Articoli

Il percorso USA verso una legge privacy federale

Lo scorso 3 giugno è stata presentata al Congresso degli Stati Uniti l’American Data Privacy & Protection Act (ADPPA), il più recente e – almeno al momento – efficace tentativo di costruire una legge federale in materia di trattamento e protezione di dati personali.

La prospettiva di una legge federale in USA è, oggi più che mai, estremamente importante: si pensi prima di tutto al tema dei “trasferimenti internazionali” di dati personali, che così tanto sta creando complessità e problemi soprattutto rispetto alle previsioni e tutele poste dalla legislazione dell’Unione Europea.

Il panorama legislativo statunitense in materia di protezione di dati personali è, infatti, attualmente assai disomogeneo: su cinquantuno Stati esistono solamente cinque legislazioni complete (California, Connecticut, Colorato, Utah e Virginia) tra loro, tuttavia, poco allineate.

ADPPA: luci e ombre

Sebbene l’approvazione dell’ADPPA porterebbe con sé dei risultati indubbiamente positivi – come, ad esempio, l’irrobustimento delle tutele dei cittadini soprattutto in quelle aree in cui di fatto, non esistendo una normativa dedicata non esistono diritti specifici in materia – dall’altro desta comunque delle perplessità.

Innanzitutto, poiché la bozza di legge contiene una prelazione del diritto federale (quindi centrale) su quello statale (quindi locale): una sua approvazione comporterebbe così inevitabilmente un abbassamento del livello di protezione in quegli stati in cui la normativa statale è particolarmente favorevole.

Le maggiori problematiche si registrerebbero allora in California dove, oltre a vedersi fortemente ridotti i diritti concessi dal CPRA (California Privacy Rights Act), si assisterebbe anche allo scioglimento della California Privacy Protection Agency (CPPA), l’equivalente dei Garanti nazionali europei.

L’ADPPA escluderebbe inoltre dall’ambito dei dati protetti, tra gli altri, i dati relativi ai dipendenti. In altre parole, risulterebbero sprovvisti di ogni tutela dati personali quali:

  • le informazioni identificative e di contatto del dipendente;
  • i contatti di emergenza resi dal dipendente al proprio datore di lavoro;
  • le informazioni relative al dipendente, al coniuge o ad altri familiari fornite ai fini dell’accesso a determinati benefici occupazionali.

Non un nuovo GDPR

Benché la bozza non si ispiri propriamente al GDPR, esistono dei punti di contatto tra le due normative.

Entrambe, infatti, sanciscono ad esempio il principio di Privacy by Design – per il quale la tutela dei dati personali debba attuarsi sin dalla fase della progettazione di prodotti/servizi – così come la necessità che i dati siano “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati” (cd. minimizzazione dei dati).

Valutazioni essenzialmente simili sono effettuate anche per quanto riguarda i dati sensibili (o particolari): anche l’ADPPA riconosce particolare tutela a tutte quelle informazioni in grado di rivelare lo stato di salute – passato, presente e futuro – di un individuo, arrivando poi ad annoverare in tale categoria di dati anche le comunicazioni private di un individuo, come ad esempio sms o e-mail.

Trasferimenti UE – USA

Dal punto di vista di noi “osservatori europei” la questione indubbiamente più importante è quella relativa alla possibilità che, in seguito all’approvazione della bozza, possa tornarsi a parlare di trasferimenti di dati tra Unione e Stati Uniti.

Nell’era post Schrems II la domanda da un milione di dollari è: l’American Data Privacy & Protection Act sarà in grado di garantire un livello di tutela dei dati (dei cittadini americani, ma anche e soprattutto di quelli europei) ritenuto accettabile dal GDPR?

La risposta è delicata ed estremamente complicata, data la vigenza del FISA (Foreign Intelligence Surveillance Act) 702 che, di fatto, attribuisce alle autorità ampissimi poteri di controllo e di accesso ai dati presenti nel territorio statunitense.

In proposito, giova ricordare che sono ormai trascorsi oltre sei mesi dall’annuncio di un nuovo EU-US Privacy Framework, senza che vi siano stati ulteriori sviluppi concreti che aiutino gli operatori del settore: in questo senso, novità legislative oltreoceano (che comunque entrerebbero in vigore non prima del 2023 inoltrato) darebbero un grande aiuto.

Per ora non ci resta che aspettare, continuando a tenere gli occhi fissi oltre oceano.

_______________________________________________

Si ringrazia Gage Nelson via Unsplash per la foto di copertina