Prospettive future: Brexit e politiche digitali del Regno Unito

Prospettive future: Brexit e politiche digitali del Regno Unito

di Stefan Soesanto, Digital Policy Fellow, ECFR

Le sfide digitali legate alla Brexit sono difficili ma chiare. Non ci sono scuse per qualsiasi passo falso politico da parte del governo May.

Lo shock della Brexit è passato, le acque si sono calmate, e con la prospettiva dell'uscita britannica dall’UE che si sta lentamente materializzando, è giunto il momento di fare il punto della situazione sulle numerose sfide che il Regno Unito dovrà affrontare in ambito digitale.

La questione di politica digitale più ampiamente discussa in relazione alla Brexit riguarda la posizione già anticipata da Londra circa l'attuazione di tre parti della legislazione dell'UE: la direttiva reti e sicurezza dell'informazione (NIS), il regolamento generale sulla protezione dei dati (GDPR) e l'UE Privacy Shield.

La direttiva reti e sicurezza dell'informazione (NIS)

Approvata dal Consiglio lo scorso maggio e adottata dal Parlamento europeo all'inizio di luglio, la direttiva NIS è entrata in vigore l'8 agosto 2016. In qualità di “primo strumento completo nella legislazione dell’Unione Europea sulla cybersecurity”, la direttiva è stata ideata per migliorare le competenze di sicurezza informatica a livello nazionale, per aumentare la cooperazione dell'Unione Europea, e per organizzare la gestione del rischio e gli obblighi di notifica degli incidenti informatici, a carico degli operatori di servizi essenziali e fornitori di servizi digitali. Secondo la Commissione europea, tutti gli Stati membri, tra cui il Regno Unito, “avranno 21 mesi di tempo per recepire la direttiva nella loro legislazione nazionale e ulteriori 6 mesi per identificare gli operatori dei servizi essenziali”. Questo fa slittare la scadenza delle domande nuovamente alla fine del 2018.

Allo stato attuale, il governo britannico si asterrà dal rendere effettivo l’Articolo 50 dei negoziati di uscita nel 2016, e in cambio solleciterà Londra ad attuare tutte le componenti della direttiva NIS secondo il diritto nazionale. Qualsiasi fallimento in questa direzione costringerebbe la Commissione europea ad avviare procedure di infrazione che potrebbero finire di fronte alla Corte di giustizia europea (CGE). Tuttavia, dal momento in cui una procedura d'infrazione richiede in media più di 2 anni e mezzo per essere risolta, oltre a un ulteriore anno e mezzo affinché uno Stato membro sia in piena conformità con la sentenza della Corte, è assai dubbio in realtà che il governo britannico venga chiamato ad affrontare eventuali conseguenze legali nel caso dovesse scegliere di ignorare la direttiva NIS.

Il non-recepimento della NIS nel diritto nazionale sarebbe comunque un passo nella direzione sbagliata. Secondo James Mullock e Simon Shooter dello studio legale internazionale Bird & Bird, “i benefici evidenti di un comune approccio globale alla minaccia alla sicurezza informatica costituirà uno stimolo per sollecitare il [Regno Unito] ad aderire alla direttiva europea NIS“. Alla fine, sia il Regno Unito che l'Unione europea possono trarre solamente benefici nell’implementazione di uno standard di sicurezza informatica comune europeo, che (1) introduca il requisito dell’obbligatorietà di comunicazione degli incidenti informatici, (2) garantisca un adeguato livello di funzionalità di sicurezza, e (3) costruisca una rete di autorità competenti, preposte allo scambio di informazioni e alla risposta agli incidenti, con la finalità di allarme precoce.

Il non-recepimento della direttiva potrebbe creare anche un precedente negativo con potenziali ricadute in altre questioni in gioco nei negoziati di uscita.

General Data Protection Regulation (GDPR): il regolamento sulla protezione dei dati generali

(GDPR) costituisce uno strumento assai differente dalla direttiva NIS. In quanto regolamento esso si “applica automaticamente e in modo uniforme a tutti i paesi dell'UE, non appena entra in vigore, senza bisogno di essere recepito nel diritto nazionale”.

