USA, come sta cambiando l’approccio alla privacy: la grande svolta

In poco più di due anni dall’entrata in vigore del GDPR, non è solo il contesto europeo a essere mutato, ma è anche la legislazione sulla privacy degli Stati Uniti ad aver subito diverse modificazioni in relazione agli sviluppi sociali e culturali.

L’evoluzione tecnico-normativa e l’ampliato ambito di applicazione territoriale del GDPR, hanno portato ad un progressivo avvicinamento tra il modello americano ed europeo di tutela della riservatezza e dei relativi dati personali^[1].

Ripercorriamo le tappe di questo avvicinamento.

Dal “right to be alone” alla data protection

La prima teorizzazione del “right to be let alone” è rinvenibile, come noto, nella pubblicazione nel 1890 del saggio “The Right to privacy”, sull’ Harvard Law Review, a firma di Samuel D. Warren e Louis D. Brandeis^[2]. Il 1890 rappresenta, tuttavia, il momento della formalizzazione giuridica di tale tesi, considerato che già prima, nella causa Wheaton vs. Peters^[3], la Corte Suprema degli Stati Uniti aveva riconosciuto ad un soggetto imputato in un procedimento penale il diritto a non essere oggetto costante dell’attenzione della stampa, fino a che non fosse stato provata la sua colpevolezza e responsabilità.

Inoltre, nel 1870 il filosofo statunitense Ralph Waldo Emerson nel saggio “Society and Solitude” aveva individuato nella solitudine una fonte di libertà applicando alla vita privata (immateriale) la logica (materiale) del recinto posto a difesa dell’integrità del patrimonio materiale dell’individuo.

Privacy, la strada degli USA verso la prima norma federale

La distinzione tra sfera privata e sfera pubblica della vita non era, dunque, nuova all’ordinamento statunitense, ma l’avvento della nuova forma di comunicazione rappresentato dai primi quotidiani, imponeva un suo maggior dettaglio.^[4]

Il successivo sviluppo tecnologico degli anni ‘80 e ‘90 e la tendenza europea a regolare le nuove attività, piuttosto che lasciarle a forme di autocontrollo, ha portato alla definizione della disciplina in materia di trattamento dei dati, nella prospettiva della protezione degli stessi, la cosiddetta data protection.^[5]

Negli USA, tradizionalmente, questo approccio normativo è stato sempre trascurato, almeno fino ad oggi.

La California, infatti, è stata il primo stato americano a adottare una normativa basata sui principi cardine del Regolamento EU n. 679/2016 (GDPR), volta a tutelare le informazioni personali dei singoli. E, più di recente, fa seguito la Virginia, che è il secondo Stato ad aver seguito le orme californiane e ad adottare il Consumer Data Protection Act (CDPA), che entrerà in vigore il 1° gennaio 2023. Nel mezzo una serie di interventi normativi, come quello della Georgia, volti ad attribuire ai titolari dei dati specifici diritti e tutele rispetto ai trattamenti dei dati personali^[6].

Ma questo fenomeno contiene in sé un concetto molto più ampio, dato forse dalla eccezionale applicabilità territoriale del GDPR che non si limita alla sua portata normativa ma si estende nei principi e negli obblighi, investendo trasversalmente le legislazioni in materia di tutto il mondo.

USA vs EU: le differenze normative per il trattamento dei dati personali

Il diritto alla privacy non ha sempre ricompreso al suo interno un diritto alla “data protection”, concetto principalmente di natura europea, ma in senso più ampio esso ricomprendeva quel senso di riservatezza relativo alla propria sfera privata, ancorato al concetto originario di matrice statunitense quale “the right to be let alone”.

L’evoluzione di Internet e l’espansione del processo tecnologico ha contribuito a spostare il baricentro del diritto alla privacy, ricomprendendo al suo interno anche la protezione dei dati personali, venendo così a configurarsi come un diritto ad esercitare un controllo sulle proprie informazioni, consentendo di sapere chi sta raccogliendo dati personali sul proprio conto^[7].

Così, a margine del diritto alla privacy, la dottrina europea sin dalla fine degli anni ‘60 ha teorizzato il diritto alla protezione dei dati, come diritto dei singoli a limitare l’impiego dei propri dati personali per finalità diverse rispetto a quelle per cui i dati sono stati conferiti. L’avvento delle tecnologie informatiche e telematiche e la possibilità di utilizzare i dati personali per molteplici finalità ha favorito la progressiva affermazione di questo secondo diritto nella legislazione europea. La risposta normativa europea al mutare dei contesti tecnologici di riferimento è stata, infatti, la disciplina positiva della protezione dei dati attribuendo al soggetto a cui gli interessati conferiscono i dati, ovvero il titolare del trattamento dei dati, l’obbligo di rispettare i vincoli posti e di proteggere i dati ricevuti^[8].

