E' importante avere presente come si coniuga la normativa in materia di protezione dei dati personali negli Stati Uniti, e quindi le differenze tra l'approccio europeo e quello americano.
Questo perché le principali aziende del web sono americane, come le più importanti piattaforme di convidisione di contenuti ed informazioni online. Si pone, quindi, pone il problema di coordinare le norme europee e quelle americane, anche in considerazione del fatto che il semplice immettere contenuti in un social network, come ad esempio Facebook, può comportare il trasferimento di quei dati negli Usa.
Approcci differenti tra USA e UE
Negli anni '90, quando l'Unione europea e gli Usa iniziarono a sviluppare le loro norme in materia di protezione dei dati personali, l'approccio politico si presentò differente. Gli americani consultarono esclusivamente le aziende e la conseguente regolamentazione fu basata su una bozza preparata dall'industria delle telecomunicazioni. Le istituzioni europee, invece, consultarono le autorità di garanzia nazionali. Il risultato fu che la regolamentazione americana si concentra più sulla tutela degli interessi aziendali, mentre quella europea sulla tutela dei cittadini.
Negli Usa al centro del sistema vi è l'autonomia dei privati e la libertà individuale, e l'approccio è di tipo autoregolamentante, utilitaristico (cioè i dati appartengono a chi li usa) oltre che settoriale (il settore medico, l'affitto di videocassette, ecc...), laddove la privacy è tutelata solo nell'ambito delle pratiche commerciali, tramite l’equilibrio del mercato. Le imprese, che tutelano la privacy inserendo clausole nei loro termini di servizio, hanno interesse a proteggere i diritti dei cittadni perché se sono troppo aggressive rischiano di perdere clienti. Inoltre, le cause collettive (class action) sono un forte deterrente alle pratiche commerciali scorrette. Quindi, negli Usa la tutela della privacy è attribuita principalmente alla Commissione per il Commercio Federale (FTC, Federal Trade Commission, vedi pagina sulla tutela della privacy), per la quale tale tutela è un'estensione della tutela del consumatore e della legittimità delle pratiche commerciali.
L'approccio americano è sicuramente più efficace ed adattabile alle mutazioni tecnologiche, ma in compenso finisce per far diventare la privacy un bene economico da poter scambiare all'interno di un ampio mercato dei dati personali, così svalorizzandone l'aspetto individuale. Inoltre, l'approccio settoriale determina una moltiplicazione delle norme che rende estremamente difficile per il cittadino conoscere effettivamente i suoi diritti.
L'Europa ha, invece, un approccio generalista (la privacy è tutelata indipendentemente dal settore di applicazione) e centralizzato, e la tutela dei dati personali è un diritto fondamentale dell'individuo.
Appare evidente la differenza di prospettiva tra le due sponde dell'Oceano. In Europa la tutela dei dati personali è anticipata, nel senso che occorre il consenso anche solo per la raccolta dei dati, laddove negli Usa la tutela è limitata all'utilizzo dei dati. Quindi negli Stati Uniti la raccolta può essere anche indiscriminata (bulk collection), laddove di trattamento (processing) si parla solo nel momento in cui i dati vengono effettivamente utilizzati. In questo senso, infatti, i funzionari del governo americano hanno potuto sostenere che l'NSA non fa alcuna sorveglianza di massa ma solo sorveglianza mirata per motivi di ordine pubblico e sicurezza. Solo con l'accordo Umbrella la situazione è cambiata, inserendo anche la mera raccolta tra i trattamenti soggetti alle norme.
In tema di sorveglianza di massa, considerato che il problema dell'inadeguatezza delle norme americane si è posto proprio dopo la pubblicazione delle notizie sulle attività dell'NSA, la legge americana non prevede come obiettivi i singoli sospetti, bensì “foreign intelligence information”, senza alcuna differenziazione in base al chi o al dove si trovano le informazioni. Le limitazioni (targeting) agiscono quale filtro nell’utilizzo delle informazioni, ma non certo in fase di raccolta. In conclusione, raccogliere dati per conservarli (cosa che per l'Europa è trattamento -processing-), solo per utilizzarli in fase successiva, non è considerata sorveglianza di massa. Nel momento dell'utilizzo, poi, l'agente applica un filtro (selector) che può essere un indirizzo mail oppure un numero di telefono, per cercare informazioni nella grande massa di dati precedentemente raccolti e conservati. Negli Usa questa è sorveglianza "mirata" (targeted). In Europa è considerata, invece, sorveglianza di massa.