Il GDPR è di fatto già attivo dal 24 Maggio 2016. La sua applicazione, però, comincerà solo nel maggio 2018, per consentire alle organizzazioni un necessario periodo di transizione, che permetta loro di rispettare pienamente le nuove esigenze di protezione dei dati.

Il GDPR è essenzialmente una revisione dei meccanismi di prevenzione dei consumatori e dei rispettivi dati all’interno dell'UE. Le variazioni più significative sono: La regola (1) un continente una legge, cioè che sarà il GDPR a “stabilire un unico insieme di regole in modo da rendere più semplice ed economico per le aziende fare affari in Europa”, (2) un sistema di one-stop-shop, in modo tale per cui “il business dovrà rendere conto ad una sola autorità di controllo sulla protezione dei dati”,  (3) norme europee in suolo europeo, in modo da costringere le aziende al di fuori dell'UE a diventare soggette al GDPR qualora si rivolgano ai consumatori nell'UE e (4) il diritto alla conoscenza sulle violazioni dei propri dati, che impone un obbligo di segnalazione per “le imprese e le organizzazioni tenute ad informare l'autorità nazionale di controllo riguardo una grave violazione dei propri dati nel più breve tempo possibile, in modo che gli utenti possano adottare le opportune le misure”.

Il mancato rispetto della GDPR viene punito con “sanzioni amministrative fino a € 20.000.000, oppure, nel caso di un'impresa, fino al 4% del fatturato annuo sul livello mondiale totale del precedente anno finanziario, a seconda di quale risulti più elevato”. Così, per qualsiasi attività commerciale del Regno Unito che operi in Europa, che commerci con il continente, che impieghi almeno un cittadino dell'UE, o che utilizzi dati comunitari in qualsiasi forma, aderire alla GDPR non diventa una scelta, ma un requisito necessario.

Attualmente, la consapevolezza del GDRP in Gran Bretagna resta molto bassa. Secondo un sondaggio del marzo 2016 realizzato da TrendMicro su un campione di 100 decision maker IT di alto livello nel Regno Unito, “un quinto (20%) […] non sono ancora a conoscenza dell'esistenza [del GDPR]”, e tra quelli che lo conoscono, quasi un terzo (29%) non ritiene che tale regolamento si applichi alla loro organizzazione”. Allo stesso modo, l’azienda di software di gestione Ipswitch ha intervistato 300 professionisti IT provenienti da Regno Unito, Germania e Francia, e ha scoperto che “solo il 12 per cento si è detto preparato per il GDPR. Nel Regno Unito, tale istantanea è ancora più evidente: solo il 5 per cento dei professionisti IT si dicono pronti al GDPR”.

Qualsiasi società britannica che ritenga, erroneamente, che il GDPR si applichi solo alle imprese dell’Europa continentale dovrà affrontare l'inevitabile conseguenza del prossimo maggio 2018.

Privacy Shield

Dopo la Brexit il governo britannico avrà particolare necessità di firmare anche un accordo di Shield Privacy con l’UE, simile al recente negoziato sulla UE-USA Shield. Lo scopo principale è quello di garantire “un livello adeguato di protezione […] per tutto ciò che concerne le singole operazioni o gli insiemi di operazioni di trasferimento di dati” da parte dell'Unione europea nei confronti del Regno Unito. L’Information Commissioner Office del Regno Unito (ICO) ha diffuso questa valutazione in un comunicato del 26 giugno, sottolineando che “se il Regno Unito intende commerciare con il mercato unico in condizioni di parità deve necessariamente dimostrare ‘congruità’ – in altre parole gli standard britannici di protezione dei dati dovranno essere equivalenti al regolamento quadro General Data Protection Regulation framework dell'Unione europea, a partire dal 2018”.

