Nei giorni scorsi abbiamo avuto modo di apprendere la notizia proveniente dagli Usa inerente l’abolizione delle norme sulla privacy online, che sarebbero dovute entrare in vigore ad inizio Dicembre 2017 e che invece, a seguito di un progetto di legge approvato in Senato e successivamente dal Congresso, sono sulla strada della cancellazione. Oggetto dell’abolizione quelle norme che avrebbero costretto gli internet service provider a chiedere il consenso degli utenti per poter vendere i loro dati. In sostanza, dati ricevuti a seguito di registrazioni e funzioni di apposite app, piuttosto che click specifici su ricerche impostate in rete, potranno liberamente costituire oggetto di scambio. Nota la posizione del Presidente Trump che avvalora la tesi per cui l’abolizione sembra essere certa.
Questa vicenda si posiziona in un momento storico in cui l’Europa invece va nel senso opposto, come del resto ha fatto negli ultimi decenni a partire dalla Direttiva sulla quale si fonda la nostra normativa nazionale in materia di privacy ed ancor più, a breve, la General Data Protection Regulation. Quest’ultima, ricordiamo, entrerà in vigore in tutti i Paesi europei nel maggio 2018 senza necessità di alcun recepimento (trattandosi di Regolamento e non di Direttiva) ed impone principi alquanto severi circa la circolazione dei dati ed il loro trattamento da parte dei Titolari, basando sostanzialmente tutto l’assetto normativo su alcuni pilastri imprescindibili tra cui il consenso al trattamento in caso di comunicazione a soggetti terzi piuttosto che nell’ipotesi di cessione, che invece cadrebbe a seguito dell’abolizioni succitata.
Due scenari dunque completamente diversi, anzi possiamo dire in forte contrasto. Contrasto che appunto non fa che accentuarsi ragionando sia sul rapporto con la Gdpr che con riferimento al Privacy Shield.
Sul primo occorre ricordare che la regolamentazione europea dovrà essere adottata anche per i trattamenti dei dati personali di interessati che si trovano nell’Unione, effettuati da un Titolare del trattamento o da un Responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano: a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione (cfr. Art. 3 II comma Gdpr). La liceità del trattamento si ha laddove l’interessato abbia espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità. Senza tale consenso, salvo rapporti contrattuali o altre specifiche eccezioni citate dalla Gdpr, il trattamento non potrà avvenire, non potendosi effettuare attività di comunicazione, diffusione o cessione dei dati. Tale aspetto non è indifferente: come si coniugheranno questi due aspetti giuridici rispetto ad un medesimo Isp statunitense? Ed ancora, rispetto al Privacy Shield quali potranno essere le conseguenze? Ricordiamo che il Privacy Shield è subentrato al precedente Safe Harbor, come nuovo accordo atto a disciplinare il trasferimento dei dati Eu-Usa a seguito dell’intervento della Corte Europea, che lo scorso anno aveva giudicato il Safe Harbor non sufficiente a proteggere i cittadini europei.
Nell’attuale Privacy Shield, tra i principi che le organizzazioni statunitensi devono garantire, spiccano il principio sull’informativa (per cui l’organizzazione è tenuta ad informare l’interessato di una serie di elementi d’importanza fondamentale per il trattamento dei dati personali che lo riguardano – ad esempio, tipo di dati raccolti, finalità del trattamento, diritto di accesso e di scelta, condizioni applicabili all’ulteriore trasferimento, responsabilità) ed il principio sulla scelta che conferisce all’interessato il diritto di rifiuto al trattamento che intenda porre in essere il Titolare (qualora il trattamento abbia una finalità nuova o modificata, oppure sostanzialmente diversa dalla finalità originaria, ma comunque compatibile con essa), strettamente connesso al principio sull’integrità dei dati e la limitazione della finalità per cui i dati personali rilevati devono limitarsi ad informazioni pertinenti ai fini del trattamento, affidabili per l’uso previsto, accurate, complete ed aggiornate. L’organizzazione non può trattare i dati personali in modo incompatibile con la finalità per cui sono stati raccolti in origine o con quella successivamente autorizzata dall’interessato.
In un simile quadro risulta complesso per le imprese europee che operano con gli Usa aver garantita e garantire agli utenti la tutela della loro privacy, esponendosi anche a rischi sanzionatori in considerazione della responsabilità che potrebbe sorgere dal mancato rispetto della Gdpr e del Privacy Shield dalle imprese statunitensi.