Sono ictu oculi evidenti le profonde differenze che caratterizzano i due modelli di tutela: da un lato vi è l’ampio diritto ad impedire turbative nella propria vita privata – diritto alla privacy – che non prevede una legislazione di riferimento ed è azionabile solo in sede giudiziaria, dall’altra c’è un diritto a che i soggetti a cui i dati vengono conferiti li proteggano – right to data protection – che al contrario del primo reca una analitica serie di previsioni di dettaglio e prevede strumenti rimediali anche stragiudiziali. Ciò che, parallelamente, emerge è che mentre in Europa la “data protection” si affianca

alla tutela della privacy, negli Stati Uniti d’America il diritto alla privacy non porta con sé anche la protezione dei dati personali ed ha una tutela indiretta attraverso strumenti rimediali generali dell’ordinamento.

Pertanto, il diritto alla privacy “nato” negli Stati Uniti, inteso come quel labile confine che intercorre tra riservatezza e informazione^[9], è a livello europeo che si sviluppa e si qualifica come un diritto inviolabile dell’uomo plasmandosi ex novo e curvandosi aderentemente su un nuovo mondo virtuale.

Si è affiancato così nel tempo, al modello nordamericano, incentrato esclusivamente sulla tutela della privacy, il modello europeo che valorizza a contrario anche la dimensione del trattamento dei dati personali.

Ciò che permane è però la presenza, nello stato federale degli Stati Uniti d’America, di una frammentazione normativa volta a disciplinare i rapporti tra privati, così da qualificare il sistema di protezione dei dati americano un sistema di natura settoriale, ove la tutela della privacy non risulta differente solamente tra lo Stato federale e gli stati federati, ma anche tra i singoli stati

Dalla California alla Virginia: una nuova concezione della privacy

Il GDPR è ben noto per essere la legge sulla privacy e sulla sicurezza delle informazioni personali più completa a livello globale, grazie all’ampia portata normativa e al suo severo sistema sanzionatorio per coloro che violano gli standard di privacy e sicurezza previsti all’interno del regolamento.

L’impatto del GDPR è stato avvertito negli Stati Uniti quando è entrato in vigore nel 2018, ed infatti il California Consumer Privacy Act (“CCPA”) è stato il primo esempio del recepimento del GDPR negli Stati Uniti. Il CCPA, in vigore dal 1° gennaio 2020, è stata pertanto la prima legge sulla privacy a proteggere i consumatori residenti in California che acquistano, a titolo personale, beni o servizi da imprese che operano nel settore business in California ed effettuano operazioni di trattamento sui dati medesimi.

Tra le principali somiglianze rinvenibili tra il CCPA e il GDPR, emerge anzitutto la tutela dei diritti che entrambi i regolamenti forniscono ai consumatori, quali il diritto di conoscere le informazioni personali che una società possiede, il diritto di ottenere informazioni sulla fonte di raccolta, la natura delle informazioni raccolte, eventuali divulgazioni di dati personali, trasferimenti o vendite a terzi e le finalità che giustificano la conservazione dei dati^[10]. Sono presenti anche alcune similitudini tra le basi giuridiche del trattamento, distinguendo tuttavia tra il “legittimo interesse” unionale, e l’“internal use” californiano.

California Consumer Privacy Act e Gdpr: modelli privacy a confronto

Fa seguito adesso alla California la Virginia, la quale ha approvato il 2 marzo 2021, il Consumer Data Protection Act (“CDPA”), una legge che delinea le responsabilità e gli standard di tutela della privacy sia per i titolari del trattamento che per i responsabili del trattamento, introducendo in particolare la definizione di “dati sensibili”, comprensivi di tutte quelle informazioni riguardanti l’origine razziale e le convenzioni religiose, dati relativi alla salute mentale o fisica, l’orientamento sessuale, la cittadinanza o lo stato di immigrazione^[11].

Il CDPA, in vigore dal prossimo primo gennaio 2023, si applica a persone o entità che conducono affari in Virginia o producono prodotti o servizi offerti ai residenti in Virginia e che “controllano o trattano” dati personali di almeno 100.000 consumatori, o controllano o trattano i dati di almeno 25.000 residenti in Virginia che traggono anche il 50% o più delle loro entrate lorde dalla vendita di dati personali.

