Dal caso Facebook un assist alla Gdpr. Paradossalmente le nuove norme sulla privacy, in vigore da maggio, hanno ricevuto un’inaspettata “pubblicità” dallo scandalo provocato dalla fuga di dati: non è un caso che secondo Alex Webb, editorialista di Bloomberg, le “correzioni” attuate dal Ceo dell’azienda Mark Zuckerberg alla gestione dei dati personali non siano altro che una serie di modifiche che la Gdpr avrebbe comunque richiesto.
L’Europa, il “gigante” della burocrazia lenta, si appresta così a fare da arbiter in una questione, quella della privacy, che il digitale ha trasformato in questione mondiale: la General Data Protection Regulation sembra ora avere tutte le carte in regola per imporsi come modello e standard internazionale. Ribaltando in qualche modo le parti nel gioco di ruoli con gli Usa e indicando una terza via – non radicale come quella cinese e russa – nel trattamento dei dati personali.
E’ il finale di partita di uno storico scontro di visioni. La disciplina sulla privacy e quindi sull’utilizzo dei dati personali negli Stati Uniti d´America è estremamente frammentata; manca un quadro normativo generale di riferimento che orienti e disciplini il settore della privacy che, per tale effetto, finisce per frammentarsi nelle disposizioni dei cinquanta Stati Federati dell’Unione.
La mancanza di un quadro normativo generale rappresenta il principale limite all’affermazione di una piena ed effettiva tutela della Privacy. Tale limite ben si comprende se si tiene presente che il sistema nordamericano è un sistema di common law, la cui natura giurisprudenziale ed evolutiva dà anche ampio spazio all’autoregolamentazione.
All’opposto rispetto all’Europa la privacy dunque non si configura come un diritto fondamentale dell’individuo, ma come un diritto del consumatore da bilanciarsi con le esigenze delle imprese.
Sarebbe invece più opportuno, parlando del sistema americano, definire la tutela della privacy un interesse, più che un diritto posto a capo degli individui. Interesse che nel rapporto tra privati deve essere soggetto ad un bilanciamento.
Difatti, vi sono molte linee guida che, essendo sviluppate da gruppi industriali e agenzie governative, non hanno forza di legge ma fanno parte dei quadri di autoregolamentazione che sono considerate “best practices”.
La conferma sul carattere prettamente commerciale della privacy arriva anche dai soggetti preposti alla vigilanza, la Ftc (Federal Trade Commission), l’Agenzia deputata alla tutela dei consumatori negli Stati Uniti, competente a vigilare anche sull’aderenza dei comportamenti delle aziende, a quanto esse dichiarano nelle proprie privacy policy e sul rispetto delle leggi sulla privacy. Le decisioni della Federal Trade Commission sono basate spesso sulle “best practices” dei gruppi industriali e agenzie governative.
Infine, il consenso negli Stati Uniti d’America non gioca un ruolo determinante; uno dei problemi più delicati posti dalla tutela della privacy riguarda, appunto, il consenso degli individui, non di rado ben disposti a consegnare alla controparte una gran mole di dati personali in cambio di crediti, prestiti o offerte di vendite con pagamenti dilazionati. La privacy in questo modo diventa sempre negoziabile.
Al contrario in Europa la privacy trova una tutela all’interno dei trattati con l’art. 16, paragrafo 1, del Trattato sul Funzionamento dell’Unione Europea (TFUE), nell’art. 7 sul “Diritto al rispetto della vita privata e familiare” e nell’art. 8 sulla “Protezione dei dati di carattere personale” della Carta dei diritti fondamentali dell’Unione europea. Il Diritto alla Privacy è considerato quale diritto fondamentale dell’individuo.
La grande novità in materia di privacy e della relativa tutela è rappresentata dal nuovo “Regolamento europeo sulla protezione dei dati n. 679/2016” (GDPR) che trova applicazione all’interno di tutti gli Stati membri ma, soprattutto, introduce regole certe atte a disciplinare non soltanto fenomeni che nella direttiva 95/46/CE7 non erano nemmeno contemplati, ma anche quelli connessi a future problematiche inerenti al Mercato Unico Digitale che, attualmente, non ancora appaiono all’orizzonte.
Il nuovo regolamento sarà fondato sul principio della responsabilizzazione (c.d. accountability) che graverà sul titolare del trattamento e che si esplicherà nell’adozione di “misure tecniche ed organizzative adeguate” art. 24 comma I per garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali è effettuato in conformità al regolamento stesso. Una misura a garanzia dell’accountability è la designazione del Data Protection Officer, professionista con il compito di osservare, valutare, vigilare e organizzare la gestione del trattamento dei dati all’interno di un’azienda, affinché questi siano adottati nel rispetto delle normative.
Sotto il profilo sanzionatorio, il Gdpr arriva a colpire i titolari e responsabili con sanzioni amministrative fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo, come cita l’art. 83 del regolamento, oltre (qui non torna il discorso, rileggilo) ad una serie di poteri correttivi che fanno capo alle autorità di controllo e che sono disciplinati dall’ art. 58 del regolamento.
La privacy quale diritto è comprensibile anche sotto il profilo del consenso. Difatti l’art. 4 stabilisce che l’interessato dovrà manifestare la propria volontà in maniera libera, specifica, informata e inequivocabile. Inoltre l’art. 7 stabilisce che il consenso deve poter essere dimostrato dal titolare del trattamento e l’interessato ha la possibilità di revocare liberamente, in qualunque momento il proprio consenso.
Essendo applicabile a tutti i soggetti che trattano i dati di cittadini dell’Unione europea, il Gdpr modificherà radicalmente il modo in cui questi dati possono essere raccolti, archiviati e cancellati, rendendo necessario, per le aziende coinvolte, l’affrontare costi elevati per i relativi processi di compliance e l’adozione di standard più stringenti. L’obiettivo del regolamento è quindi quello di dare un maggior potere di controllo sui dati personali appartenenti ai cittadini europei e quindi riprogettare gli accordi sul consenso.
Facebook e Google hanno schierato centinaia di ingegneri e giuristi al fine di poter adottare il regolamento. Tra i soggetti più colpiti vi saranno anche le aziende che forniscono servizi di cloud (Microsoft, Amazon, Ibm e Google), che spesso ospitano le informazioni nei data center per conto di altre società e che hanno dovuto rafforzare la crittografia sui dati archiviati sui propri servizi di archiviazione cloud. Infine vi sono aziende che hanno dovuto rimuovere alcuni prodotti dal mercato europeo perché violerebbero le nuove regole sulla privacy o hanno deciso di sostituirli con nuovi.
In conclusione, il sistema statunitense garantisce una tutela alla privacy, e quindi al trattamento dei dati, in quanto “interesse” e quindi ha bisogno di un continuo bilanciamento. In Europa viene considerato un diritto fondamentale e il General Data Protection Regulation è espressione di una concezione che pone in capo alle società obblighi ben precisi in termini di adeguamento e, per converso, delle tutele in capo ai cittadini. Novità di fronte alle quali le imprese di tutto il mondo e soprattutto i grandi colossi della Silicon Valley si dovranno adeguare.
