Dopo ben tre anni di quiescenza nelle stanze delle commissioni parlamentari di Washington, sembra ormai in discesa la strada verso l’approvazione dell’American Data Privacy and Protection Act (ADPPA), ovvero la normativa privacy federale statunitense, contraltare del GDPR europeo.
A inizio giugno, infatti, è stata presentata e resa disponibile online una bozza della legge, frutto di una complessa mediazione fra le forze politiche.
La notizia era stata comunque accolta tiepidamente in quanto il consenso bipartisan necessario a catalizzare l’approvazione parlamentare di una simile disciplina sembrava ancora da assestare visti i malumori registrati su entrambi gli schieramenti e le critiche provenienti da esperti del settore.
Ora però nuovi elementi sembrano aver fornito ulteriore spinta propulsiva al percorso parlamentare di questa legge.
Aborto “abolito” negli Usa, ora la privacy è nel mirino delle autorità
Innanzitutto, in seno al “House Committee on Energy & Commerce” della Camera USA si è votata una nuova proposta di legge che riprende in massima parte il contenuto della bozza di giugno, intervenendo però su alcune questioni che avevano sollevato le critiche più accese.
La bozza, anch’essa resa disponibile online dopo la votazione, appare quindi sospinta da un rinnovato consenso bipartisan, ma anche dalla necessità di “correggere” le storture che potrebbero derivare dalla sentenza della Corte Suprema USA che ha rovesciato il giudizio Roe v. Wade in tema di diritto all’aborto.
Roe v. Wade e il diritto alla privacy
La connessione fra il tema dell’aborto e quello della privacy infatti è, negli USA, strettissima.
Il diritto alla privacy, sebbene non esplicitamente menzionato nella Costituzione statunitense, è stato infatti variamente “costruito” dalla giurisprudenza federale USA sulla base di alcuni degli emendamenti alla Costituzione (il quarto, il nono e il quattordicesimo).
Quando si è trattato di decidere sulla legittimità della disciplina texana in tema di diritto all’aborto, nel 1973, i giudici della Corte Suprema hanno preso le mosse proprio da questo percorso giurisprudenziale per porre nel nulla quella disciplina, tesa a criminalizzare ogni forma di aborto diversa da quella finalizzata a salvare la vita della madre.
Nell’esaminare la giurisprudenza che l’ha preceduta, la Suprema Corte affermava precisamente che: “Although the results are divided, most of these courts have agreed that the right of privacy, however based, is broad enough to cover the abortion decision; that the right, nonetheless, is not absolute and is subject to some limitations; and that at some point the state interests as to protection of health, medical standards, and prenatal life, become dominant. We agree with this Approach.”
E ancora: “This right of privacy, whether it be founded in the Fourteenth Amendment’s concept of personal liberty and restrictions upon state action, as we feel it is, or, as the District Court determined, in the Ninth Amendment’s reservation of rights to the people, is broad enough to encompass a woman’s decision whether or not to terminate her pregnancy.”
É quindi nel diritto alla privacy dell’individuo che trova fondamento la tutela della donna dall’intrusione dello stato in una decisione che è e che deve rimanere privata.
Questo esteso concetto giuridico di privacy era quindi il principale fondamento del diritto all’aborto sancito a livello federale negli Stati Uniti.
Già nel 1973 questa ricostruzione aveva sollevato qualche perplessità come si può leggere nella dissenting opinion del giudice Rehnquist, in cui si contesta proprio l’estensione del diritto alla privacy fino a comprendere una decisione come quella del diritto all’aborto, decisione che di fatto poco ha a che fare con il moderno concetto di privacy, il quale tutela senz’altro la riservatezza della scelta di abortire, ma non si spinge a sindacare se questa è lecita od illecita.
Gli effetti della sentenza Dobbs v. Jackson Women’s Health Organization
Dopo cinquant’anni in cui la copertura costituzionale è stata, in via interpretativa, estesa al diritto alla privacy e questo è stato a sua volta esteso in via interpretativa fino a garantire il diritto all’aborto, la consolidata e stratificata posizione della Corte Suprema USA è stata improvvisamente rovesciata nella sentenza Dobbs v. Jackson Women’s Health Organization del 24 giugno 2022.
Nella sentenza si attacca su più fronti e con veemenza la ricostruzione fatta dai giudici in Roe v. Wade, il cui ragionamento è definito in sentenza come “egregiously wrong” e fondato su argomentazioni “exceptionally weak”, tanto da costituire un vero e proprio “abuse of judicial authority”.
Secondo il recentissimo arresto della Suprema Corte il “diritto alla privacy”, sebbene esista e possa essere ricondotto alla Costituzione statunitense, non può estendersi al “right to shield information from disclosure and the right to make and implement important personal decisions without governmental interference”, approdo invece connaturale e ormai acquisito al diritto europeo.
La sentenza Dobbs v. Jackson Women’s Health Organization non si limita quindi a rimettere ai singoli stati USA la legiferazione in tema di diritto all’aborto (con conseguente “ritorno al 1972” per molti di questi stati), ma di fatto ridimensiona il diritto alla privacy dei cittadini.
Secondo molti questa decisione rischia di compromettere altre normative che negli USA sono considerate “privacy laws” come quelle relative all’accesso (anonimo) a contraccettivi, all’uguaglianza matrimoniale ed ai diritti delle coppie omosessuali.
Si sono quindi levate voci, come quelle di Samantha Lai e Brooke Tanner del Brookings Institution Center for Technology Innovation che chiamano il Congresso non solo ad approvare una normativa federale in tema di diritto all’aborto, ma anche una disciplina comune in tema di diritto alla privacy, diritto che è del pari menomato dalla sentenza.