Le normative negli USA
Negli Usa non esiste una normativa federale avente ad oggetto la tutela dei dati personali, ma una serie di strumenti legali a livello statale che tutelano la protezione dei dati. La tutela è quindi indiretta, in quanto basata sulle norme a tutela dei consumatori:
- Federal Trade Commission Act: legge approvata nel 1914 di creazione della Federal Trade Commissione, che si occupa di tutelare i consumetori da pratiche commerciali scorrette;
- Financial Services Modernization Act, a tutela dei consumatori nel settore dei servizi finanziari;
- Health Insurance Portability and Accountability Act (HIPAA), che regolamenta le informazioni sanitarie utilizzata da ospedali, compagnie assicurative sanitarie, farmacie e relativi responsabili del trattamento;
- CAN-SPAM Act, che regolamenta la raccolta e l'uso dei numeri telefonici e indirizzi mail per finalità di marketing.
Ulteriormente abbiamo lo Stored Communications Act (SCA), di recente novellato dal Clarifying Lawful Overseas Use of Data Act (CLOUD) entrato in vigore il 23
marzo 2018. Con tale nuova normativa un provider di comunicazioni elettroniche (ma anche di "remote computer service") è obbligato a condividere col governo federale anche i dati detenuti su server posti all'estero anche se di un soggetto straniero (la prima applicazione ha riguardato i dati della Microsoft contenuti su server in Irlanda).
A queste si affiancano leggi dei singoli stati (es. la California) a tutela dei dati personali, come ad esempio:
- California Consumer Privacy Act (CCPA): normativa locale intesa a migliorare i diritti alla privacy e alla protezione dei consumetori, per i residenti della California. La legge è stata approvata il 28 giugno 2018.
Analogamente non c'è un'autorità federale che si occupa della protezione dei dati, ma una serie di autorità a seconda del tipo di dati e dell'utilizzo. Come appunto è la Federal Trade Commission. Nel rapporto sulla tutela della privacy, la FTC stabilisce che le persone giuridiche devono fornire i propri servizi conformandosi a determinati principi:
- privacy by design, cioè i servizi devono essere progettati per garantire la tutela della privacy;
- privacy choices for consumers, cioè permettere al consumatore di esprimere e ritirare il consenso al trattamento dei dati;
- greater transparency, cioè indicazioni chiare sulle modalità di trattamento dei dati, sulla tipologia dei trattamenti e sui soggetti ai quali possono essere comunicati.
Il rapporto della FTC esclude esplicitamente le persone giuridiche che raccolgono dati direttamente dai consumatori. Quindi l'FTC si occupa di regolamentare i trattamenti in assenza di relazione contrattuale tra consumatore e azienda.
Sono escluse altresì le aziende che non trattano dati sensibili (sensitive), laddove la definizione è diversa rispetto a quella europea. Sono sensitive data:
- dati relativi ai minori;
- dati finanziari;
- dati sulla salute;
- social security number;
- dati di geolocalizzazione.
Infine, sono escluse anche le aziende che non diffondono o comunicano a terze parti i dati degli utenti, o che trattano dati di un numero di utenti inferiore a 5.000 unità.
La medesima situazione si ha con riferimento ai diritti degli interessati (data subject). Non c'è una legge federale che prevede il diritto di accesso, ma alcune delle norme (es. HIPAA) prevedono il diritto di accesso ai dati per singoli settori (dati sanitari per l'HIPAA). Il diritto alla portabilità e il diritto di cancellazione negli Usa non sono previsti. Inoltre non ci sono restrizioni relative al trasferimento dei dati al'estero.
