Può sembrare strano oggi, dato il ritardo accumulato, ma gli Stati Uniti sono stati i primi ad aver isolato il diritto alla privacy. Nonostante infatti la privacy, intesa come “riservatezza”, sia un concetto innato e profondamente legato alla natura umana, la prima a riconoscerne l’importanza come espressione della persona e, in quanto tale, a reclamare la necessità di una protezione indipendente della stessa da un punto di vista legale, fu la dottrina nordamericana, nelle persone di Samuel D. Warren e Louis D. Brandeis.
Ci si chiede cosa penserebbero oggi i due studiosi della carenza nel loro sistema legislativo di una disciplina completa e globale volta a tutelare i dati riferibili alle persone fisiche, nonché di un’autorità specifica che sia deputata ad assicurarne l’applicazione.
Un ritardo che il governo americano sta tentando di colmare, ma con molta fatica, vista la complessità del tema, il diverso approccio rispetto alla Ue e i forti interessi delle aziende hi-tech.
La privacy nel XIX secolo
La definizione di privacy del 1890, naturalmente, era diversa da quella attuale e faceva riferimento, utilizzando le parole del Judge Cooley, al “right to be let alone”.
Tuttavia, nonostante dalla fine del XIX secolo ad oggi, il concetto di “privacy” abbia subito una profonda evoluzione (profondamente connessa alla rivoluzione tecnologica che ha interessato il mondo negli ultimi decenni), la carenza nel sistema nord americano di una disciplina federale omnicomprensiva e completa volta a tutelare la privacy – nell’evoluto significato di dato riferibile alla persona e, in quanto tale, capace di esprimere aspetti della persona stessa – emerge con maggior vigore in ragione del background che caratterizza tale Paese in relazione alla specifica materia.
A maggior ragione se si pensa che per i due studiosi sopra menzionati, per quanto la protezione di alcune espressioni dell’uomo sia implicitamente ricompresa nel sistema legislativo di riferimento, in alcuni frangenti, si rende necessario definire nuovamente l’esatta natura ed estensione di tale protezione.
La necessità di una disciplina federale, generale e onnicomprensiva
Nonostante il “ritardo” al quale stanno comunque cercando di porre rimedio, gli Stati Uniti sono pienamente consapevoli, soprattutto in considerazione del momento storico in cui ci troviamo, di tale necessità. Conseguentemente, si stanno muovendo, sebbene non senza difficoltà, per disciplinare compiutamente la materia.
Trattandosi, come sopra detto, del Paese che ha dato i natali al diritto alla privacy, quanto precede non significa che i cittadini siano completamente sprovvisti di tutele in relazione alle proprie informazioni. Ciò che manca è una disciplina federale, generale e omnicomprensiva posta specificamente a tutela dei dati personali. Tale lacuna emerge con maggiore vigore avendo riguardo ad alcune aree specifiche, come le attività e servizi erogati via internet, ovvero avendo riguardo al trattamento dei dati personali effettuato da parte dei soggetti privati (l’attuale sistema di protezione dei dati personali, infatti, vede una forte tutela dei consumatori rispetto ai trattamenti effettuati da parte degli enti governativi mentre la protezione è molto più limitata se si guarda ai trattamenti effettuati da parte dei soggetti privati).
Le normative privacy Usa a tutela delle informazioni personali
Osservando il sistema nord americano, ad oggi, invero, le normative che tutelano le informazioni personali sono numerose.
In particolare, a livello federale esistono diverse leggi specifiche che dettano norme a tutela di alcuni dati particolari o nei confronti di alcuni soggetti specifici. A livello nazionale, invece, alcuni Stati hanno emanato leggi che prevedono una tutela più compiuta e generale dei dati personali.
Più specificamente, a livello federale, per esempio, sebbene non vi sia una disciplina specifica che regoli quali informazioni debbano essere incluse nella privacy policy dei siti web, tuttavia, il “Federal Trade Commission Act” vieta e punisce alcuni comportamenti rilevanti da un punto di vista privacy, inquadrandoli come “pratiche ingannevoli”: a titolo esemplificativo, sono classificati e sanzionati come tali il mancato rispetto di una privacy policy pubblicata sul sito di riferimento o la mancata garanzia di sistemi di sicurezza dei dati personali raccolti.
Un altro esempio di legge federale che prevede una tutela dei dati personali è il “Children’s Online Privacy Protection Act”, che regola la raccolta online di informazioni relative ai minori. Proprio sulla base delle disposizioni contenute in tale normativa, a settembre di quest’anno, a seguito del procedimento avviato da parte della Federal Trade Commission, Google e YouTube hanno accettato di pagare, a titolo transattivo, una sanzione per circa 170 milioni di dollari a definizione del procedimento instaurato.
Altre leggi federale posta a tutela della raccolta e del trattamento dei dati personali sono l’ “Health Insurance Portability and Accounting Act”, relativo ai dati sanitari, il “Gramm Leach Bliley Act”, che regola il trattamento di dati raccolti da banche e istituti finanziari e il “Fair Credit Reporting Act”, in materia di informazioni sul credito.
