L’Unione Europea sta spingendo affinché gli Stati Uniti assicurino un programma strutturato di compliance ai princìpi sostanziali del Privacy Shield. Concordata nel 2016 fra UE e Usa, l’intesa permette alle rispettive aziende di trasferire i dati dei loro cittadini da una sponda all’altra dell’Atlantico.
La situazione si colloca in un quadro normativo e politico più ampio. L’Europa ha infatti aperto la strada ad una nuova normativa sulla protezione dei dati personali dei cittadini e le nuove norme si stanno dimostrando efficaci, sia per i cittadini che per le imprese. Istituito per proteggere i diritti e i dati dei consumatori nell’Unione Europea, le disposizioni del Regolamento generale sulla protezione dei dati (GDPR), valido negli Stati membri dell’UE, hanno in realtà un impatto significativo sulle imprese di tutto il mondo.
L’antefatto: la presa di coscienza sull’importanza dei dati
Lo scandalo di Cambridge Analytica, scoppiato lo scorso anno, ha aperto gli occhi sul fatto che i dati personali non solo possono essere monetizzati, ma utilizzati anche per ottenere vantaggi politici. Il focus su cui i regolatori si stanno concentrando è come proteggere i dati delle persone, consentendo al tempo stesso alle aziende di sfruttare i vantaggi della digitalizzazione. Il Regolamento generale sulla protezione dei dati personali è sorto in Europa con l’obiettivo di rispondere a questa sfida. E gli effetti, da quando sono state implementate le nuove norme, sono stati positivi, sia per i cittadini che per le imprese.
Inoltre, poiché il mondo è profondamente interconnesso, c’è un urgente bisogno che anche i partner internazionali si attivino per garantire che i diritti delle persone siano effettivamente protetti. La privacy non è infatti solo un problema del consumatore, ma riguarda in generale il buon funzionamento delle democrazie.
Ecco perché l’Unione Europea ritiene sempre più fermamente che anche gli Stati Uniti non possano più esimersi dall’affrontare con priorità le questioni privacy e debbano puntare a diventare un leader globale nella garanzia di una circolazione sicura e libera dei dati.
Eppure, quando si tratta di privacy e del ruolo che i vari colossi tecnologici assumono rispetto alla protezione dei dati degli utenti, gli Stati Uniti risultano ancora oggi in forte ritardo e, di conseguenza, il Privacy Shield non riesce a fornire un livello di protezione dei dati in linea con gli standard del Regolamento europeo.
Il quadro attuale
Secondo quanto sostenuto da Vera Jourova, Commissario europeo per la giustizia, la tutela dei consumatori e l’uguaglianza di genere, è giunto dunque il momento che anche gli Stati Uniti si uniscano all’Unione Europea, similmente a quanto fatto dal Giappone e da altri Stati, abbracciando standard più stringenti sulla privacy e la protezione dei dati. La Jourova preme da tempo l’amministrazione Trump affinché adotti norme in linea con quelle del GDPR, ritenendo che ciò renderebbe UE e USA dei partner perfetti per un accordo sullo scambio dei dati che permetterebbe alle due potenze di condividere liberamente le informazioni dei rispettivi cittadini, a vantaggio del business. Secondo il Commissario, la privacy costituisce infatti un fattore legale abilitante al business e al vantaggio competitivo, dato che nessun business può realizzarsi senza trasferimento di informazioni.
Al di là della sicurezza dei dati, le regole sulla privacy svolgono anche un ruolo cruciale nei dibattiti sullo sviluppo dell’intelligenza artificiale, delle reti 5G e delle regole di concorrenza. Offrono una base normativa a queste discussioni, ad esempio delineando i limiti sulla condivisione dei dati con i governi stranieri. Oggi, il dibattito su tali tematiche è sostanzialmente diviso a metà. C’è chi comprende quanto sia importante avere un maggiore controllo sui dati personali e sulla protezione dei diritti degli interessati. In quest’ottica, l’Europa ritiene che tutti i governi debbano essere vincolati da determinati limiti, quando trattano e scambiano dati personali.
D’altro canto, c’è chi ha un approccio più morbido nei confronti della privacy e assegna una certa priorità alla difesa da accessi non autorizzati ai dati solo in nome di interessi commerciali o governativi, col rischio di alienare persone giustamente preoccupate per il loro diritto alla privacy. Oggi, da questo punto di vista, gli Stati Uniti sono di fronte ad un bivio. Molte società tecnologiche statunitensi hanno già compreso i molti aspetti positivi del Regolamento Europeo e hanno espresso il loro sostegno pubblico nei confronti dell’adozione di norme più rigorose sulla protezione dei dati, chiedendo soluzioni più drastiche, anche per colpire alcune pratiche discutibili, diffuse fra i giganti della tecnologia.
Privacy shield, la posizione degli Stati Uniti
Tuttavia, Washington non ha ancora deciso di adottare ufficialmente una simile politica e non sembra certamente aver messo la compliance al Privacy Shield fra le sue priorità. Resta al contrario un certo scetticismo nei confronti delle “rigide” politiche europee sulla protezione dei dati personali che creano vincoli al business e all’attività dei colossi tecnologici americani.