Il CDPA, sebbene segua il quadro normativo del CCPA, presenta tuttavia alcune differenze chiave, come ad esempio il mancato diritto privato di azione. Piuttosto, tutte le azioni devono essere promosse dal procuratore generale della Virginia.

Il trattamento dei dati biometrici

Un ulteriore elemento indiziario del progressivo avvicinamento del modello europeo e americano, è rinvenibile nella progressiva attenzione che gli Stati Uniti stanno ponendo alla tutela delle informazioni personali, e in particolar modo al trattamento dei dati biometrici. Probabilmente, il dato biometrico più antico e più comune è l’impronta digitale, il cui utilizzo è stato a lungo impiegato nelle indagini penali e per la sicurezza nazionale nonché per altri scopi identificativi, come ad esempio nel contesto lavorativo per monitorare le ore lavorate e consentire l’accesso ai dipendenti a sistemi informatici o ad aree riservate. Negli ultimi anni, lo sfruttamento commerciale delle impronte digitali e di altri dati biometrici ha iniziato a prendere forma, poiché le aziende stanno trovando modi sempre più innovativi per raccogliere e utilizzare dati personali identificativi all’interno della sfera commerciale. Ad esempio, i consumatori possono ora pagare determinati articoli utilizzando un’impronta digitale o depositare un assegno utilizzando un selfie per autenticare l’identità^[12].

Nell’UE, i dati biometrici sono indicati nel GDPR come una “categoria particolare di dati personali” ed è vietato l’utilizzo o, più in generale, il trattamento di questi dati a meno che non sia ottenuto il consenso esplicito del soggetto interessato, o nelle ipotesi in cui il trattamento sia legittimato dalla presenza di ulteriori basi giuridiche previste dall’art. 9 del GDPR.

Sebbene oltreoceano siano solo tre gli Stati che hanno promulgato statuti che regolamentano la raccolta di informazioni biometriche da parte di imprese private e, rispettivamente, l’Illinois con il Biometric Information Privacy Act (BIPA), il Texas con il Biometric Privacy Statute e Washington con il Biometric Privacy Protections, emerge come l’attenzione generale si concentri anche qui su aspetti sostanziali circa il trattamento e l’utilizzo del dato biometrico.

Tra le precedenti, quella dell’Illinois resta la più restrittiva e regola “la raccolta, l’uso, la salvaguardia, la manipolazione, l’archiviazione, la conservazione e la distruzione di informazioni biometriche”, lasciando ampio margine al contenzioso grazie al suo diritto di azione privato, che può essere esercitato da tutti i cittadini nei confronti di quelle imprese che non rispettano i requisiti normativi previsti dalla BIPA. A differenza dell’Illinois, la normativa del Texas e di Washington non presentano le stesse garanzie della BIPA, non essendo espressamente richiesto il consenso scritto per il trattamento del dato biometrico o indicate in modo dettagliato le informazioni da inserire nell’informativa da presentare all’utente. In aggiunta, Texas e Washington non consentono l’esercizio di un diritto di azione privato ma la violazione dei requisiti normativi per il trattamento biometrico deve essere proposta in un’azione civile che deve essere presentata dal General Attorney del Texas e di Washington. Sono inoltre da tenere in considerazione ulteriori normative come l’Health Insurance Portability and Accountability Act (“HIPAA”) che, congiuntamente alla privacy, possono fornire protezioni aggiuntive in alcune situazioni che implicano un trattamento di dati più sensibili.

Privacy biometrica: l’approccio Usa (e la lezione per l’Europa)

Class Actions in USA per illecito trattamento dei dati

Come detto, una delle leggi più stringenti sul trattamento biometrico dei dati, la quale consente un diritto di azione privato, è senz’altro la BIPA, ai sensi della quale, un soggetto privato non può raccogliere, acquisire, trattare, ricevere dati biometrici di un soggetto senza aver presentato un’idonea informativa che illustri il trattamento effettuato e senza ottenerne il preventivo consenso espresso dell’utente.

Nei due anni trascorsi da quando la Corte Suprema dell’Illinois ha stabilito che il mancato ottenimento del consenso scritto prima della raccolta dei dati biometrici di un individuo è sufficiente per esercitare un’azione legale ai sensi della BIPA, sono state presentate oltre 800 azioni collettive^[13].

