La decisione di adeguatezza su Taiwan: privacy o geopolitica?
In uno scenario internazionale sempre più segnato dai contrasti su confini e sovranità, l’UE è attesa da una prova importante anche sul piano della protezione dati, tra privacy e politica internazionale
di Simone Napoli
I tragici eventi delle ultime settimane hanno reso più attuale che mai un tema che ha secoli di storia: la definizione dei confini nazionali, l’indipendenza delle nazioni e la conquista dell’autonomia di uno stato e di un popolo. Nel corso di queste settimane, questa tematica è all’ordine del giorno di moltissimi governi del mondo, ma era già un tema in agenda per l’Unione Europea, su un tavolo senz’altro meno delicato ma che merita comunque di essere raccontato: quello della valutazione d’adeguatezza di Taiwan come paese importatore di dati personali europei.
Taiwan, negli scorsi mesi, ha richiesto alla Commissione Europea di pronunciarsi sull’adeguatezza della sua legislazione in materia di protezione dati, rappresentata dal Personal Data Protection Act (“PDPA”) adottato nel 2010 e revisionato a fine 2015 e dall’Enforcement Rules of the Personal Data Protection Act (“Enforcement Rules”) del marzo 2016 [1].
La Commissione non ha ancora preso una decisione, ma già oggi il tema offre degli spunti di assoluto interesse sia sotto il profilo giuridico che sul versante politico.
Come noto, in base all’art. 45 del GDPR, la Commissione Europea valuta l’adeguatezza del livello di protezione che un paese accorda ai dati personali sulla base, in particolare, del rispetto dei diritti umani e delle libertà fondamentali; prendendo in esame le norme per il trasferimento successivo dei dati personali verso un altro paese terzo; l’esistenza di diritti effettivi e azionabili degli interessati; la presenza di autorità di controllo indipendenti; gli impegni internazionali assunti dal paese e la partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali; nonché la legislazione in materia di sicurezza e difesa nazionale, l’esistenza di meccanismi di cooperazione con le autorità di protezione degli stati europei (considerando 104) e, in ultimo (considerando 105), l’adesione del paese alla convenzione del Consiglio d’Europa del 28 gennaio 1981 (Convenzione 108), sul trattamento automatizzato [2].
La decisione della Commissione ha effetto (considerando 103) per l’intera Unione ed è oggetto di periodico riesame, almeno ogni quattro anni, in base agli sviluppi pertinenti nel paese terzo, verificati su base continuativa.
Chi conosce la situazione geopolitica di Taiwan e, segnatamente, i rapporti con la Cina di Xi Jinping, leggendo questi criteri di valutazione, non potrà fare a meno di sorridere (amaro).
Taiwan è un territorio di 24 milioni di abitanti, sito a 150 chilometri dalle coste meridionali della Cina: una piccola isola, estesa come Sardegna e Corsica messe insieme, ma con un PIL da prime venti economie mondiali, superiore per intenderci a quello di Svizzera, Svezia e Arabia Saudita.
Sul fronte tech, rappresenta uno dei maggiori poli mondiali, essendo uno straordinario produttore di semiconduttori: da sola, arriva a gestire tra il 40 e il 60% dell’intero mercato globale dei microchip (la forbice è così ampia perché dipende dalla specifica categoria di chip a cui ci riferiamo), e l’85% dei semiconduttori più avanzati, utilizzati dall’industria tecnologica civile e militare [3].
Pressoché tutti i contatti montati sulle schede dei nostri smartphone provengono da Taiwan (dal 2012, la TSMC – la Taiwan Semiconductor Manufacturing Company – è primo fornitore di Apple, oltre che di Huawei), e lo stesso vale per i chip montati sui sistemi di pilotaggio di molti aerei e sulla strumentazione di sicurezza dei reattori, nelle centrali nucleari [4].
Forse più per queste ragioni che per i motivi politico-culturali di cui si dirà a breve, la Cina non ha mai accettato di riconoscere l’indipendenza di Taiwan; al contrario, Xi Jinping ha affermato che “la riunificazione è doverosa, necessaria, inevitabile”. Taiwan è infatti considerata “una provincia ribelle fin da quando sulla terraferma le forze nazionaliste di Chiang Kai-shek vennero sconfitte dagli uomini di Mao Zedong al termine della guerra civile cinese (1945-49) e si rifugiarono sull’isola”.
A ben vedere, Taiwan non è stata sempre un’appendice della nazione cinese: i più antichi abitanti dell’isola solo un’etnia indigena, frutto di diverse migrazioni dal continente asiatico avvenute tra 30.000 e 6.000 anni fa, anche se, ad oggi, l’etnia autoctona è ridotta al 2% della popolazione. L’ultima dinastia imperiale ha fatto di tutto per affermare la propria sovranità, per impedire in particolare al Giappone di protrarre il suo controllo sull’isola, sua colonia nell’800 e utilizzata dai nipponici come avamposto per influire sui traffici commerciali strategici delle navi che muovono sulla rotta est-ovest [5].