Avendo riguardo alle leggi statali, invece, sono 29 gli Stati che hanno adottato leggi a tutela dei dati personali dei propri residenti. Tuttavia, si tratta di normative che differiscono per completezza di tutela prevista e applicazione soggettiva, sia attiva sia passiva. Alcune trovano applicazione esclusivamente nei confronti di enti governativi, alcune solo nei confronti di enti privati o di alcune categorie di essi, altre nei confronti di tutti i soggetti.
La normativa ritenuta più completa è il “California Consumer Privacy Act” (CCPA) che entrerà in vigore il 1° gennaio 2020. La disciplina in parola sancisce per i residenti della California nuovi specifici diritti relativi alle proprie informazioni personali e impone specifici doveri di protezione in capo a determinate entità che svolgono la propria attività e erogano i servizi in California.
Un sistema di tutela frammentato
Come è possibile desumere da quanto precede, si tratta dunque di un sistema che, si ribadisce, non è completamente privo di tutele ma che, tuttavia, appare da un lato molto frammentato e, in quanto tale, potenzialmente fonte di complicazioni applicative e, dall’altro lato, non compiuto e, pertanto, avente dei gap di protezione in un momento storico in cui il trattamento dei dati personali è sempre più massivo e invasivo. Queste sono tra le principali ragioni che hanno determinato l’insorgere dell’esigenza di una legislazione globale e omnicomprensiva.
La mancanza di un’Agenzia federale
Inoltre, a differenza del sistema europeo e di altri sistemi evoluti, nel sistema nord americano emerge altresì la carenza di un’agenzia federale che, come per altri settori, sia specificamente deputata allo sviluppo di standard di sicurezza in materia di tutela della privacy e all’applicazione di tali standard e, più in generale, delle relative leggi.
Per far fronte alle violazioni della privacy attuate e tutelare i consumatori, attualmente viene infatti utilizzata la Federal Trade Commission. Si tratta dell’autorità federale istituita ai primi del XX secolo per assicurare la concorrenza leale nel mercato e perseguire le posizioni di monopolio abusivo. A far data dagli anni ’90, tale agenzia è inoltre divenuta, di fatto, l’autorità deputata alla tutela della privacy. L’agenzia, pertanto, dispone di poteri e risorse limitati per far fronte alle crescenti problematiche afferenti i dati personali.
In primo luogo, come rilevato dal presidente della medesima commissione ad aprile di quest’anno, in una lettera indirizzata al Congresso, l’agenzia può disporre soltanto di 40 funzionari che si occupano delle problematiche relate alla privacy, numero chiaramente insufficiente a garantire un’attività di controllo paragonabile a quella effettuata quotidianamente dalle autorità europee.
In secondo luogo, non essendo stata istituita per perseguire condotte rilevanti da un punto di vista privacy, bensì per tutelare la concorrenza, è incentrata e conseguentemente strutturata sull’investigazione e il perseguimento di pratiche commerciali scorrette e sleali e non già sulle potenziali violazioni dei dati personali, in relazione alle quali ha dunque poteri fortemente limitati. Inoltre, anche in relazione ai limitati poteri alla stessa conferiti, l’ampia area operativa dalla medesima ricoperta determina, da un lato, la dispersione delle risorse e, dall’altro, l’impossibilità di un effettivo controllo anche sulla privacy.
La situazione globale, che vede i Paesi più avanzati aver già adottato una disciplina compiuta a tutela del trattamento dei dati personali e aver istituito autorità specificamente deputate a garantire tale tutela, unitamente alla potenziale completa frammentazione della disciplina a livello nazionale e all’effettiva esigenza emergente dall’avanzamento della tecnica di regolare compiutamente la materia, hanno dunque messo d’accordo Democratici e Repubblicani al Congresso, la Casa Bianca, così come le grandi imprese hi-tech e le associazioni dei consumatori sulla necessità di un intervento a livello federale.
Tuttavia, nonostante l’unanime interesse e consenso manifestato, nessuna legge federale è stata ancora varata. Come è possibile immaginare, gli ostacoli sono da rinvenirsi nei dettagli. Non sono infatti pochi i punti di contrasto e le diversità di opinioni derivanti dai differenti interessi coinvolti che hanno determinato l’insorgere di numerose complessità nell’effettiva e fattiva attuazione di un sistema uniforme e generale.
Pertanto, nonostante le proposte di legge avanzate siano state varie, non si è ancora raggiunto un accordo.
Tutti i nodi da sciogliere
I temi sui quali si è discusso e si continua a discutere sono molteplici.
A titolo esemplificativo, i Repubblicani e le imprese premono affinché venga approvata una legge federale che prevalga sul “California Consumer Privacy Act” (CCPA) e, più in generale, sulle leggi statali, al fine di evitare la frammentazione delle disposizioni da applicare e le conseguenti difficoltà e costi derivanti dall’obbligo di conformarsi a tutte le discipline applicabili. Dall’altro lato, i Democratici e le associazioni dei consumatori sembrano riluttanti a supportare una legge federale qualora questa possa pregiudicare una protezione statale più forte.