Qualcuno addirittura “indirizza” i cittadini USA ad una maggiore attenzione alla propria privacy, in quanto le ingerenze governative sui nostri dati potrebbero moltiplicarsi alla luce della diminuita tutela che consegue all’approvazione della sentenza, invitando ad adottare strumenti criptati per la messaggistica, VPN, ed estensioni browser per limitare il tracciamento.
Una riflessione in questo senso va quindi fatta anche in ottica europea, con il trasferimento di dati personali al di là dell’Atlantico che subisce un ulteriore duro colpo, proveniente dalla direzione più inaspettata, e mette ancor più in crisi l’assunto per cui, politicamente o per contratto, si possa raggiungere un livello di tutela equivalente fra USA e UE per quanto riguarda la tutela dei dati personali.
La spinta verso l’approvazione dell’ADPPA
É quindi proprio dal rovesciamento di Roe v. Wade che trae rinnovata energia la proposta per una legge privacy federale, chiamata a garantire un livello di tutela elevato a tutti i cittadini statunitensi.
I tragici effetti della sentenza Dobbs v. Jackson Women’s Health Organization (talmente estesi da riuscire a diventare persino comici con il tentativo di una guidatrice in dolce attesa del Texas di convincere gli agenti che a bordo c’erano due persone e che quindi era ben legittimata a transitare sulla corsia d’emergenza) hanno contribuito a riaccendere l’interesse per un intervento legislativo federale diretto sia a garantire il diritto all’aborto, sia a garantire il diritto alla privacy, menomato per incidens dalla Suprema Corte.
Ed è significativo che poco dopo la sentenza il “House Committee on Energy & Commerce” abbia approvato una nuova bozza del Privacy Act, spezzando nuovamente il torpore in cui questa normativa era stata confinata negli anni passati.
Il contenuto della nuova versione del Privacy Act
La normativa contiene inoltre delle significative innovazioni rispetto alla bozza presentata a inizio giugno, quali una maggiore insistenza sul principio della minimizzazione dei dati, rinvigorito nella sua formulazione alla sezione 101 della bozza e che ora prevede un generalizzato divieto di trattare i dati salvo nei casi ammessi ed elencati nel medesimo articolo.
Nell’elenco dei casi ammessi il grande assente è il consenso, che è utilizzabile unicamente per selezionate operazioni di trattamento (es. per trattare dati relativi alla cronologia delle ricerche web o di navigazione in forma aggregata, per autorizzare modifiche del trattamento successive all’inizio del rapporto, per trasferire dati sensibili o relativi a minori a terzi, per evitare di dover cancellare i dati quando non più necessari per gli scopi per cui sono stati raccolti). Questa anomalia è compensata dall’estensione dei casi di utilizzo autorizzato dei dati, che si spingono all’advertising personalizzato (che sarà quindi lecitamente effettuabile a prescindere dal consenso dell’interessato).
Quanto ai dati sensibili scompaiono dall’elenco i dati relativi a razza, etnia, nazionalità, religione, affiliazione a sindacati, che nella precedente bozza vi rientravano se trattati “in una maniera non conforme rispetto alle legittime aspettative di un individuo riguardo alla diffusione di tali dati”.
Questa imponente deviazione rispetto a quanto previsto dal GDPR è in parte compensata da disposizioni specifiche in tema di “substantial privacy risk”, che è integrato nel caso di possibili discriminazioni sulla base di razza, etnia, religione, nazionalità, sesso o disabilità, e in tema di valutazione di impatto sugli algoritmi, prescritta anche quando c’è un rischio di discriminazione fondato sulle stesse basi.
Altra interessante novità è costituita da una (parziale) risposta alle critiche relative al private right of action, diritto di azione giudiziale in capo al singolo individuo per far valere le disposizioni dell’ADPPA che nella bozza di inizio giugno era congelata per ben quattro anni dalla data di entrata in vigore della normativa.
La nuova bozza mantiene questa impostazione dimezzando però il tempo in cui il private right of action sarà inefficace, portandolo quindi a due anni.
Resta immutata, infine, la singolare declinazione dell’informativa circa il trasferimento di dati personali in “paesi terzi”, con la prescrizione di segnalare agli utenti tutti i casi in cui un trasferimento dei loro dati coinvolga Cina, Russia, Iraq e Corea del Nord.
Il futuro dell’ADPPA
Nonostante molti elementi convergano in una spinta per il Congresso USA verso l’approvazione dell’ADPPA, non è detto che quella esaminata sarà davvero la normativa privacy degli USA.
Non va infatti sottovalutato il fatto che a novembre ci saranno le elezioni di midterm, che potrebbero scompaginare le fila dei parlamentari che hanno raggiunto l’accordo da cui è scaturito l’ADPPA. Ed è davvero difficile pensare che l’ADPPA possa venire approvato da entrambe le camere del parlamento statunitense prima di quella data.
Conclusioni
Insomma il percorso dell’ADPPA è ancora lungo e irto di ostacoli, ma non c’è dubbio che gli Stati Uniti, per correggere le storture che derivano dal rovesciamento di Roe v. Wade e al contempo anche al fine di ricucire i rapporti con l’Unione Europea in tema di trasferimento dati in questo periodo delicato, non possa che spingere sull’acceleratore per l’approvazione di questa disciplina sicuramente centrale per imbrigliare il fenomeno privacy, fenomeno globale che non ha senso disciplinare a livello locale e che non può davvero essere declinato in 50 diverse sfumature nei vari stati USA.