Ciononostante, la Cina si è dimostrata sempre avversa al riconoscimento di una qualsivoglia autonomia, anche facendo leva sul fatto che l’ultima invasione esterna, quella del 1949, abbia avuto come protagonisti proprio i cinesi sconfitti da Mao.
Ha pertanto da sempre diffidato i governi di Taiwan dal procedere ad ogni rivendicazione d’indipendenza e la Comunità internazionale dall’appoggiare tali rivendicazioni, richiamando in particolare la situazione europea della Catalogna, con Madrid che ignorò il responso del referendum e dell’assemblea legislativa catalana, arrestando anche alcuni politici locali, senza che USA e UE esprimessero alcun giudizio di condanna [6].
Tanto premesso, si hanno sufficienti elementi per comprendere, da un lato, il coraggio dimostrato da Taiwan nell’avanzare la sua candidatura per la valutazione di adeguatezza, dall’altro l’imbarazzo in cui è ipotizzabile si trovino i membri della Commissione nel valutare, non tanto il livello di protezione dei dati personali o l’indipendenza delle Autorità di Controllo nell’adempimento delle loro funzioni, ma soprattutto la possibilità reale per Taiwan di opporsi ad un’eventuale ingerenza cinese.
Al di là degli aspetti di merito della questione, ovvero dell’adeguatezza legislativa di Taiwan, vale la pena di osservare che già sarebbe una notizia la circostanza che la Commissione accettasse di vagliare la sua richiesta, poiché questo significherebbe un implicito riconoscimento dell’identità statale del soggetto richiedente; anche se, a ben vedere, la normativa non vincola in modo così stringente la Commissione, considerato che l’art. 45 del GDPR consente di esaminare il livello di protezione riconosciuto ai dati personali, non solo da un “paese” terzo, ma anche da “un territorio o uno o più settori specifici all’interno del paese”.
Dopotutto, già esiste un precedente simile: quello del Guernsey, ovvero del “baliato che costituisce” – recita la decisione di adeguatezza della Commissione, del 21.11.2003 e così quella del 28.4.2004 sull’Isola di Man, rispetto alla Direttiva 95/46/CE – una “dipendenza della Corona britannica (senza essere una zona del Regno Unito né una colonia) ma completamente indipendente, tranne che per le relazioni internazionali e la difesa, di competenza del governo britannico”, e che – conclude la Commissione – “va dunque considerato un paese terzo ai fini della direttiva”.
Pur prendendo le mosse da temi di data protection, la decisione dovrà quindi andare ben oltre il mero contenuto dispositivo del “Personal Data Protection Act” (“PDPA”) e delle “Enforcement Rules” di Nanchino: dovrà spingersi a valutazioni geopolitiche di più ampio respiro.
Forse però, già da anni la Commissione si stava preparando a farlo: nella “Comunicazione della Commissione al Parlamento europeo e al Consiglio” del 10 gennaio 2017 su “Scambio e protezione dei dati personali in un mondo globalizzato” [7], la Commissione definiva Guernsey, Jersey e Isola di Man come “paesi”, quanto meno ai fini della valutazione sul livello “nazionale” di protezione dei dati personali. E già da allora aveva registrato manifestazioni d’interesse provenienti dall’Asia orientale, quando (p. 2) aveva accennato a “paesi” e “organizzazioni regionali” al di fuori dell’UE, “che stanno adottando una nuova normativa in materia di protezione dei dati personali al fine di cogliere le opportunità offerte dall’economia digitale a livello mondiale e rispondere alla crescente domanda di sicurezza dei dati”.
Sebbene già all’epoca avesse riconosciuto le innegabili “differenze tra i paesi quanto all’impostazione e al livello di evoluzione normativa”, la Commissione aveva espresso comunque piena apertura nei confronti dei (p. 9) “principali partner commerciali in Asia orientale e sudorientale, a partire dal Giappone e della Corea nel 2017 […] che hanno manifestato l’interesse a sottoporsi ad un accertamento di adeguatezza”.
Non resta dunque che attendere la sua decisione, ed osservare come dirimerà il caso, magari seguendo lo schema già prefigurato nel 2017 quando accennava, per i casi in cui non fosse praticabile un “approccio su scala nazionale”, a una soluzione in termini di “adeguatezza parziale o settoriale (ad esempio per i servizi finanziari o l’informatica) limitata ad aree geografiche o settori”.
Sarà ineludibile, in ogni caso, per la Commissione, una valutazione ben più ampia che sul mero tema giuridico; e in ogni caso sarà una notizia, almeno fino ai prossimi capovolgimenti in estremo oriente.
[1] https://www.dataguidance.com/notes/taiwan-data-protection-overview
[2] https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679
[3] “Fermare Pechino. Capire la Cina per salvare l’Occidente”, F. Rampini, Mondadori 2021
[4] ibidem, p. 66
[5] ibidem, p. 67
[6] ibidem, p. 68
[7] https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52017DC0007&from=it