Normativa

Shape 5 Live Search

logo

E' importante avere presente come si coniuga la normativa in materia di privacy e protezione dei dati personali negli Stati Uniti, in quanto le principali aziende del web sono americane, e le più importanti piattaforme di convidisione di contenuti ed informazioni fanno, quindi, capo alla normativa americana. Per questo motivo si pone il problema di coordinare le norme europee e quelle americane, anche in considerazione del fatto che il semplice immettere contenuti in un social network, come ad esempio Facebook, può comportare il trasferimento di quei dati negli Usa, dove si trova la sede principale di tutte le aziende americane, e dove spesso viene effettuato il trattamento dei dati. 

Negli anni '90, quando l'Unione europea e gli Usa iniziarono a sviluppare le loro norme in materia di protezione dei dati personali, l'approccio politico si presentò differente. Mentre gli americani consultavano esclusivamente le aziende e la regolamentazione fu basata su una bozza preparata dall'industria delle telecomunicazioni, le istituzioni europee consultarono le autorità di garanzia nazionali. Il risultato fu che la regolamentazione americana si concentra più sulla tutela degli interessi aziendali, mentre quella europea sulla tutela dei cittadini. 

Negli Usa al centro del sistema vi è l'autonomia dei privati e la libertà individuale, e l'approccio è di tipo autoregolamentante, utilitaristico (cioè i dati appartengono a chi li usa) e settoriale (come il settore medico o l'affitto di videocassette), laddove la privacy è tutelata solo nell'ambito delle pratiche commerciali, tramite l’equilibrio del mercato. Le imprese, che regolamentano la privacy inserendo clausole nei loro termini di servizio, hanno interesse a proteggere la privacy perché se sono troppo aggressive rischiano di perdere clienti. Inoltre, le cause collettiva (class action) sono un forte deterrente alle pratiche commerciali scorrette. Quindi, negli Usa la tutela della privacy è attribuita principalmente alla Commissione per il Commercio Federale (FTC, Federal Trade Commission, vedi pagina sulla tutela della privacy), per la quale tale tutela è un'estensione della tutela del consumatore e della legittimità delle pratiche commerciali.  
L'Europa ha, invece, un approccio generalista (la privacy è tutelata indipendentemente dal settore di applicazione) e centralizzato, e la privacy è un diritto fondamentale dell'individuo.

L'approccio americano è sicuramente più efficace ed adattabile alle mutazioni tecnologiche, ma in compenso finisce per far diventare la privacy un bene economico da poter scambiare all'interno di un ampio mercato dei dati personali, così svalorizzandone l'aspetto individuale. Inoltre, l'approccio settoriale determina una moltiplicazione delle norme che rende estremamente difficile per il cittadino conoscere effettivamente i suoi diritti. 

Nel rapporto sulla tutela della privacy, l'FTC stabilisce che le persone giuridiche devono fornire i propri servizi conformandosi a determinati principi: 
- privacy by design, cioè i servizi devono essere progettati per garantire la tutela della privacy; 
- privacy choices for consumers, cioè permettere al consumatore di esprimere e ritirare il consenso al trattamento dei dati; 
- greater transparency, cioè indicazioni chiare sulle modalità di trattamento dei dati, sulla tipologia dei trattamenti e sui soggetti ai quali possono essere comunicati. 

Il rapporto della FTC esclude esplicitamente le persone giuridiche che raccolgono dati direttamente dai consumatori. Quindi l'FTC si occupa di regolamentare i trattamenti in assenza di relazione contrattuale tra consumatore e azienda.
Sono escluse altresì le aziende che non trattano dati sensibili (sensitive), laddove la definizione è diversa rispetto a quella europea. Sono sensitive data:  
- dati relativi ai minori; 
- dati finanziari; 
- dati sulla salute; 
- social security number; 
- dati di geolocalizzazione. 
Infine, sono escluse anche le aziende che non diffondono o comunicano a terze parti i dati degli utenti, o che trattano dati di un numero di utenti inferiore a 5.000 unità. 

Appare evidente la differenza di prospettiva tra le due sponde dell'Oceano. In Europa la tutela dei dati personali è anticipata, nel senso che occorre il consenso anche solo per la raccolta dei dati, laddove negli Usa la tutela è limitata all'utilizzo dei dati. Quindi negli Stati Uniti la raccolta può essere anche indiscriminata (bulk collection), laddove di trattamento (processing) si parla solo nel momento in cui i dati vengono effettivamente utilizzati. In questo senso, infatti, i funzionari del governo americano hanno potuto sostenere che l'NSA non fa alcuna sorveglianza di massa ma solo sorveglianza mirata per motivi di ordine pubblico e sicurezza. 
In tema di sorveglianza di massa, considerato che il problema dell'inadeguatezza delle norme americane si è posto proprio dopo la pubblicazione delle notizie sulle attività dell'NSA, la legge americana non prevede come obiettivi i singoli sospetti, bensì “foreign intelligence information”, senza alcuna differenziazione in base al chi o al dove si trovano le informazioni. Le limitazioni (targeting) agiscono quale filtro nell’utilizzo delle informazioni, ma non certo in fase di raccolta. In conclusione, raccogliere dati per conservarli (cosa che per l'Europa è trattamento -processing-), solo per utilizzarli in fase successiva, non è sorveglianza di massa. Nel momento dell'utilizzo, poi, l'agente applica un filtro (selector) che può essere un indirizzo mail oppure un numero di telefono, per cercare informazioni nella grande massa di dati precedentemente raccolti e conservati. Negli Usa questa è sorveglianza "mirata" (targeted). In Europa è considerata, invece, sorveglianza di massa.