Il trasferimento internazionale dei dati è uno dei temi fondamentali per l’abilitazione dell’ecosistema digitale.
Dal 2020, gli operatori economici che operano nel contesto del trasferimento di dati tra Unione Europea e Stati Uniti si trovano a fronteggiare una profonda incertezza normativa.
La sentenza della Corte di Giustizia dell’Unione Europea, nota come Schrems II, ha sostanzialmente invalidato l’accordo bilaterale EU-US Privacy Shield, che forniva la base giuridica richiesta dal Regolamento Generale (UE) per la Protezione dei Dati Personali (GDPR), per trasferire i dati personali dei cittadini UE verso gli Stati Uniti e sanciva l’impegno statunitense a garantire adeguata protezione a tali dati.
L’accordo stabiliva inoltre un meccanismo di autocertificazione per le società stabilite negli Stati Uniti che intendevano ricevere dati personali dall’Unione Europea, garantendo quindi certezza e affidabilità dei processi di trasferimento.
InnovUp ha riunito un Tavolo di lavoro interno specifico sul tema. Il confronto trasversale tra imprenditori e professionisti provenienti da ambiti e settori differenti ha permesso di circoscrivere meglio la questione del Trasferimento internazionale dei dati e identificarla quale punto critico comune a tutta la filiera, che influenza e limita le diverse realtà in un ambito precompetitivo.
È visione comune e condivisa che l’attuale situazione di incertezza stia creando difficoltà e sfiducia tra gli attori economici innovativi, dalle startup alle grandi aziende del nostro Paese e multinazionali.
L’assenza di un “ombrello normativo” di tutela comune per gli attori europei costringe le aziende ad adempimenti gravosi e a eccessiva prudenza, atteggiamenti che si traducono per le piccole imprese troppo spesso in una rinuncia a intraprendere strade ambiziose e di potenziale crescita, scalabilità e accesso a mercati più ampi di quello di appartenenza.
Siamo fermamente convinti che regolamentare il trasferimento dei dati in modo chiaro e risolutivo sia necessario al fine di garantire un quadro armonizzato per tutte le imprese che operano sul territorio europeo e, consequenzialmente, per incrementare la competitività delle stesse su scala globale. Reputiamo pertanto fondamentale concludere il prima possibile un accordo tra UE e Stati Uniti che soddisfi le esigenze di tutti gli attori, garantendo sicurezza e stabilità ai cittadini e al tessuto imprenditoriale.
Infatti,la costruzione di una base solida e di standard condivisi facilita il bilanciamento dei diritti e assicura una compliance condivisa “by default” che ripristini un nuovo clima di fiducia nella pratica dello scambio di dati Oltreoceano, che l’attuale compliance bottom-up (cioè affidata alle pratiche delle singole aziende, e non su una regolamentazione affidabile) porta troppo spesso, per timore, a bloccare sul nascere.
Abbiamo accolto con favore il raggiungimento di un accordo di principio sul trasferimento di dati extra UE, basato sull’impegno degli Stati Uniti ad adeguare il quadro regolatorio ai criteri privacy stabiliti dal GDPR, annunciato lo scorso 25 marzo da Joe Biden e Ursula Von Der Leyen hanno annunciato il raggiungimento
Nonostante questo primo importante passo, la strada è ancora lunga: quando pubblicato, il testo dell’accordo diventerà parte della c.d. “Decisione di Adeguatezza” della Commissione, successivamente esaminata dal Parlamento Europeo e dal Board Europeo dei Garanti Privacy e definitivamente approvato dagli stati membri. Saranno necessari almeno quattro mesi per concludere il processo di adozione e ripristinare la regolarità dei flussi transatlantici di dati a beneficio di tutte le imprese, cittadini e organizzazioni che vi fanno affidamento.
Il Tavolo di lavoro continuerà a lavorare attivamente per fornire un contributo auspicabilmente utile al dibattito e supporto alle Istituzioni nell’individuare soluzioni capaci di rendere il terreno innovativo italiano ed europeo fertile nel lungo periodo, con l’obiettivo di contribuire alla realizzazione di un ecosistema regolamentare in grado di favorire la crescita e la competitività delle realtà digitali europee.
