I
La libera circolazione dei dati.
Il diritto del commercio internazionale è la risposta adeguata?
Vincenzo Zeno-Zencovich
SOMMARIO: 1. Il problema - 2. Il quadro di riferimento del commercio internazionale. - 3. Una valutazione critica dellâapproccio del commercio internazionale. - 4. ImpraticabilitĂ dei principi MFN, NT e TBT. - 5. Alcune soluzioni provvisorie - 6. Le sedi istituzionali.
1. Il problema
La libera circolazione dei dati [di seguito anche FFD â acronimo di âFree Flow of Dataâ] è una delle principali preoccupazioni nelle relazioni politiche ed economiche internazionali. Nellâultimo decennio ci sono stati segni crescenti di ânazionalismo dei datiâ1 e di âbalcanizzazione dei datiâ2.
La formalizzazione normativa di tale tendenza è ben rappresentata dallâarticolo 3 del regolamento UE 679/2016, il Regolamento generale sulla protezione dei dati (di seguito anche âGDPRâ o âRegolamentoâ)3 in base al quale
Ambito di applicazione territoriale
- Il presente regolamento si applica al trattamento dei dati personali effettuato nellâambito delle attivitĂ di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nellâUnione, indipendentemente dal fatto che il trattamento sia effettuato o meno nellâUnione.
- Il presente regolamento si applica al trattamento di dati personali di interessati che si trovano nellâUnione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nellâUnione, quando le attivitĂ di trattamento riguardano:
- lâofferta di beni o la prestazione di servizi ai suddetti interessati nellâUnione, indipendentemente dallâobbligatorietĂ di un pagamento dellâinteressato; oppure
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo allâinterno dellâUnione.
- Il presente regolamento si applica al trattamento di dati personali da un titolare del trattamento che non è stabilito nellâUnione, ma in un luogo soggetto al diritto di uno Stato membro in virtĂš del diritto internazionale pubblico.
Lâestrema ampiezza dellâambito di applicazione territoriale del Regolamento è giustificata dallâaffermazione secondo cui âil trattamento dei dati personali dovrebbe essere al servizio dellâuomoâ (Considerando n. 4) e che âI principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati di carattere personale (âdati personaliâ) dovrebbero rispettarne i diritti e le libertĂ fondamentali, in particolare il diritto alla protezione dei dati personaliâ (Considerando n. 2)4.
Gli Stati Uniti hanno prontamente risposto a tale posizione -anche per contrastare i tentativi delle aziende statunitensi di collocare i propri dati al di fuori del territorio nazionale e della giurisdizione americana - attraverso il Cloud Act del 2018 che nei suoi considerando recita:
Il Congresso considera quanto segue:
(1) Lâaccesso tempestivo ai dati elettronici detenuti da parte dei fornitori di servizi di comunicazione è una componente essenziale degli sforzi del governo per proteggere la sicurezza pubblica e combattere i reati gravi, tra cui il terrorismo.
(2) Tali sforzi da parte del governo degli Stati Uniti sono ostacolati dallâincapacitĂ di accedere ai dati memorizzati al di fuori degli Stati Uniti che sono conservati o sotto il controllo o il possesso di fornitori di servizi di comunicazione soggetti alla giurisdizione degli Stati Uniti.
(3) Inoltre, i governi stranieri cercano sempre piĂš lâaccesso ai dati elettronici detenuti dai fornitori di servizi di comunicazione negli Stati Uniti allo scopo di combattere i crimini piĂš gravi.
(4) I fornitori di servizi di comunicazione si trovano ad interfacciarsi con obblighi legali potenzialmente contrastanti, come nel caso in cui un governo straniero ordini la produzione di dati elettronici che, al contrario, la legge degli Stati Uniti potrebbe vietare ai fornitori di divulgare.
(5) La legge straniera può, analogamente, creare obblighi legali contrastanti con il capitolo 121 del titolo 18, Codice degli Stati Uniti (comunemente noto come âStored Communications Actâ), il quale richiede la divulgazione di dati elettronici che la legge straniera vieta ai fornitori di servizi di comunicazione di divulgare.
(6) Gli accordi internazionali forniscono un meccanismo per risolvere questi potenziali obblighi giuridici contrastanti laddove gli Stati Uniti e il governo straniero competente condividano un impegno comune per lo stato di diritto e la protezione della privacy e delle libertĂ civili.
