza dei dati in Cina. Il provvedimento dovrebbe entrare in vigore già quest’anno. Tra le righe si legge che la giurisdizione della legge avrebbe una porta extraterritoriale, in particolare per quelle realtà che operano fuori dalla Cina ma che nell’attività di gestione dei dati danneggiano la sicurezza nazionale. Una delle tante ambiguità che per il momento rendono difficile attirare l’interesse del modello europeo.