La ricerca di ‘adeguatezza’ con gli standard europei non sarà facile per il Regno Unito, come molti analisti ritengono. Ci sono almeno tre fattori che complicheranno le cose a Londra. In primo luogo, l'ancora attesa sentenza della Corte di giustizia europea sulla controversia tra il deputato leader laburista Tom Watson e il deputato conservatore David Davis (che ha ritirato il suo nome dal caso dopo essere stato nominato Segretario di Stato per l’uscita dalla UE) contro il Data Retention and Investigatory Powers Act 2014 (DRIPA) del governo britannico. In secondo luogo, l’Investigatory Powers Bill (IPB), conosciuta anche come Snooper’s Charter, che è stato introdotto dall’allora ministro, ora primo ministro, Theresa May, in reazione alla sentenza della High Court britannica sulla disapplicazione della DRIPA entro il 2016. Infine, in terzo luogo, la possibile ondata di sfide legali riguardo a qualsiasi valutazione di ‘congruità’ del Regno Unito post-Brexit, data la pubblica conoscenza di più programmi GCHQ che hanno spiato o stanno ancora spiando i trasferimenti di dati dell'UE, come rivelato da ex imprenditore NSA Edward Snowden.

Un primo colpo è già stato inferto nel luglio 2016 con la pubblicazione del parere legale non vincolante dell'avvocato generale della Corte di giustizia. Mentre l'avvocato generale ha sottolineato come la DRIPA “possa essere considerata compatibile con il diritto dell'Unione europea”, egli ha anche stabilito che per giustificare qualsiasi interferenza con la Carta dei diritti fondamentali dell'uomo (CEDU) o la direttiva dell'UE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva 2002/58) debbano essere soddisfatti molteplici requisiti. In particolare, l'avvocato generale non si è detto convinto che “la memorizzazione dei dati nella lotta a 'normali' (al contrario di 'gravi') reati” potrebbe essere ritenuta come un obiettivo di interesse generale per l'Unione europea. Inoltre, egli ha osservato come tutte le garanzie, che poggiano sul caso Digital Rights Ireland, sono obbligatorie (compresa un'autorità indipendente per la sorveglianza del rispetto dei requisiti di protezione della privacy e della sicurezza).

Se la Corte di giustizia segue le conclusioni dell'avvocato generale nella sua prossima sentenza sul DRIPA, l'impatto sulla IPB e sulla valutazione dell’‘adeguatezza’ del Regno Unito potranno costringere il governo a prendere posizione, sia che Londra decida di far passare l’IPB indipendentemente dalla sentenza della Corte di giustizia, sia attraverso le riforme del governo May alla ricerca della ‘congruità’. Max Schrems ha già espresso il suo interesse nei confronti del Regno Unito post-Brexit, sostenendo che si dovrebbe semplicemente cercare un caso in cui i dati dell'UE potrebbero eventualmente rientrare in qualche legge di sorveglianza nel Regno Unito e poi dire: “non ti è più permesso trasferire i miei dati nel Regno Unito, in quanto non posso essere sicuro che essi non siano spiati”.

In effetti, il governo britannico farebbe bene ad evitare tale scenario a tutti i costi. Se un annacquato IPB è il prezzo da pagare per il commercio con il continente, allora così sia. Anche gli Stati Uniti hanno scelto di mediare con le preoccupazioni europee per quanto riguarda i programmi e le pratiche di sorveglianza della NSA, mediante l'attuazione di: (1) La Presidential Policy Directive 28 (PPD-28), che stabilisce una serie di principi e di limiti per la raccolta dei segnali di intelligence, (2) il Judicial Redress Act (HR1428), che “consente ai  cittadini stranieri nei confini dei paesi europei di citare in giudizio gli Stati Uniti in merito alla divulgazione illecita di informazioni personali ottenute in relazione agli sforzi di rafforzamento del diritto internazionale, e (3) la USA Freedom Act (HR 2048), che “limita la raccolta di massa di dati e consente alle aziende di emettere relazioni di trasparenza sul numero approssimativo di richieste di accesso del governo.”

Tracce sulla sabbia

D’ora in avanti spetterà al governo May il compito di guidare con prudenza la Gran Bretagna attraverso queste tre sfide. Nel bene e nel male, le linee sono chiaramente tracciate sulla sabbia e non ci sono scuse per qualsiasi passo falso.