La prima e principale disposizione del âCloud Actâ â la § 2713 - stabilisce in modo inequivocabile:
Un fornitore di servizi di comunicazione elettronica o di servizi di elaborazione remota deve ottemperare agli obblighi del presente capitolo al fine di conservare, eseguire il backup o divulgare il contenuto di una comunicazione via cavo o elettronica, nonchĂŠ ogni documento o altra informazione relativa a un cliente o abbonato in possesso, custodia o controllo di tale fornitore, indipendentemente dal fatto che tali comunicazioni, documenti o altre informazioni si trovino allâinterno o allâesterno degli Stati Uniti.
Sebbene i preamboli della legge statunitense e le successive decisioni della Corte di giustizia dellâUnione europea (Google v. CNIL)5 dichiarino che lâobiettivo delle due disposizioni normative è quello di evitare conflitti tra le leggi, il risultato pratico è che una base di dati può essere soggetta contemporaneamente a giurisdizioni confliggenti. In ogni caso, il conflitto è profondamente radicato nelle diverse visioni dei principali attori delle relazioni internazionali (UE, USA, RPC) e nel ruolo che i flussi di dati assumono nelle rispettive strategie geopolitiche6. Negli ultimi anni vi sono state crescenti preoccupazioni sugli effetti, attuali e futuri, di tali conflitti e la dottrina ha comunemente indicato che il contesto giuridico e istituzionale piĂš adeguato in cui risolverli sarebbe quello fornito dal diritto del commercio internazionale e dagli accordi commerciali e negoziali a livello globale o regionale. In questa direzione ci sono giĂ diversi esempi che vengono frequentemente indicati come modelli.
In questo saggio proverò ad evidenziare che, sebbene alcune istituzioni mondiali o multilaterali (come lâOMC o lâOCSE) possano essere le sedi piĂš proficue in cui elaborare soluzioni condivise ed efficaci, i principi di base del commercio internazionale che sono stati elaborati negli ultimi 75 anni non possono essere, in genere, applicati al FFD, che presenta alcune caratteristiche uniche le quali richiedono approcci e soluzioni differenti.
2. Il quadro di riferimento del commercio internazionale
Ove si cerchi di stabilire alcuni punti fermi nella libera circolazione dei dati, i principali documenti sono quelli redatti nel contesto dellâOMC e degli accordi regionali7.
Ciò pare, nel complesso, ragionevole: i dati sono essenziali per lâattivitĂ economica, sia per documentare lâattualitĂ ed il passato delle relazioni contrattuali, sia per comprendere il futuro e provare a fare delle previsioni.
Tuttavia, in uno scenario di âIndustria 4.0â i dati vengono raccolti per una molteplicitĂ di altre ragioni, principalmente per monitorare costantemente i propri dispositivi, in secondo luogo per raccogliere i dati ad essi correlati. Ad ogni modo ci troviamo spesso di fronte a un costante e ininterrotto flusso di dati. La sua interruzione impedirebbe il funzionamento dellâanalisi basata sullâinput in tempo reale e sulla risposta immediata (ad es. i dati della scatola nera di unâautomobile).
Pertanto, si possono facilmente individuare alcune lacune; la prima è costituita dal fatto che, generalmente, i flussi di dati non sono oggetto di una autonoma operazione commerciale internazionale (beni acquistati o venduti; servizi richiesti o forniti) ma sono aspetti ancillari a qualsiasi attività economica, nel senso che le imprese hanno sempre raccolto dati sui propri clienti e fornitori e sui contratti stipulati con essi.
Il secondo, consequenziale, problema è che i flussi di dati non sono facilmente classificabili come beni o servizi, e pertanto si è generata unâincertezza sul fatto che essi rientrino nel campo di applicazione del GATT o del GATS8. Si può sostenere che il primo trova applicazione quando il cuore dellâaffare è costituito dal commercio di merci? Mentre il secondo, trova applicazione quando lâattivitĂ principale è costituita dalla fornitura di servizi? O si tratta di un caso di baratto internazionale (o countertrade)9?
