Mai come quest’anno, anche il mondo della cosiddetta data economy, composto da aziende, professionisti, istituzioni e consumatori, ha guardato con così grande interesse alla corsa per la Casa Bianca. Sono infatti diverse e complesse le questioni sulla scrivania della nuova amministrazione americana che riguardano la privacy ed il ruolo delle big tech nel mondo.
Certo, è ancora troppo presto per capire quali sfide Joe Biden, il quarantaseiesimo Presidente degli Stati Uniti d’America, intenderà affrontare e, soprattutto, in che modo.
In particolare, però, restando in ambito privacy, dovrà prendere atto che è già partito nelle aziende americane un cambio di rotta verso un approccio sistematico alla tutela e alla regolamentazione della privacy. Una rivoluzione “culturale” di cui la politica non potrà non tenere conto.
Ho dunque deciso di riportare di seguito alcuni degli estremi di un dibattito che negli U.S. sta prendendo sempre più corpo. Credo infatti che, per il momento, sia più interessante dedicare alcune considerazioni sul significato del possibile (e auspicabile) avvento in America di una disciplina unitaria sull’uso e la circolazione dei dati personali.
La (non) Agenda di Biden su privacy e big tech
Come detto, i tempi non sono ancora maturi per conoscere il programma di governo per i prossimi quattro anni di amministrazione Biden. Il fattore election day – con il polverone di polemiche tutt’ora lontano dal dissolversi – così come la presenza di priorità inderogabili – la lotta alla diffusione del Coronavirus – spiegano tale ragionevole stato dei fatti. Le priorità ad oggi indicate dallo staff di Biden sono comunque quattro (Covid-19, economic recovery, racial equity, climate change), ma è presumibile che col passare dei mesi l’elenco andrà ad ampliarsi.
Stampa ed esperti stanno intanto provando a prevedere come il nuovo Presidente intenderà comportarsi nei confronti delle big tech e soprattutto – per quello che qui interessa – quale approccio verrà preferito nelle questioni legate alla tutela della privacy. Sul primo versante, gli occhi sono puntati sulle azioni antitrust (recente è quella avviata nei confronti di Google), sul dibattito attorno alla responsabilità delle piattaforme per i contenuti condivisi dagli utenti (si tratta della ormai celebre Sezione 230 del Communications Decency Act), così come su altri fronti quali il digital divide, i rapporti con la Cina e la disinformazione online [1].
Quanto al secondo aspetto, i temi caldi sono molteplici e, al pari dei precedenti, si intrecciano spesso con le regole e le prassi del continente europeo. Un esempio fra tutti è il Privacy Shield, l’asse su cui si fondano i trasferimenti di dati tra Unione Europea e Stati Uniti, recentemente invalidato dalla Corte di Giustizia UE e che si presume sarà presto al centro di una nuova negoziazione tra le parti (a tal proposito, l’European Data Protection Board ha adottato pochi giorni fa delle raccomandazioni sulle misure che possono integrare gli strumenti di trasferimento dei dati a seguito della sentenza Schrems II).
Nel frattempo anche un gruppo di organizzazioni impegnate nel campo della privacy, dei diritti civili e dei consumatori ha pubblicato una serie di raccomandazioni per la nuova amministrazione americana in favore di interventi per la protezione della privacy. E tra le varie azioni suggerite c’è anche l’adozione di una legge federale in materia. È questa probabilmente la vera sfida per il futuro della data economy negli U.S., la spinta verso una possibile inedita regolamentazione sistematica sull’utilizzo dei dati personali.
Lo stato della normativa sulla privacy negli USA: verso una disciplina unitaria
Non è certo questa la sede per soffermarsi sull’origine della privacy propriamente intesa oltre oceano o su un’analisi comparativa rispetto all’iter storico e giuridico che ha portato alla sua affermazione in Europa. Sarà allora sufficiente fissare alcuni paletti guida utili a comprendere il contesto.
