L’impatto del Regolamento sulle legislazioni dei Paesi extraeuropei

di Giada Iovane -

Il Regolamento generale sulla protezione dei dati (GDPR) si avvicina a compiere il suo secondo anno di vita: adottato nell’aprile del 2016 è in vigore dal 25 maggio per l’esattezza, data entro cui la Commissione europea, nel 2020 presenterà una relazione sul Regolamento. Ai sensi dell’art. 97 è infatti previsto che la Commissione entro il 25 maggio 2020 e, successivamente, ogni quattro anni, trasmetta al Parlamento europeo e al Consiglio relazioni di valutazione e sul riesame del Regolamento stesso.
Specificamente, l’art. 97 par. 2 lett. a), afferma la necessità di relazionare sul capo V, ossia sul trasferimento di dati verso paesi terzi o organizzazioni internazionali, con particolare riguardo alle decisioni adottate ai sensi dell’art. 45 par. 3.
Il presente scritto si propone quindi di effettuare una breve disamina dei rapporti del GDPR – regolamento europeo – con paesi extra UE, nonché la sua influenza sulla legislazione degli stessi nell’ambito della tutela dei dati personali.
Nella produzione legislativa dell’Unione Europea, il Regolamento rappresenta senza dubbio un fondamentale tassello, nonché il più celebre atto legislativo degli anni più recenti, che si appresta a fornire una regolamentazione equilibrata, completa ed uniforme per tutti gli Stati membri.
Si tenga conto però di un dato fondamentale: il GDPR è un progetto a lungo termine, che segna uno spartiacque nel modo di concepire e fruire dei dati personali, alla luce dell’inarrestabile progresso tecnologico.
Un’analisi critica recente sul tema, arriva da parte di un autorevole quotidiano newyorkese (New York Times, 27.04.2020), che ritiene che “iniziata la nuova era, il GDPR non abbia poi realmente avuto la concreta applicazione prevista”.
Secondo tale analisi il GDPR è un cane che abbaia ma che non sa mostrare i suoi denti: Google a maggio 2018 è stato l’unico gigante ad essere sanzionato con una multa da 50 milioni di euro, mentre, per i singoli utenti di internet il Regolamento avrebbe solo “aumentato il proliferare di finestre pop-up da cliccare quando si visita un sito web”.
Ciò nonostante, il Regolamento è stato capace di creare una reale “coscienza” di massa sull’importanza dei dati personali, costringendo così molte aziende a dotarsi di adeguate politiche al fine di conformarvisi e non è un caso che sono molti i Paesi che hanno preso come modello il GDPR: il Brasile, il Giappone, l’India e, tra gli Stati americani la California, regno dello sviluppo tecnologico mondiale.
Inoltre i giganti Amazon e Facebook hanno dichiarato che l’impegno ai principi del Regolamento europeo ha reso le politiche più chiare, le impostazioni sulla privacy più facili da trovare (Facebook) e ha spinto Amazon a rendere disponibile una nuova pagina in tema privacy per i propri utenti.
Una delle normative che più si ispira a quella europea è – come detto – stata emanata dallo Stato della California nel 2018, il California Consumer Privacy Act (CCPA). La nuova legge garantisce ai consumatori il diritto di sapere quali informazioni le società stanno raccogliendo su di loro, perché raccolgono tali dati e con chi li condividono. Offre, in più, ai consumatori il diritto di chiedere alle aziende di eliminare le proprie informazioni e di non vendere o condividere i propri dati, tutela maggiormente rispetto al passato i dati dei minori e rappresenta, per tali motivi, una delle più complete leggi statunitensi sul tema.
E’ però – a differenza del GDPR – improntata ad una visione consumeristica, in quanto l’individuo interessato è tale poiché “consumatore”: le aziende sottoposte alla regolamentazione del CCPA sono individuate sulla base del fatturato.
Anche il Brasile ha approvato una legge generale sulla protezione dei dati (Lei Geral de Proteção de Dados – LGPD – in realtà ad oggi non ancora in vigore, a causa della sospensione dell’iter legislativo per via del Coronavirus) e presenta notevoli punti di incontro con il GDPR: nella definizione di dato personale, nella tutela dei diritti dell’interessato, nell’applicabilità a qualsiasi attività commerciale o organizzazione che elabora i dati personali delle persone in Brasile, indipendentemente da dove tale attività commerciale o organizzazione stessa potrebbe trovarsi.