—-
Per approfondire:
CONTESTO
Ai sensi del GDPR, i trasferimenti extra-UE dei dati possono essere effettuati sulla base di una decisione di adeguatezza della Commissione Europea, ovvero, in assenza di tale decisione, dalle cosiddette Clausole Contrattuali Standard (SCC) o dalle Binding Corporate Rules (BCR).
Il 16 luglio 2020, con la Sentenza Scherms II, la Corte di Giustizia dell’Unione Europea ha invalidato lo scudo UE-USA per la privacy (EU-US Privacy Shield), che era stato creato attraverso una decisione di adeguatezza della Commissione Europea. Al contempo, ha confermato la validità delle SCC per il trasferimento dei dati personali al di fuori dell’UE/SEE in assenza di una decisione di adeguatezza.
Tuttavia, pur confermando la validità delle SCC, la Corte ha precisato che il loro utilizzo non determina di per sé la legittimità del trasferimento: al contrario, anche quando vengano utilizzate le SSC, il trasferimento dei dati al di fuori dell’UE/SEE è legittimo solo se il titolare può assicurare un livello di protezione equivalente a quello stabilito nel GDPR – di fatto assumendosene la responsabilità.
Questo ha comportato una situazione di profonda incertezza giuridica per gli operatori economici innovativi, che aspirano ad accrescere e consolidare i loro rapporti commerciali internazionali, e con gli Stati Uniti nello specifico.
Infatti, per quanto le SCC siano rimaste valide, queste caricano il titolare del trattamento di importanti responsabilità, poiché esso diventa responsabile del controllo sull’adeguatezza della protezione dei dati nello Stato terzo di destinazione, ed è tenuto ad adottare misure supplementari che completino la protezione delle informazioni senza ulteriori indicazioni da parte delle autorità competenti.
Quando la “valutazione dell’adeguatezza dell’ordinamento di destinazione dei dati”, è svolta autonomamente, le imprese si trovano quindi a svolgere verifiche sull’adeguatezza della normativa del Paese ricevente per cui non hanno le necessarie competenze e risorse facendo venir meno, sin dalle prime fasi, le possibilità di espansione del proprio business.
ALCUNI DATI
Le attuali decisioni politiche sul trasferimento transatlantico di dati avranno effetti significativi sulla crescita e l’occupazione in tutta l’economia europea entro il 2030, con un impatto sugli obiettivi del Decennio Digitale europeo.
Secondo diversi studi, complessivamente, l’Europa potrebbe crescere di 3 trilioni di euro entro la fine del Decennio Digitale (2030) se venissero invertite le tendenze attuali e fossero sfruttate a pieno le opportunità legate al trasferimento internazionale di dati.
Il settore che rischia le perdite più significative è quello dell’innovazione in ambito manifatturiero, che, secondo la Relazione annuale sullo stato di attuazione e l’impatto delle policy a sostegno di Startup e PMI innovative del Ministero dello Sviluppo Economico al Parlamento pubblicata lo scorso 02 febbraio 2022 , nel 2020 ha visto operanti il 15,9% delle startup innovative e il 21,7% delle PMI innovative del nostro Paese. Partendo quindi dai dati presentati nella Relazione, si può stimare una perdita di 60 miliardi di euro di esportazioni.
In proporzione, i media, la cultura, la finanza, l’ICT e la maggior parte dei servizi alle imprese, come la consulenza, sono quelli che subiranno le maggiori perdite – circa il 10% delle loro esportazioni e attività all’estero. Questi settori rappresentano, secondo i dati della Relazione 2021, rispettivamente il 54,7% per le startup innovative italiane e il 39,2% per le PMI innovative.
Questi stessi comparti sono quelli che guadagnerebbero di più se venisse invertito l’approccio attuale, secondo cui il trasferimento e flusso di dati è reso più oneroso e difficoltoso.
PER ULTERIORI INFORMAZIONI E PER RICEVERE LA VERSIONE INTEGRALE DEL POSITION PAPER PRODOTTO DAL GRUPPO DI LAVORO, SCRIVI A: info@innovup.net