Il primo è che anche negli Stati Uniti esiste un diritto alla privacy, che viene tuttavia concepito diversamene rispetto a come inteso in Europa, dove grazie alla tradizione costituzionale si è affermato quale diritto fondamentale. Il secondo punto, collegato al precedente, riguarda il modo in cui questo diritto viene tutelato. Mentre in Europa la protezione dei dati personali si è perseguita con leggi sistematiche e dall’ambito di applicazione orizzontale, negli Usa le norme a tutela della privacy sono state calate nei singoli settori di riferimento ove ne emergesse via via l’esigenza. Si è così venuto a creare un sistema di tutele verticali. Solo per fare qualche esempio, si pensi al Gramm-Leach-Bliley Act (GLBA) per l’ambito finanziario, all’Health Insurance Portability and Accountability Act (HIPAA) nel settore medico, o al Children’s Online Privacy Protection Act (COPPA) per la tutela delle informazioni dei minori di 13 anni online. L’elenco potrebbe continuare [2]. A questo stratificato sistema di regole federali si devono poi aggiungere le norme eventualmente dettate a livello di singoli Stati americani [3]. Tra queste merita sicuramente menzione la California che, come a tutti ormai noto, ha promulgato il California Consumer Privacy Act (CCPA). Tale normativa si sostanzia in una legge sistematica sulla privacy, un intervento in chiave orizzontale – chiaramente ispirato al nostro Regolamento Generale sulla Protezione dei Dati (GDPR) – che non è rimasto un caso isolato a livello di singoli Stati, come dimostra la fotografia tracciata dal Westin Research Center della IAPP, la International Association of Privacy Professionals, la più grande organizzazione neutrale e di portata mondiale di professionisti della privacy, che ho l’onore di rappresentare in Italia.
In un simile contesto acquista allora una speciale rilevanza la strada che sembra si stia tracciando verso una prima legge federale sulla privacy. Un percorso che trova nel SAFE DATA Act (Setting an American Framework to Ensure Data Access, Transparency, and Accountability Act) il più recente tassello di un mosaico ancora in formazione e che dovrà confrontarsi, come detto, con i risultati della tornata elettorale.
La rivoluzione culturale è iniziata in azienda
Il fatto che gli Stati Uniti si avvicinino ad una legge organica sulla privacy rappresenta di certo un dato dall’impatto potenzialmente stravolgente. Ma guardando con più attenzione a tale impegno istituzionale è possibile cogliere un ulteriore elemento capace di conferirgli un significato ancora più profondo.
Per anni le imprese stanziate o con interessi negli U.S. hanno dovuto fare i conti con una normativa sulla privacy settoriale e frammentata, trovandosi spesse volte in difficoltà sul piano delle relazioni con il Vecchio Continente forgiato sulla Direttiva 95/46/CE, prima, e sul GDPR, poi. A tale stato dei fatti è ben presto seguita una reazione nelle forme dell’autoregolamentazione. Sempre più imprese hanno infatti iniziato ad implementare apposite policy dedicate alla protezione dei dati personali, mutuando e adattando alla propria realtà i principi e le migliori prassi del mondo occidentale in materia di data protection. Queste procedure hanno via via disciplinato internamente i flussi di informazioni di grandi realtà e gruppi multinazionali in ogni settore produttivo, arrivando in certi casi a riconoscere persino il valore etico della protezione del dato. Si pensi in tal senso alla funzione e al valore delle BCR, le Binding Corporate Rules, al di là del mero strumento per assistere i trasferimenti all’estero di dati personali.
La rivoluzione culturale verso un approccio sistematico alla tutela e alla regolamentazione della privacy trova dunque la sua prima pietra già all’interno delle aziende americane. Ciò che ancora mancava era la presa di consapevolezza da parte dell’establishment USA, e quindi della cultura americana, della necessità di abbracciare un nuovo archetipo nella concezione e nella disciplina della protezione dei dati personali. Questa conquista, arricchita dal contesto che l’ha preceduta, si trova adesso nelle mani del nuovo Presidente Biden. L’auspicio è quello di farla, finalmente, germogliare.
________________________________________________________________________________
[1] Per un approfondimento delle singole questioni, ringraziando Gabriele Franco per la cura nella ricerca delle fonti:
- Cecilia Kang, David McCabe, Jack Nicas, Biden Is Expected to Keep Scrutiny of Tech Front and Center, The New York Times (link);
- Gilad Edelman, Trump Broke the Internet. Can Joe Biden Fix It?, Wired (link);
- Eileen Guo, What Biden means for Big Tech—and Google in particular, MIT Technology Review (link);
- Marguerite Reardon, Biden beats Trump: Here’s what it means for tech, CNET (link).
[2] Per una panoramica più completa della normativa in materia di protezione dei dati personali negli Stati Uniti è possibile consultare, ad esempio, il report del 25 marzo 2019 del Congressional Research Service, “Data Protection Law: An Overview” (disponibile qui). Si segnala anche quanto reperibile su ICLG.com a firma di Steven Chabinsky e F. Paul Pittman.
[3] Ci si limita a segnalare il lavoro di sintesi della National Conference of State Legislatures (NCSL) raccolto nella pagina “State Laws Related to Internet Privacy”.