La differenza più significativa tra la normativa brasiliana e quella europea è forse legata alla presenza di ben dieci basi giuridiche tali da legittimare il trattamento tra cui spicca senza dubbio “la protezione del credito”: un diritto economico posto come base giuridica per il trattamento dei dati è in effetti un sostanziale allontanamento dal GDPR.
Anche economie emergenti come l’India stanno prendendo provvedimenti per attuare un quadro di protezione dei dati modellato secondo le linee del GDPR. Nel luglio 2017, il governo indiano ha nominato un comitato di esperti su un quadro di protezione dei dati per l’India (il diritto alla privacy è ricollegato all’art. 21 della Costituzione indiana) o Comitato per la protezione dei dati (DPC).
La legge proposta, chiamata “legge sulla protezione dei dati personali”, incorpora molti elementi del GDPR dell’UE. Questi includono i requisiti per la notifica e il consenso preventivo per l’uso dei singoli dati, le limitazioni sugli scopi per i quali i dati possono essere elaborati dalle aziende e le restrizioni per garantire che vengano raccolti solo i dati necessari per fornire un servizio alla persona in questione. Inoltre, include i requisiti di localizzazione dei dati e la nomina di responsabili della protezione dei dati all’interno delle aziende, ma prevede – a differenza del Regolamento europeo – sanzioni penali e, ulteriormente, propone di trattare il rapporto tra il responsabile del trattamento dei dati e il corrispettivo consumatore come una “relazione di fiducia” (fiduciary relationship).
L’India non ha, infatti, una legge intersettoriale sulla protezione dei dati e l‘Information Technology Act del 2000 disciplina principalmente questioni come la criminalità informatica e la responsabilità degli intermediari di Internet, come le piattaforme di social media, sebbene possieda alcuni requisiti in materia di protezione dei dati personali. Proprio per questi motivi la Data Protection Committee (DPC) indiana ha scelto di proporre un disegno di legge modellato in gran parte sul GDPR: ad essere presi in considerazione sono il principi di minimizzazione, di elaborazione dei dati, di privacy by design e by default, di portabilità e cancellazione, regolamentazione e supervisione da parte di un’autorità di controllo.
Eppure, tali disposizioni previste nel disegno di legge aumenterebbero notevolmente gli obblighi in materia di protezione dei dati: vi sarebbero modifiche imposte a livello economico alle pratiche di raccolta, archiviazione e gestione dei dati delle imprese indiane, nonché delle società straniere che forniscono servizi in India. Mentre l’UE aveva un quadro di tutela della privacy preesistente (la direttiva sulla protezione dei dati del 1995), il nuovo disegno di legge comporterebbe delle innovazioni in materia di protezione dei dati per l’India. Il costo della conformità e degli obblighi di protezione dei dati sarebbe quindi molto più elevato. Il rapporto del DPC in India, però, non ha discusso del potenziale impatto economico della proposta di legge. È dunque fondamentale una attenta stima dei costi e dei benefici degli obblighi specifici all’interno della proposta di legge prima di poter compiere ulteriori progressi sulla proposta.
Invero, per i Paesi in via di sviluppo le sfide aumentano in quanto ad essere sottoposti a vaglio vi sono i costi diretti e indiretti di tali leggi rispetto ai vantaggi di un quadro di protezione dei dati.
Negli Stati Uniti, a parte il caso anomalo della California, il dibattito su una legge federale di tutela dei dati personali si è in realtà aperto a seguito delle sanzioni comminate alla Marriott International Inc (per un importo di circa 110 milioni di euro): l’attacco ai database dell’azienda ha infatti comportato una notevole perdita di dati personali cui è seguita la notifica da parte dell’Information Commissioner Office (ICO) britannico di una elevata sanzione (l’ICO aveva già in precedenza comminato un’altra sanzione alla British Airways a causa del furto di dati di 500mila clienti dal suo sito web).
La violazione dei dati effettuata nei confronti della catena d’alberghi ha portato diversi legislatori statunitensi a chiedere multe in stile GDPR per le aziende che non riescono a proteggere i dati dei clienti – o anche per i CEO di aziende negligenti che devono affrontare il carcere.
E’ lampante quindi come l’accelerazione del processo di difesa di un diritto fondamentale, quale quello relativo alla tutela dei propri dati personali, per alcuni Paesi come Stati Uniti e Brasile sia intimamente connesso a motivazioni prettamente di stampo economico e non – come dovrebbe – a ragioni di carattere sociale.
Sulla scia della California anche il Nevada, New York e altri Stati statunitensi si stanno muovendo al fine di implementare la propria normativa in materia di privacy.
