La pubblicazione dell’Executive Order del 7 Ottobre da parte del Presidente americano Joe Biden, che getta le basi per un nuovo accordo USA-UE per il trasferimento dei dati transfrontalieri, dopo che prima il Safe Harbor e poi il Privacy Shield sono stati invalidati rispettivamente dalle sentenze Schrems I e II della Corte di Giustizia (CGUE), segna un passo importante nella contrattazione tra USA-EU ma anche nel panorama americano, in un momento di grande confusione e costellata da una miriade di iniziative relative alla privacy.
Quali saranno gli sviluppi?
Le leggi statali e la proposta dell’American Data Privacy and Protection Act (ADPPA)
In mancanza di una legge privacy federale, gli stati americani hanno agito o si stanno organizzando per agire ognuno per proprio conto. Ad oggi, sono cinque gli Stati americani che hanno una legislazione privacy completa (California, Virginia, Colorado, Utah e Connecticut), mentre altri stati (Michigan, New Jersey, Ohio e Pennsylvania) stanno discutendo i propri disegni di legge e altri ancora sono in procinto di farlo. Le leggi del Colorado, della Virginia e del Connecticut si focalizzano sulla difesa dei consumatori, mentre quella Californiana, da sempre considerata la più restrittiva degli Stati Uniti, è di chiara ispirazione europea; fra tutte, si differenzia la posizione dello Utah, che ha approvato una legge molto orientata al business e molto meno al consumatore. Da tutto ciò emerge chiaramente un panorama quanto mai disomogeneo.
L’American Data Privacy and Protection Act (ADPPA), la proposta di legge federale presentata dall’Ufficio del Commercio e attualmente in discussione al Congresso, rappresenta oggi il tentativo più ambizioso di adottare una legge federale sulla privacy dei dati negli Stati Uniti.
Eppure, non tutti, negli Stati Uniti, sono concordi che questa proposta rappresenti la tanto attesa legge federale. La proposta contiene molti elementi già presenti nel Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR) europeo, come la minimizzazione dei dati, la valutazione algoritmica o la privacy by design, ma è fedelmente ancorata al concetto di dato economico, tipico dell’approccio statunitense e ben diverso da quello europeo.
La California ha espresso energicamente, attraverso i suoi rappresentati più autorevoli, il suo disappunto per una legge che, come si legge nella lettera che la California Privacy Protection Agency ha inviato il 15 Agosto alla presidente della Camera Nancy Pelosi e al leader dell’opposizione Kevin McCarthy, “introdurrebbe protezioni più deboli rispetto a quelle di cui attualmente godono i cittadini della California, in virtù del California Privacy Right Act, con il risultato di compromettere la capacità dell’agenzia di soddisfare il proprio mandato”. La stessa Nancy Pelosi, il 1° settembre, ha rilasciato una dichiarazione in cui si unisce alle perplessità sollevate dalla California mettendo di fatto una serie ipoteca sull’esito favorevole dell’ADPPA, perché senza l’appoggio della presidente sembra difficile che il disegno di legge possa essere approvato.
A tutto ciò si aggiunge l’incertezza delle imminenti elezioni di mid-term, che potrebbero cambiare lo scenario politico in maniera significativa, e rimettere tutto in discussione.
Le Colorado Privacy Act Rules
Tra le ultime novità in ambito privacy introdotte recentemente negli Stati Uniti, il 30 settembre, l’ufficio del Procuratore Generale del Colorado ha pubblicato la versione draft delle Colorado Privacy Act Rules, a cui seguiranno una serie di consultazioni, anche pubbliche, per raccogliere i feedback delle parti interessate.
L’insieme di regole, piuttosto complesse, hanno come obbiettivo di andare a completare il Colorado Privacy Act (CPA): ad esempio, è prevista una nuova definizione di dato biometrico, dato sul quale il CPA richiede il consenso prima del trattamento. Un altro set di regole è dedicato a fare chiarezza su come i Titolari del Trattamento devono ricevere, e rispondere, alle richieste dei consumatori, e in questo si possono trovare similitudini con le norme del California Consumer Privacy Act (CCPA). In generale, si può dire che l’insieme di regole arricchisca significativamente i requisiti del meccanismo di opt-out unificato (UOOM); inoltre, il procuratore generale sarà tenuto a mantenere un elenco pubblico di UOOM riconosciute.
Ma le regole evidenziano anche delle peculiarità nell’ approccio del Colorado: l’ informativa agli interessati deve concentrarsi sulle finalità del trattamento (in contrasto con il CCPA, che invece evidenzia le categorie di dati coinvolti), viene introdotta una nuova categoria di dato sensibile, detto “sensitive data inferences”, con particolare attenzione agli adolescenti, e si introduce la necessità di una dettagliata analisi dell’ottenimento del consenso che riprende le linee guida dell’ EDBP. Come spiegato nelle regole, lo scopo delle UOOM è quello di fornire ai consumatori un metodo semplice e di facile utilizzo mediante il quale possono esercitare automaticamente i propri diritti di opt-out con tutti i titolari del trattamento con cui interagiscono senza dover fare richieste individualizzate a ciascun titolare.
L’obiettivo del Colorado è di adottare le regole nella loro versione finale entro febbraio 2023, sebbene tale data sembri eccessivamente ottimistica. In generale, le regole fanno proprie, seppur con qualche novità, elementi già presenti nelle altre leggi statali americane, ben ancorate, a parte l’esperienza Californiana, al tradizionale modello statunitense di dato “economico”.