Parimenti, non è stata raggiunta unanimità di consensi in ordine all’autorità che si dovrà occupare dell’applicazione della normativa. Alcuni, infatti, ritengono che sarebbe necessario istituire una nuova agenzia, specificamente costituita e strutturata per tutelare la privacy. In tal senso la proposta di due rappresentanti del partito democratico membri della camera dei rappresentanti della California che, all’interno della proposta di una legge federale volta a disciplinare la privacy online (“Online Privacy Act”), hanno previsto l’istituzione di una autorità ad hoc, la Digital Privacy Agency, autorizzandola alla formazione di un organico avente fino a 1600 funzionari.
Altri, basandosi sull’assunto che le preoccupazioni sulla protezione dei dati non sarebbero fondate poiché non vi sarebbe un effettivo e reale potenziale danno, ritengono che la creazione di una nuova agenzia possa costituire un ostacolo allo sviluppo dei servizi digitali.
Altri ancora, collocandosi in una posizione mediana, sostengono che non sarebbe necessaria l’istituzione di una nuova agenzia ma sarebbe opportuno conferire maggiori poteri alla Federal Trade Commission. In questo senso, un senatore del partito Democratico, che a metà ottobre ha avanzato una proposta di legge volta a conferire alla Federal Trade Commission il potere di comminare sanzioni per violazioni specificamente inerenti i temi privacy nonché a potenziare il personale della stessa con l’assunzione di ben 175 funzionari aggiuntivi rispetto a quelli ad oggi impiegati.
Un ulteriore tema che vede opinioni contrastanti, afferisce alle modalità di intervento dell’autorità, a prescindere che si tratti di autorità ad hoc ovvero di autorità già esistente alla quale verranno conferiti nuovi poteri. La questione che si pone è relativa al momento in cui tale autorità dovrebbe essere legittimata ad intervenire e quindi al tipo di approccio che dovrebbe essere adottato. Più in particolare, si discute se l’approccio da adottarsi sia quello di conferire all’autorità il potere di intervenire per il solo fatto che sia stata attuata una violazione del diritto alla privacy dell’interessato (a prescindere dall’effettivo danno subito dallo stesso) ovvero se l’intervento debba essere subordinato all’accertamento di un effettivo danno subito dal cittadino quale conseguenza dell’illegittimo utilizzo dei suoi dati personali.
Le big tech e l’approccio Ue
Sul punto le imprese hi-tech hanno rilevato e sottolineato, in maniera molto interessante, come l’approccio basato sull’intervento legato al danno e non alla mera violazione sia da ritenersi uno degli elementi che ha determinato il successo delle imprese americane nella creazione e nello sviluppo di un’industria che offre servizi digital, mentre l’approccio adottato dall’Europa, basato sulla tutela del diritto alla privacy, anche laddove non emerga un danno nei confronti dell’interessato, sia probabilmente uno degli elementi di ostacolo allo sviluppo, in tale territorio, almeno nei termini delle big tech della Silicon Valley, delle imprese, nell’erogazione dei servizi online e, più in generale, nel settore hi-tech, che come noto, sempre in maniera più ampia, operano attraverso l’utilizzo dei big data.
In relazione ai poteri da conferire all’autorità che verrà preposta alla tutela della privacy, si discute altresì sull’estensione del potere regolatorio che verrà alla stessa conferito.
Un ulteriore argomento di discussione strettamente correlato invece alla privacy come diritto è quello relativo al conferimento al consumatore di un diritto di agire direttamente contro i soggetti che violino la legge sulla privacy. Sul tema i Repubblicani paiono essere scettici in ragione dei connessi problemi che potrebbero sorgere.
Da un punto di vista di garanzia e effettività di tutela, un’importante e forte proposta è stata avanzata dal senatore Democratico rappresentante dell’Oregon Ron Wyden – che si sta occupando da tempo del tema – il quale, al fine di garantire una seria considerazione dei temi privacy da parte delle grandi aziende, ritiene che sarebbe necessario prevedere sanzioni di carattere pecuniario e di carattere penale nei confronti degli amministratori delegati di tali aziende. Come è facile immaginare, di contro, le proposte di legge supportate dall’Internet Association, la lobby che rappresenta, tra gli altri, i giganti come Facebook, Amazon, Google e Microsoft, non sposa tale tipologia di approccio.
Le profonde differenze di approccio alla materia, strettamente correlate agli interessi sottesi, sono pertanto la causa dei rallentamenti subiti nel processo volto alla costruzione di un sistema compiuto.
In ragione di tali differenze, si ritiene che, nonostante le molteplici proposte avanzate soprattutto nell’ultimo biennio da più fronti e nonostante i numerosi incontri per tentare di trovare un punto di incontro, visto l’esiguo lasso di tempo rimasto, alcuna legge verrà approvata entro dicembre.
Tuttavia, si coglie l’attenzione e la centralità che in questo momento viene riservata al tema, sia da parte della classe politica, sia da parte degli operatori del mercato, sia da parte delle associazioni dei consumatori. Ciò fa presumere che, sebbene con le difficoltà e gli ostacoli derivanti dalle complicazioni di cui sopra e dal confronto tra i diversi poteri coinvolti, un intervento a livello federale non tarderà ad arrivare.