Il 29 maggio 2019, il Nevada ha emanato un emendamento alla sua legge sulla privacy online, imponendo alle aziende di offrire ai consumatori il diritto di rinunciare alla vendita delle loro informazioni personali. Sebbene il concetto di tutelare i consumatori mediante determinati diritti sulla privacy sia simile alla legge californiana, la legge del Nevada presenta alcune differenze significative rispetto al CCPA, inclusa la definizione di “vendita”. La legge del Nevada definisce “vendita” lo “scambio di informazioni riservate a titolo di corrispettivo economico da parte dell’operatore ad una persona, affinché la persona conceda in licenza o venda tali informazioni ad altre persone.” Al contrario, la definizione di “vendita” della CCPA è di gran lunga più ampia e include non solo la vendita, ma anche “l’affitto, il rilascio, la divulgazione, la diffusione, la messa a disposizione, il trasferimento o altrimenti la comunicazione orale, per iscritto o con mezzi elettronici o di altro tipo, le informazioni personali del consumatore da parte dell’azienda a un’altra azienda o a terzi per un corrispettivo monetario o di altro valore”.
Anche lo Stato di New York ha proposto una legge che in parte ricalca il CCPA. Sebbene il disegno di legge abbia una definizione altrettanto ampia di “informazioni personali” e offra ai consumatori il diritto di richiedere la cancellazione dei propri dati, introduce anche nuovi obblighi per le società come la figura del “fiduciario dei dati” (data fiduciary). La legge afferma, nei suoi punti essenziali, che “i dati personali dei consumatori non saranno utilizzati, trattati o trasferiti a terzi, a meno che il consumatore non fornisca un consenso esplicito e documentato. Ogni soggetto giuridico, o qualsiasi affiliato di tale soggetto, e ogni titolare del trattamento e intermediario di dati, che raccoglie, vende o concede in licenza le informazioni personali dei consumatori, deve esercitare il dovere di diligenza, la lealtà e la riservatezza attese da un fiduciario per quanto riguarda la protezione dei dati personali di un consumatore in caso di un rischio per la privacy e agisce nel miglior interesse del consumatore, senza tener conto dell’entità degli interessi, del titolare del trattamento o dell’intermediario di dati, secondo le modalità previste da un consumatore ragionevole in tali circostanze. Il disegno di legge di New York specifica inoltre che l’obbligo di fiducia nei confronti di un consumatore ai sensi della presente sezione sostituisce qualsiasi obbligo nei confronti dei proprietari o degli azionisti di una persona giuridica o di una sua affiliata, titolare del trattamento o intermediario di dati, cui si applica il presente articolo”.
In ogni caso una legge federale sulla privacy degli Stati Uniti è ancora al vaglio a Washington dove, anche la Business Roundtable ha elaborato un “framework” per delineare una normativa privacy a tutela dei consumatori ispirandosi, appunto, al GDPR: l’obiettivo principale della proposta è garantire che le norme sulla privacy non interferiscano con l’innovazione aziendale.
Analizzando ulteriormente le diverse normative internazionali, nell’ordinamento cinese il diritto alla protezione dei dati personali, se pur formalmente previsto quale diritto di ogni cittadino, resta solamente un contenitore giuridico sfornito di contenuti effettivi. Un diritto alla protezione dei dati personali è atteso e ufficialmente riconosciuto in diverse leggi di settore, ma, concretamente, non vi è alcuna possibilità di esercitarlo e/o applicarlo nell’ordinamento.
Il legislatore cinese, infatti, non prevede nulla al di là di un mero “right of privacy”: non esiste nessuna autorità di controllo che tuteli il trattamento dei dati personali e neppure la Internet Security Law, che prevede disposizioni in materia di dati personali, li tutela realmente, anzi consente un controllo indifferenziato di tutti i dati delle società straniere e delle persone fisiche ubicate nello Stato asiatico. L’obiettivo sotteso alle poche disposizioni legislative cinesi in materia, in realtà, è sempre quello di consentire una continua ingerenza dello Stato nella vita dei suoi cittadini. L’eventuale trasferimento dei dati Ue – Cina dovrebbe quindi avvenire sulla base del disposto dell’art. 44 e segg. del GDPR ma, non sussistendo gli elementi di cui all’art. 45 par. 2, l’unica soluzione sarebbe quella delle standard contractual clauses così come previste dall’art. 46.