Scorza: “Executive order di Biden, ecco i punti critici, quelli positivi e quelli da chiarire”
L’Executive Order
L’Executive Order non è stato a tutti gli effetti una sorpresa: esso non è che un altro tassello dell’ “accordo di principio” sul trasferimento dati USA-EU annunciato il 25 marzo, sulla scia della guerra in Ucraina, dal Presidente USA e dalla Presidente della Commissione europea Ursula von der Leyen. Il confronto tra i negoziatori UE e quelli americani non deve essere stato facile, ma fin da subito è stato chiaro che la negoziazione si sarebbe concentrata sugli elementi sollevati dalla Corte nella sentenza Scherms II.
Come hanno evidenziato gli esperti del settore, rispetto al resto delle iniziative americane, nell’Executive Order vi è un importante cambio di prospettiva, che rappresenta più una rivoluzione che una evoluzione: introduce, infatti, criteri di necessità e proporzionalità per quanto riguarda le attività delle agenzie di sorveglianza americane (fino a questo momento regolata dalla Direttiva Presidenziale n. 28), e il fatto che un cittadino possa fare ricorso anche quando non è in grado di dimostrare di aver subito un danno effettivo, altro elemento di novità nel sistema giuridico americano, dove invece il poter dimostrare il danno è requisito essenziale per l’accesso a un tribunale. Rimangono comunque, anche aspetti da chiarire.
D’altro canto, non tutti hanno accolto favorevolmente l’iniziativa: l’Organizzazione Europea dei Consumatori (ECU) ha dichiarato che “esistono ancora differenze fondamentali nel livello di privacy e protezione dei dati negli Stati Uniti e nell’UE che rimangono troppo grandi per essere compensate, nonostante le ulteriori salvaguardie proposte dalla parte statunitense”, e ha esortato le autorità di protezione dei dati a “esaminare con rigore ogni nuovo accordo di trasferimento dei dati transfrontaliero”.
Anche Max Schrems si è espresso negativamente, affermando che “sembra un pasticcio” in cui le parti hanno utilizzato le stesse parole senza però averne concordato il significato.
L’impatto dell’executive order
Cosa succede adesso? L’Executive Order è chiaramente un passaggio importante, ma è solo un tassello della negoziazione tra USA-EU, che forse porterà alla definizione di un nuovo framework per il trasferimento dati con gli Stati Uniti. Inoltre, le indicazioni presenti nell’ordine richiedono dei tempi tecnici per poter essere messe in atto dalle Agenzie governative americane. Saranno sufficienti gli elementi presenti nell’ordine firmato da Biden per creare un nuovo framework sul trasferimento dati dalle ceneri del Privacy Shield? È troppo presto per trarre conclusioni.
È evidente però che l’adozione di misure protezionistiche, come nel caso in cui un tale accordo non dovesse essere raggiunto, avrebbe come conseguenza di condannare i consumatori a dover fare a meno di servizi considerati ormai “essenziali, con il probabile risultato di avere meno servizi a un prezzo maggiore. È anche per questo che USA ed EU stanno concentrando i loro sforzi per trovare un accordo solido capace di far si che la circolazione dei dati sia non una preclusione ma un qualcosa che permetta di far fronte alle sfide economiche dei rispettivi paesi, ed è per questo che tutti gli attori coinvolti si stanno impegnando al meglio delle loro possibilità per raggiungere un’intesa.
Altro aspetto su cui riflettere è se questo “tassello” della negoziazione USA-EU sia in grado di influenzare l’attuale corso della privacy statunitense, così frammentato e diversificato e inevitabilmente diverso da quello europeo. Anche qui è presto per dirlo, soprattutto perché le elezioni di metà mandato sono imminenti, e potranno ulteriormente complicare il quadro politico americano.
È certo però che l’Executive Order contiene elementi di assoluta novità nell’approccio alla privacy americana, elementi che potrebbero far riflettere più di un legislatore statunitense. La novità di alcuni di essi appare evidente, come i criteri di necessità e proporzionalità. Altri, forse, sono meno evidenti ma non meno importanti, come l’utilizzo della parola “dignità”, quando si dice che “le attività di intelligence devono tenere conto del fatto che tutte le persone dovrebbero essere trattate con dignità e rispetto, indipendentemente dalla loro nazionalità e ovunque risiedano, e che tutte le persone hanno legittimi interessi alla privacy nella gestione delle loro informazioni personali”.
Conclusioni
Come lo stesso Stefano Rodotà ricordava nel Discorso conclusivo della Conferenza internazionale sulla protezione dei dati del 2004, c’è un legame profondo tra libertà, dignità e privacy, dove la privacy è “componente ineliminabile della società della dignità”, e dove la dignità, indicata esplicitamente nella Dichiarazione Universale dei Diritti dell’Uomo come componente essenziale della persona umana e condizione di libertà ed eguaglianza si colloca tra l’intimità e il rispetto, e contribuisce a definire la posizione di ciascuno nella società.
Tutti questi elementi, opportunamente calati nel sistema statunitense, il cui ordinamento è culturalmente, costituzionalmente e giuridicamente profondamente diverso da quello europeo, e tale rimarrà, potrebbero contribuire non poco all’attuale dibattito sulla privacy in corso nel paese.