D’altro canto, se l’Unione Europea e gli Stati Uniti riuscissero a trovare un terreno comune su come legiferare in merito alla privacy, anche i giganti tecnologici del mondo si vedrebbero costretti ad abbracciare il cambiamento. Gli Stati Uniti, ad esempio, hanno solo iniziato a fare progressi nell’istituire delle linee guida riguardo a ciò che Facebook e altri colossi della tecnologia possono fare con i dati degli utenti. Tuttavia, il successo di Facebook, Twitter, Google, YouTube e molte altre aziende tecnologiche è riconducibile alla loro capacità di fornire piattaforme globali per la libera espressione. E questa è la difesa più comune che tali aziende usano contro la regolamentazione. La Silicon Valley si è a lungo opposta al fatto che le società tecnologiche fossero ritenute responsabili dei contenuti esposti sui loro siti. L’industria sostiene infatti che Facebook, YouTube e Twitter sono semplicemente piattaforme in grado di consentire a tutti di condividere materiale, e che, pertanto, nuove restrizioni andrebbero a minare la libertà di espressione.
L’America, peraltro, è tradizionalmente pro-business e in genere evita la regolamentazione quando possibile. In questo scenario, le sanzioni restano il principale deterrente, ma cosa sono alcuni milioni di dollari per aziende o colossi che fatturato e valgono infinitamente di più?
Differenze fra California Consumer Privacy Act e GDPR
Ecco perché gli Stati Uniti stanno procedendo molto a rilento con una regolamentazione efficace della protezione dei dati personali. Nel 2018, la California è diventata il primo stato americano ad adottare una legislazione in grado di gestire il trattamento dei dati digitali. Ma il California Consumer Privacy Act (CCPA) resta ancora molto lontano dalle disposizioni del GDPR europeo. In primo luogo, tutti i singoli stati membri dell’UE hanno il potere di indagare sulle violazioni privacy. Al contrario, il CCPA si applica solo alle transazioni online all’interno dello stato. In secondo luogo, le aziende che violano il GDPR possono essere soggette a sanzioni pecuniarie fino a 20 milioni di euro, mentre le sanzioni del CCPA sono molto più marginali.
Il Regolamento UE 679/2016 si basa inoltre su princìpi semplici: è una legge federale con un nucleo di diritti ed è applicata da autorità indipendenti. Il vantaggio di questo approccio è che crea le stesse regole per le aziende e offre loro un modo semplice per far circolare i dati. Applicando il principio “one continent, one law”, le aziende europee evitano di ritrovarsi in un groviglio di norme, risparmiando sui costi di conformità. Sintetizzando, ciò si traduce in un maggiore controllo sui propri dati personali. Le persone hanno il diritto di accedere ai dati, modificarli e decidere chi può usarli. Ma, anche per le aziende, l’implementazione della nuova normativa sta rivelandosi un’opportunità per mettere ordine fra i dati in proprio possesso e aumentare il livello di sicurezza dei flussi informativi. I legislatori e le autorità di regolamentazione degli Stati Uniti possono quindi apprendere due importanti lezioni da questi aspetti chiave del GDPR:
- un’efficace applicazione richiede unilateralità: le leggi sulla privacy sviluppate attraverso le singole iniziative delle legislature statali si traducono in un mosaico decentralizzato di statuti potenzialmente contraddittori. La legislazione federale è invece necessaria per proteggere gli interessi dei consumatori;
- le sanzioni devono essere abbastanza forti per fungere da efficace deterrente: l’applicazione di sanzioni proporzionate ai guadagni globali delle aziende mostra che il GDPR implica anche un business.
Gli USA collaborino con l’Europa nel nuovo assetto privacy globale
Qualora nuovi scandali sulla privacy dei dati degli utenti dovessero continuare ad emergere negli Stati Uniti, la Federal Trade Commission non potrà che esaminare con rigore sempre maggiore le azioni di tutte le compagnie tecnologiche. E, sebbene il Congresso non abbia ancora intrapreso una politica univoca e chiara, alcuni legislatori a livello federale stanno già parlando apertamente della possibilità di una legge nazionale sulla privacy negli Stati Uniti.
Anche secondo Vera Jourova, in riferimento alla necessità più ampia di un accordo internazionale, occorre costruire una coalizione globale per affrontare insieme la sfida imposta oggi dalla protezione dei dati e per promuovere il libero scambio basato sul rispetto di forti norme sulla privacy. La ricerca di un accordo di adeguatezza nel trattamento dei dati personali dei cittadini trasferiti all’estero e di un quadro normativo transatlantico comune porterebbe all’infittirsi delle relazioni fra Bruxelles e Washington e ciò costituirebbe un volano anche per i reciproci scambi economici e commerciali.
Il modo migliore per affrontare le sfide che gli USA devono tenere in considerazione dal punto di vista privacy è quello di aderire ad una normativa più stringente sulla protezione dei dati, in linea con quanto fatto dall’Unione Europea. Solo lavorando insieme, è possibile creare un ambiente in cui le aziende possono inviare dati liberamente e i cittadini possono riguadagnare la fiducia nell’economia digitale.