In ogni caso il Capo V del Regolamento e, in particolare, gli artt. 3 e 48 del Reg. UE 2016/679 possono rappresentare, se pur con tutti i loro limiti, un primo e importante passo verso una concezione globale e internazionale di protezione dei dati personali. Inoltre, nel rapporto con la Cina, priva di normativa in materia di tutela dei dati personali, l’unico reale strumento (se ne parla anche in riferimento alla tutela dal 5g) diretto a tutelarci potrebbe essere proprio l’imposizione del GDPR come standard: è quanto affermato dal Garante Privacy italiano Antonello Soro che afferma “i cinesi hanno bisogno come l’acqua dell’accesso al ricchissimo mercato comunitario dei dati. Non è diffìcile costringerli al negoziato. Canada, Giappone, Australia, Brasile adottano leggi in sintonia con il Regolamento UE perché necessitano dei facoltosi consumatori europei.”
Ciò nonostante, la Cina, non ha ancora predisposto una normativa adeguata ma, continua ad intrattenere relazioni commerciali ed economiche con buona parte dei paesi mondiali pur avendo leggi nazionali che consentono un vero e proprio controllo da parte del Governo cinese sui dati personali delle società che lì investono, come sopra riferito.
Dal punto di vista commerciale ciò significa che qualsiasi organizzazione che fa affari in Cina non solo deve rivelare come e quando sta raccogliendo informazioni personali, ma anche capire che i dati raccolti possono essere cercati e utilizzati dal Governo in qualsiasi momento. Inoltre, le organizzazioni devono capire come proteggere tali dati per non affrontare, in seguito ad eventuali violazioni, gravi sanzioni economiche.
Il processo legislativo cinese nell’ambito della tutela dei dati personali deve quindi tener conto – inevitabilmente – del fatto che i cinesi non sono “sensibili” tanto quanto i cittadini europei quando si tratta di informazioni personali e privacy: per tale motivo la strada per riuscire ad arrivare ad un adeguato livello di protezione sarà più lunga.
L’approccio cinese, però – ma come anche, in parte di altri paesi che come la Cina non si sono adeguatamente mossi – potrebbe rappresentare una sorta di “terza via” rispetto all’approccio europeo, da un lato, e statunitense dall’altro: l’Europa è nota per aver dato vita ad un meccanismo di protezione “forte” mentre, gli Stati Uniti sono ancora legati ad un “minimalismo” nella tutela, un approccio minimo in cui le norme pertinenti sono in realtà sparse in leggi differenti che trattano svariati settori.
Dal 2012, anno in cui il Comitato permanente del Congresso nazionale del popolo cinese (National People’s Congress, NPC) ha promulgato la decisione sul rafforzamento della protezione delle informazioni sulle reti, la Cina ha compiuto notevoli sforzi e progressi, ma piuttosto che emanare una legge globale sulla privacy dei dati, ha intrapreso una strada simile all’approccio americano.
Si precisa, però, che la Cina, seppur non adottando il GDPR – a differenza di Giappone, Corea del Sud, Thailandia o di altri Paesi dell’APEC in cui il GDPR viene utilizzato come parametro di riferimento per la revisione degli attuali regimi legali in materia di protezione dei dati personali – lo utilizza, invece, come un buon riferimento per lo sviluppo del regime di protezione dei dati.
Una delle principali caratteristiche dell’approccio cinese, simile a quello americano, è data dai requisiti richiesti per la raccolta e l’elaborazione dei dati: standard bassi sia in Cina che negli Stati Uniti. Né gli Stati Uniti né la Cina vanno, infatti, oltre la richiesta di un consenso implicito leggero. Il consenso per essere esplicito – secondo la legislazione cinese – deve esserlo in quanto espressamente menzionato (ad esempio nella materia dei dati sensibili). L’UE, invece, fornisce sei diverse basi giuridiche per il trattamento dei dati personali, con obblighi rigorosi ad esse connessi e respinge in particolare il concetto di consenso implicito.
Lo stesso orientamento “minimo” può rinvenirsi nell’ambito della notifica della violazione dei dati ove, il termine entro cui va effettuata (a differenza delle 72 ore previste dal GDPR) non è in alcun modo chiarificato, né – come negli Stati Uniti – è prevista l’esistenza di un apposito organo di vigilanza/controllo.
Ciò nonostante la Cina prevede un piano legislativo quinquennale del Comitato permanente NPC per il periodo 2018-2023, che annuncia una “Legge sulla protezione delle informazioni personali” ora in fase di elaborazione ma che, sul modello europeo, sarà una legge “unica”, e ricomprenderà al suo interno principi come finalità, minimizzazione, principio di “sensibilità” e garanzie aggiuntive ad esso connesso, diritto all’oblio, portabilità.
