Facendo leva su una perdita di fatturato dell’8% per le imprese inglesi “causa GDPR” stimata dall’Università di Oxford, il Regno Unito pensa a una nuova modifica del suo Data Protection and Digital Information Bill. La “sburocratizzazione” annunciata, oltre a “liberare il pieno potenziale di crescita” delle proprie imprese, stavolta ha uno scopo più strategico. Trasformare il Paese nel primo e unico “hub di dati del mondo”, anche per diventare un ponte attraverso l’Atlantico, quello che da sole UE e USA tardano a costruire.
Meno burocrazia ma più costi e oneri: pro e contro per le imprese
La nuova proposta sta avanzando in Parlamento, ora i nuovi ministri si sono presi il tempo per esaminarne contesto, opportunità e impatto. La sostituzione del GDPR con una legislazione nazionale è un’opportunità post-Brexit imperdibile secondo i conservatori che, da tempo, lo criticano per “eccessiva enfasi sul consenso” e “rischio bombardamento di richieste di consenso”.
Finora poco è stato fatto, il GDPR è ancora in vigore grazie al Data Protection Act (DPA) del 2018, modificato poi il 1° gennaio 2021. A frenare interventi drastici il timore di influenzare le decisioni dell’Unione sull’adeguatezza della condivisione dei dati. Timori che si acuiscono di fronte al tornare alla carica da parte del governo inglese con una strategia ancora più strutturata.
Oltre al rischio di compromettere il rapporto commerciale con i membri UE, c’è anche quello di un’attesa molto lunga per l’approvazione che lascerebbe le imprese UK navigare mesi e mesi nell’incertezza.
Alcuni esperti temono si incoraggi una ricerca non etica che indebolirebbe i diritti dei proprietari dei dati. Ipotesi naturalmente tutta da verificare, mentre è evidente che una nuova modifica della legge britannica comporterebbe un onere per i responsabili del trattamento dei dati e un costo aggiuntivo per le aziende. Quelle data driven UK dovrebbero infatti adeguarsi a qualsiasi modifica venga apportata, nella speranza di “liberare il loro potenziale”. Intanto la vita delle big tech si complicherebbe: non potendo più usare per UK e Europa lo stesso approccio, dovranno differenziarlo rivedendo anche strategie di business nazionali e internazionali.
Privacy Shield 2.0: un passo avanti, anzi no
Proprio mentre in UK si cerca di approfittare dello stand by tra USA e UE sul trasferimento dati attraverso l’Atlantico, i due interlocutori fanno un passo avanti. A inizio ottobre, Joe Biden ha firmato un ordine esecutivo (EO) – “Enhancing Safeguards for United States Signals Intelligence Activities” – per velocizzare il “Privacy Shield 2.0”. Le aziende lo attendono dalla sentenza Schrems II di luglio 2020.
Il nuovo ordine statunitense limita la sorveglianza elettronica da parte dell’intelligence alle attività “solo nel perseguimento di obiettivi definiti di sicurezza nazionale” e indica la raccolta mirata di dati come prioritaria rispetto a quella di massa. Agli europei sarebbe poi permesso di presentare un reclamo all’Office of the Director of National Intelligence in caso di sospetta violazione dei nuovi standard di raccolta dati. Ipotizzato anche un secondo step: l’appello alla Corte di revisione della protezione dei dati, un tribunale indipendente da creare ex novo con giudici esperti in materia di privacy e sicurezza nazionale rigorosamente esterni al governo USA. Questo organo avrebbe il potere di indagare anche all’interno delle agenzie di intelligence USA e di cancellare dati in caso di avvenuta e comprovata violazione.
Quello che oltreoceano viene considerato un primo passo importante, non convince l’UE. Per il BEUC (Bureau Européen des Unions de Consommateurs) è “probabilmente ancora insufficiente a proteggere la privacy e i dati personali degli europei”.
Le perplessità riguardano diversi punti. Rispetto al GDPR il quadro USA appare impreciso, per esempio quando parla di attività di intelligence considerate necessarie “sulla base di una ragionevole valutazione di tutti i fattori pertinenti” e da condurre “solo nella misura e con modalità proporzionate alla priorità di intelligence convalidata”. Concetti chiave come “proporzionato”, “ragionevole” e “necessario” non misurabili saranno interpretati da USA e UE in modo equivalente?
Salta agli occhi anche la mancanza di chiari divieti per la raccolta in massa e il via libera a comunicazioni promozionali di soggetti terzi rispetto alle contitolari, anche automatizzate. Seppur apprezzata l’introduzione dell’organo indipendente di valutazione, resta un altro passaggio critico: è da verificare che lo sia realmente.
Al di là delle osservazioni puntuali, emerge una generale diffidenza verso la mossa USA al solo sentire parlare di Executive Order (EO) e non di una vera e propria legge. Poco rassicurante, per molti esperti europei, anche la mancanza di una normativa federale dedicata, a tutela della protezione dei dati personali. L’intenzione di realizzarla non si è mai trasformata in fatti, lasciando si creasse una situazione in cui anche solo la definizione di dato personale e di soggetto interessato spesso non coincidono con la normativa UE.
Per ora la Commissione si è impegnata ad avviare il processo di adozione di una determinazione di adeguatezza. Prima di parlare di reale passo avanti nel Privacy Shield 2.0 si dovrà passare anche attraverso l’opinione, non vincolante, dell’EDPB e ottenere l’approvazione di un comitato composto da rappresentanti degli Stati Membri. Un “okay” non scontato e né immediato, considerando i tanti mesi di analisi che è costato ottenere un simile parere per il ben più lineare caso UK.