Inoltre, in molti servizi online i dati (sia personali che metadati) costituiscono il corrispettivo per i servizi forniti. A questo flusso sono applicabili le disposizioni contenute nei trattati commerciali internazionali o nellâAccordo del FMI che regola le restrizioni sui pagamenti e le esportazioni di valuta?
Alcune disposizioni sono ancora piĂš specifiche e sono generalmente citate dalla letteratura in materia:
- lâAllegato del 1997 al protocollo OMC sullâaccesso al mercato delle telecomunicazioni di base afferma (§ 5) che ai membri è concesso lâaccesso e lâutilizzo delle reti pubbliche di telecomunicazione a condizioni non discriminatorie per la fornitura di vari servizi, tra cui âla trasmissione di dati, che tipicamente comporta la trasmissione in tempo reale di informazioni fornite dal cliente tra due o piĂš puntiâ;
- la stessa disposizione stabilisce (lettera c) che i fornitori di servizi possono utilizzare reti di telecomunicazione per lo spostamento di informazioni allâinterno e attraverso le frontiere e per lâaccesso alle informazioni contenute nelle banche dati;
- tuttavia (lettera d), i membri possono adottare misure âal fine di garantire la sicurezza e la riservatezza dei messaggiâ purchĂŠ ciò non costituisca un ingiustificato mezzo di discriminazione o una ârestrizione mascherata sullo scambio di serviziâ10.
Le disposizioni dellâAllegato sulle Telecomunicazioni allâAccordo sugli Scambi di Servizi del WTO sono sostanzialmente ripetute nei capitoli 13 e 14 del âComprehensive and Progressive Agreement for Trans-Pacific Partnershipâ, che ha sostituito il TPP originale dopo che gli Stati Uniti, nel 2017, hanno ritirato la propria firma. In particolare, lâarticolo 14.13 dellâaccordo, rubricato âUbicazione delle Strutture Informaticheâ, stabilisce che:
1. âLe Parti riconoscono che ciascuna Parte può stabilire i propri requisiti normativi relativi allâuso delle strutture informatiche, ivi inclusi i requisiti finalizzati a garantire la sicurezza e la riservatezza delle comunicazioni.
2. Nessuna Parte può richiedere ad una entitĂ di utilizzare o individuare strutture informatiche nel territorio di tale Parte come condizione per condurre la propria attivitĂ in tale territorioâ.
A livello regionale si può citare il âSystem APEC (Asia-Pacific Economic Cooperation) Cross-Border Privacy Rules (CBPR)â11. Sebbene si tratti di linee guida non vincolanti, esse forniscono indicazioni utili su come bilanciare i diversi interessi, ovvero da un lato proteggere le informazioni personali da abusi e intrusioni indesiderate mentre, dallâaltro lato, consentire alle organizzazioni globali di raccogliere, accedere, utilizzare ed elaborare i dati allâinterno dei paesi membri. Il sistema si basa su quattro fasi: i. autovalutazione da parte dei soggetti impegnati nella circolazione transfrontaliera dei dati; ii. valutazione della adeguatezza da parte dellâAPEC; iii. riconoscimento, lâaccettazione e la catalogazione in un elenco di enti conformi; iv. procedure per lâenforcement e la risoluzione delle controversie.
Il âUS, Mexico, Canada Trade Agreementâ (USMCTA) del 2019, che punta a sostituire il NAFTA, stipulato tra gli stessi tre paesi, dedica il capitolo 19 al âCommercio Digitaleâ12 e fa esplicito riferimento al Sistema APEC-CBPR, con alcune importanti specificazioni come, ad esempio, lâattribuzione della qualifica di ârestrittiveâ a quelle misure basate su obiettivi politici che risultano non conformi qualora siano poste âa scapito dei fornitori di servizi di unâaltra Parteâ (art. 19.11 nt. 5). LâAccordo, allâarticolo 19.12, riporta, sotto la medesima rubrica, la medesima disposizione presente nel âComprehensive and Progressive Agreementâ: âNessuna Parte può richiedere ad una entitĂ di utilizzare o costruire strutture informatiche nel territorio di tale Parte come condizione per condurre la propria attivitĂ in tale territorioâ.
Un altro testo che può essere tenuto in considerazione è lâaccordo economico e commerciale globale UE-Canada (CETA) che contiene numerose disposizioni relative alla circolazione transfrontaliera delle informazioni13.
3. Una valu...