La Cina, però, mette in evidenza altresì caratteristiche “proprie” tali da distinguere il suo approccio tanto da quello europeo quanto da quello statunitense: specificamente nell’ambito della localizzazione dei dati e nelle restrizioni alle disposizioni sul trasferimento dei dati. Se da un lato si rafforza la protezione contro attività svolte da enti private, dall’altro lato si assiste ad un parallelo aumento dell’accesso del governo ai dati personali.
Quanto detto prova quindi che la Cina sta costruendo – seppur gradualmente – un sistema di privacy dei dati attraverso legal transplants dalle leggi sia dell’UE che degli Stati Uniti. Inizialmente assomigliava all’approccio minimalista statunitense, mentre ora mostra segni di convergenza con il modello UE più rigoroso.
Anche il Canada, dal 2019, ha intrapreso un progetto di riforma delle proprie leggi federali in materia di protezione dei dati personali: la necessità arriva a gran voce non solo da parte del Governo, ma anche dai membri della “Standing Committee on Access to Information, Privacy and Ethics” (ETHI) e dalle grandi aziende tecnologiche canadesi, che dichiarano “The age of self-regulation is over. The question is no longer whether privacy laws should be modernized, but how”.
La privacy resta un valore fondante per la società canadese e, come tale, va tutelata, riformando il Privacy act del 1983: secondo l’”Office of the Privacy Commissioner of Canada”, la riforma dovrebbe prevedere una legge che sia neutrale da un punto di vista tecnologico, durevole (quindi basata su principi generali), incorporando altresì i diritti fondamentali, come avviene nel GDPR, ad esempio al Considerando 173 che afferma “è opportuno che il presente regolamento si applichi a tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali con riguardo al trattamento dei dati personali”.
Vengono altresì richiamati da parte dell’Office of the Privacy Commissioner i principi di privacy by design e by default; l’art. 6, in riferimento alle condizioni di liceità per l’esercizio del trattamento, in particolare il legittimo interesse, si legge infatti “per fare affidamento sulla disposizione di interesse legittimo, un’organizzazione deve prima spiegare lo scopo e dimostrare la necessità del trattamento e giustificare ulteriormente che gli interessi dell’organizzazione non violano gli interessi, i diritti o le libertà delle persone”; il diritto al reclamo ad un’autorità di controllo.
Alla luce di quanto analizzato è evidente come la portata innovativa del Regolamento Ue 679/2016 sia senza dubbio di grande impatto, in quanto il GDPR è stato di certo il primo tassello dal quale poi si sono dipanate tutte le differenti legislazioni mondiali che, a partire dal modello europeo, hanno poi trovato la propria strada per la tutela dei dati personali.
La protezione dei dati dovrebbe quindi essere internazionale e non solo legata ad un dato territorio: l’utilizzo del GDPR come paradigma per una buona parte degli Stati Extra Ue rappresenta senza dubbio un’ottima base per poter delineare leggi che siano – pur se non esattamente analoghe – quanto meno rispondenti a dei principi ad esso simili.
Il GDPR non rappresenta quindi più l’unico acronimo di protezione dei dati: la LGPD brasiliana, la CCPA californiana, ma anche i progetti di legge canadesi o di paesi in via di sviluppo come l’India.
E’ evidente che la dirompenza del Regolamento si è avuta principalmente in quanto – nei rapporti commerciali tra Ue e paesi terzi, spesso non dotati di un’adeguata normativa in materia – la predisposizione di leggi dirette a tutelare la materia dei dati personali, spesso su modello appunto della legislazione europea, non avrebbe fatto altro che agevolare gli scambi.
La linea comune adottata da parte dei Paesi che hanno utilizzato il Regolamento europeo come modello è stata quella di delineare principi (es. Brasile, Canada, ma anche India), poiché tali elementi consentono non solo la neutralità e parità della legge in differenti settori industriali, ma soprattutto perché garantiscono un’adattabilità nel tempo che, in un settore come quello della protezione dei dati personali, è fondamentale. La necessità è infatti quella di creare delle leggi che rimangano adottabili nonostante la crescita esponenziale tecnologica. Il dinamico sviluppo di nuove tecnologie richiederà di tanto in tanto modifiche legislative, il che significa che dovranno esserci revisioni periodiche delle leggi sulla protezione dei dati personali, ma la natura di leggi basate sui principi consente una malleabilità e adattabilità e non richiede costanti revisioni per tenere il passo.