Una delle azioni private di più ampio spessore è sicuramente quella promossa nei confronti di Facebook, la quale è stata condannata al risarcimento di 650 milioni di dollari per il mancato rispetto delle condizioni per il trattamento dei dati biometrici degli utenti previsto dalla legge dell’Illinois. Nello specifico, Facebook avrebbe permesso il tag sulle fotografie caricate sul social semplicemente operando il riconoscimento biometrico del volto presente nella fotografia, senza richiedere agli utenti il consenso di usufruire di tale funzionalità^[14].

La class action è stata promossa da circa il 22% dei cittadini dell’Illinois per i quali Facebook aveva, nel tempo, memorizzato il loro volto per permetterne il tag automatico sulle foto^[15].

Pertanto, 1,6 milioni di residenti dell’Illinois riceveranno circa 345 dollari in base alla sentenza finale. Facebook ha disabilitato le funzionalità di tagging del riconoscimento facciale automatico nel 2019, rendendolo invece soggetto al cd. opt-in dell’utente e affrontando alcune delle critiche sulla privacy echeggiate dalla class action dell’Illinois^[16].

In ambito privato, la maggior parte delle cause intentate dai dipendenti è contro i datori di lavoro, inclusi Speedway e InterContinental Hotels Group, i quali sono stati accusati di raccogliere e memorizzare i dati delle impronte digitali senza consenso e di utilizzare i dati biometrici per controllare i turni di lavoro dei dipendenti^[17].

Non ottenendo il consenso o notificando ai dipendenti come le loro informazioni biometriche vengono raccolte e archiviate, i datori di lavoro hanno violato le disposizioni della BIPA.

L’information Transparency & Personal Data Control Act e l’influenza del GDPR

Agli inizi di marzo, la rappresentante statunitense Suzan Del Bene ha introdotto al 117° Congresso degli Stati Uniti l’Information Transparency and Personal Data Control Act^[18], che si propone l’obiettivo di diventare il primo atto legislativo completo sulla privacy negli Stati Uniti.

Il disegno di legge è stato presentato meno di due settimane dopo che la Virginia ha adottato il CDPA. Il disegno di legge richiederebbe alla Federal Trade Commission di promulgare regolamenti relativi alle informazioni personali sensibili e riconosce alcuni diritti ai consumatori, tra i quali la possibilità di esercitare il controllo sui dati personali che le società raccolgono e su come li utilizzano, l’obbligo di fornire informazioni facilmente comprensibili e accessibili sulla privacy e sulle politiche di sicurezza, l’obbligo per le aziende di raccogliere, utilizzare e comunicare i dati personali in modi coerente con il contesto in cui i consumatori forniscono i dati e garantire un trattamento sicuro e responsabile delle informazioni personali e dei dati più sensibili^[19].

Al di fuori degli Stati Uniti, sono molti i paesi che stanno seguendo l’esempio dell’Europa.

Il GDPR ha infatti avuto un impatto importante sulle leggi globali sulla privacy e paesi come l’Argentina, il Brasile, la Malesia e l’Uruguay, tra gli altri, hanno adottato leggi sulla privacy proprio sul modello del GDPR.

E in America, tutto ha avuto inizio con il CCPA che include, infatti, diversi elementi chiave del GDPR, come i diritti di accesso e di cancellazione, sebbene permangano differenze significative forse ancora improntate su un approccio economico perseguito dall’America, come si rinviene, ad esempio, nel diritto di non vendere le proprie informazioni personale espressamente previsto dal CCPA.

Le norme privacy in California e Brasile: così cresce l’influenza del GDPR

Tuttavia, da un approccio fattuale di protezione dei dati, con il CCPA, gli Stati Uniti hanno adottato la prima normativa vicina ai sistemi di data protection europei, prevedendo sistemi di protezione dei dati improntati sul diritto, di ogni consumatore, di controllare l’insieme delle informazioni a lui riferibili, eliminando la residuale protezione dei dati.

Pare, dunque, che il CCPA abbia rappresentato un importante elemento di avvicinamento tra il modello statunitense e quello europeo cui si è giunti in ragione del combinarsi di molteplici fattori e a cui stanno facendo seguito, sempre più velocemente, analoghe iniziative legislative di altri stati federali che porteranno senz’altro dare un’ulteriore spinta a tale percorso.

In fondo, questo è solo l’inizio per una tutela sulla privacy dei dati orientata alla data protection, ma i diritti dei dati dei consumatori, i requisiti di governance e le responsabilità delle aziende private si evolveranno sicuramente e probabilmente si espanderanno, ricomprendendo sempre più il principio protettivo europeo.

