Julie Brill, Chief Privacy Office di Microsoft, interpellata dall’International Bar Association, la principale associazione a livello mondiale di professionisti del mondo legale, ha recentemente affermato che “lo tsunami normativo sta arrivando”, riferendosi al fatto che è ormai giunto il momento, non più rinviabile, che anche le aziende tecnologiche adottino una normativa di protezione dei dati nell’interesse dei propri clienti/consumatori. “Finora le aziende tecnologiche hanno affrontato normative meno esigenti rispetto a quelle che devono osservare i costruttori di automobili o di aerei, ma la pandemia degli ultimi anni ha rafforzato la determinazione del settore – afferma Brill – a operare in modo più responsabile”.
Ma quale normativa sulla protezione dei dati dovrebbe essere adottata?
Digital Markets Act (DMA), c’è l’accordo tra Consiglio e Parlamento UE: le nuove regole
Indice degli argomenti
La necessaria tutela dei dati sensibili
Stefano Rodotà in occasione della 26esima Conferenza Internazionale sulla Privacy e Protezione dei Dati, già nel 2004, sollevava la questione della contrapposizione tra due diversi modi di concepire la privacy: quello europeo, sostanzialmente fondato sull’idea di dignità, e quello americano, incentrato sull’idea di libertà, evidenziando che questa contrapposizione tra dignità e libertà di fatto non esiste.
Nella Carta dei diritti fondamentali dell´Unione europea, il diritto alla protezione dei dati è collocato proprio nella parte riguardante la libertà (Capo II, Articolo 8).
“La tutela dei dati sensibili è divenuta componente essenziale dell’uguaglianza, per evitare la discriminazione; la tutela dei dati sanitari è una tutela per la salute, e la tutela dei dati sulle opinioni è premessa per esercitare le libertà di espressione. Il modello europeo si è nel tempo evoluto”, – scriveva Rodotà – “affiancando alla tutela dell’intimità e della segretezza l’obiettivo di contrastare le discriminazioni: così cambia profondamente la funzione socio-politica della privacy, che si proietta ben al di là della sfera privata, divenendo elemento costitutivo della cittadinanza del nuovo millennio”.
Anche nel modello americano ritroviamo elementi che collegano la libertà alla dignità dove troviamo riferimenti alla privacy “come la richiesta di strumenti sociali che ci mettano al riparo dal rischio d´essere semplificati, oggettivati e giudicati fuori contesto”.
“Nel quadro della privacy, la dignità si precisa come un concetto riassuntivo dei principi di riconoscimento della personalità e di non riduzione a merce della persona” – continua Rodotà – ”La logica economica non può legittimare la riduzione a merce delle informazioni personali”.
Queste parole sono però in parte cadute nel vuoto. Oggi i nostri dati personali sono più che mai diventati “merce di scambio per la fruizione di ogni genere di servizio e sono sfruttati commercialmente per produrre ricchezza nella dimensione commerciale, imprenditoriale e professionale” (Guido Scorza, qui).
I nostri dati personali rappresentano però anche la nostra identità, il modo in cui ci poniamo con noi stessi, in una dimensione individuale e intimistica, la nostra dimensione sociale, ovvero il rapporto con gli “altri”.
Privacy: una sfida per le istituzioni a livello globale
La sfida per le istituzioni a livello globale è oggi quella di trovare oggi il giusto equilibrio tra il diritto di privacy e il profitto, e questo equilibrio sarà fondamentale per garantire che le aziende tecnologiche possano continuare a innovare in modo responsabile, in modo che la tutela dei dati personali sia condizione per realizzare il diritto all’uguaglianza, alla salute, alla libertà, alla non interferenza.
Come sosteneva Stefano Rodotà, “La privacy non è un ostacolo, ma la via grazie alla quale le innovazioni scientifiche e tecnologiche possono legittimamente entrare nelle nostre società e nelle nostre vite”. Così come sostiene Julie Brill, le scelte per le aziende tecnologiche e le istituzioni nel mondo non sono più procrastinabili.
Sono molti gli esperti che ritengono che il Regolamento Europeo 2016/679 o GDPR sia il punto di riferimento a cui guardare per la regolamentazione della privacy nel mondo.
La normativa sui dati personali negli USA
Peraltro, negli Stati Uniti, da tempo il Congresso non riesce ad aggiungere un accordo secondo cui indirizzare gli sforzi verso una legge federale, comune a tutti gli stati della confederazione.
A lungo la California, la cui legge privacy è probabilmente la più rigorosa negli Stati Uniti, è stata considerata un modello da prendere ad esempio per la costituzione di una legge federale americana, ma mai come oggi la legge federale “unica” sembra lontanissima: più di 30 stati, attualmente, stanno introducendo disegni di legge sulla privacy e stanno lavorando per avere una propria legge statale.