Note

1. A.M. Gambino, A. Stazi (a cura di), La circolazione dei dati Titolarità, strumenti negoziali, diritti e tutele, Pacini Giuridica, 2020 ↑
2. S. Warren, L. Brandeis, The right to privacy, in Harward Law Review, 1890 ↑
3. Wheaton vs. Peters, 33 U.S. 591, 634, 1834, in Standler R.B., Privacy Law in the U.S.A., 1997. Con questa sentenza il Tribunale aveva sancito la pienezza del diritto dell’imputato ad essere lasciato in pace, fino a che non fosse stato provato che avesse commesso la violazione. Non si trattava, quindi, di un vero e proprio diritto alla privacy così come fu successivamente inteso da Warren e Brandeis. ↑
4. Per una interessante ricostruzione della nozione di vita privata attraverso le varie epoche storiche, si veda S. Niger, Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei dati personali Padova 2006 pp.11-30. ↑
5. Sul punto si permetta di rinviare a D. Mula, Dal diritto alla cultura della riservatezza, in Dove non arriva la privacy. Come creare una cultura della riservatezza, E. Romanelli (a cura di), ETS, 2019. ↑
6. Ad es. il Personal Identity Protection Act (“PIPA”) adottato in Georgia ha introdotto nell’Official Code of Georgia Annotated l’obbligo di notifica ai consumatori in caso di data breach (Ga. Code Ann. § 10-1-911to §10-1-915). ↑
7. Oggi l’informatica, le reti internet e le connessioni che si instaurano tra queste e le cose materiali, consentono di raccogliere, gestire e analizzare grandi quantità di dati e tale fenomeno è ormai da tempo sintetizzato nell’espressione Big Data. in dottrina, cfr.: Gambino A.M., Stazi A., Mula D., Diritto dell’informatica e della comunicazione, Torino, Giappichelli, 2019 (3a ediz.). ↑
8. Mula D., Big data vs data privacy, in La rivoluzione digitale nei servizi finanziari tra innovazione, diritti e concorrenza, Falce V., Finocchiaro G. (a cura di), Bologna, Zanichelli, 2019 ↑
9. Cfr. V. Gallo, I servizi di cloud computing e l’ambito di applicazione del Regolamento (UE) n. 2016/679: verso l’avvicinamento del modello europeo e statunitense?, in Diritto Mercato Tecnologia, 30 novembre 2019 ↑
10. Cfr. Cal. Civ. C. §1798.110(a)(1) ↑
11. Virginia’s New Consumer Data Protection Act (CDPA) https://www.lexology.com/library/detail.aspx?g=adaf6e67-d384-4aa5-a50b-ad8e31f43d8c ↑
12. T.L. Banks, F.Z. Banks, Corporate Legal Compliance Handbook, June 2020 (3rd Ed). ↑
13. Justin Lee, Facebook Says Illinois Biometrics Privacy Law Violates Constitution, in Biometric Update (Nov. 21, 2016), http://www.biometricupdate.com/201611/facebook-says-illinois-biometrics-privacy-law-violates-constitution ↑
14. R. Channick, Facebook privacy settlement approved: Nearly 1.6 million Illinois users will ‘expeditiously’ get at least $345, in Chicago Tribune (Feb. 26, 2021). ↑
15. Jared Bennett, Facebook: Your Face Belongs to Us, in The Daily Beast (July 31, 2017), https://www.thedailybeast.com/how-facebook-fights-to-stop-laws-onfacial-recognition ↑
16. Facebook Biometric Info. Privacy Litig., 185 F. Supp. 3d 1155, 1172 (N.D. Cal. 2017) (holding that the plaintiff users stated a claim under BIPA) ↑
17. Amy Korte, Illinois Employers Flooded with Class-Action Lawsuits Stemming from Biometric Privacy Law, in Ill. Pol’y (Oct. 17, 2017) https://www.illinoispolicy.org/illinois-employers-flooded-with-class-actionlawsuits-stemming-from-biometric-privacy-law/ ↑
18. https://delbene.house.gov/uploadedfiles/delbene_consumer_data_privacy_bill_fact_sheet.pdf ↑
19. US Representative Suzan DelBene Introduces Federal Privacy Bill, https://www.lexology.com/library/detail.aspx?g=6ec46006-42f3-4b68-b33d-b70d127abdc8 ↑