Proprio in questi giorni lo Utah è in procinto di approvare un disegno di legge sulla privacy, il Consumer Privacy Act (UCPA): se questo avverrà si tratterà del quarto stato americano, dopo la California (California Consumer Privacy Act – CCPA e California Privacy Rights Act – CPRA), Virginia (Virginia Data Privacy Act – VCDPA) e Colorado (Colorado Privacy Act – CPA).
Tutela dei dati personali nel Regno Unito dopo Brexit
Nel Regno Unito, dopo la Brexit, ovvero l’uscita della Gran Bretagna dalla Comunità Europea, ci si prepara a varare una nuova legge sulla protezione dei dati: il nuovo UK Information Commissioner John Edwards, entrato in carica il 4 Gennaio 2022, ed ex commissario per la privacy in Nuova Zelanda, è stato incaricato di guidare il Paese nella transizione verso il nuovo regime della protezione dei dati.
Il 28 giugno 2021 l’UE ha adottato la tanto attesa “decisione di adeguatezza” per il Regno Unito, garantendo che la libera circolazione dei dati tra l’UE e il Regno Unito potesse continuare dopo la Brexit.
Ma la decisione di adeguatezza include una “sunset clause”, che fissa la validità dell’atto in quattro anni (27 giugno 2025), trascorsi i quali, se il Regno Unito dovesse allontanarsi dal tipo di protezione che la Commissione ha considerato “adeguato”, tale decisione potrebbe essere revocata, con comprensibili contraccolpi per le imprese inglesi.
Tsunami normativo in arrivo?
La “deviazione” potrebbe, ad esempio, essere causata da un cambiamento legislativo, ma anche dalle decisioni della giurisprudenza inglese. La sentenza del Novembre 2021 della Corte Suprema nella causa Lloyd vs Google, non getta certo acqua sul fuoco, anzi. Il caso nasce dal cosiddetto “Safari workaround”, ovvero un espediente (“workaround”) con il quale Google ha evitato il controllo sui cookies effettuato dal browser Safari, fornito con i sistemi operativi di Apple, e ha inserito nei dispositivi degli utenti alcuni cookie di tracciamento a loro insaputa.
Per questa violazione, Google è stata multata dalla Federal Trade Commission (FTC) per 22,5 milioni di dollari, e ha versato ulteriori 17 milioni di dollari di risarcimento a 37 stati americani.
Lloyd ha presentato contro Google una class action rappresentando appunto oltre quattro milioni di utenti (facenti parte del gruppo “Google You Owe Us”, letteralmente “Google ce lo devi”) colpiti da questa violazione e residenti in Inghilterra o nel Galles, violazione che ha perdurato per un periodo di 10 mesi fino a Febbraio 2012. Lloyd ha chiesto un risarcimento di 700 sterline per ciascun ricorrente, basandosi sul fatto che ognuno di loro “aveva perso il controllo delle informazioni generate dal suo browser” e poiché le informazioni raccolte e aggregate da Google hanno un valore, ciascun ricorrente avrebbe dovuto ricevere un risarcimento.
La Corte ha respinto tale tesi chiarendo che non ogni data breach o trattamento in violazione della normativa sui dati personali è in grado di dare luogo a un risarcimento, e a meno che non si possa dimostrare che la violazione ha causato un danno materiale. E la “perdita del controllo” non è abbastanza per stabilire che vi sia stato un “danno materiale”.
La Corte ha però soprattutto ribadito che la class action può essere utilizzata in UK solo se le richieste dei ricorrenti soddisfano lo “stesso test di interesse” (same interest test), in modo che il rappresentante promuova e protegga efficacemente gli interessi di tutti i membri della classe rappresentata. D’altra parte, la Corte ha anche fatto notare che non esiste nessun principio per il quale i ricorrenti debbano farsi rappresentare da una stessa persona. Tutto ciò potrebbe rendere complicato l’utilizzo di tale strumento per la maggior parte delle azioni in materia di privacy, il che potrebbe disallineare l’adeguatezza della privacy UK rispetto ai canoni UE.
L’articolo 80 del GDPR (“Rappresentanza degli interessati”) permette, infatti, a un individuo di “dare mandato a un ente senza scopo di lucro, un’organizzazione o un’associazione [-] di esercitare per suo conto i diritti di cui agli articoli 77, 78 e 79, e di esercitare per suo conto il diritto di ricevere un risarcimento di cui all’articolo 82, se previsto dalla legge dello Stato membro“.
Conclusioni
Se ci spingiamo oltre l’Europa e gli Stati Uniti, nel mondo sono molti i paesi che stanno adottando leggi sulla protezione dei dati ancora più rigorose del GDPR: pensiamo ad esempio alla Corea del Sud, alla Cina, al Brasile, che ha adottato il suo primo regolamento completo sulla protezione dei dati, e all’India che si prepara nel corso di quest’anno, il 2022, a rivedere il suo regime di protezione dei dati.
