Tra un anno esatto (il 25 maggio 2018) le aziende dovranno adeguarsi al Regolamento n. 679/2016 (Regolamento Generale sulla Protezione dei Dati), che quindi sarà pienamente applicabile insieme a tutte le altre leggi europee che si occupano di tematiche di security e data protection, in particolare la Direttiva NIS, il Regolamento e-privacy (non ancora definitivo) e la Direttiva 680/2016, e arriveranno anche le leggi di riforma nazionale dei singoli Stati membri dell’UE.
Ma all’orizzonte sembra esserci qualcuno che cita il Gattopardo: «Se vogliamo che tutto rimanga come è, bisogna che tutto cambi».
Vediamo perché.
Nella relazione accompagnatoria al testo proposto per il RGDP la Commissione scrisse chiaramente: “Aspre critiche ha suscitato l’attuale frammentazione della protezione dei dati personali nell’Unione, in particolare degli operatori economici che hanno chiesto una maggiore certezza giuridica e l’armonizzazione delle norme sulla protezione dei dati personali, sostenendo che la complessità delle norme sui trasferimenti internazionali dei dati personali sia un notevole ostacolo alle proprie attività che spesso presuppongono il trasferimento di dati personali dall’UE verso altre parti del mondo.”
La versione definitiva del Regolamento pubblicata poi in GUCE il 4 maggio del 2016 sembra tuttavia aver perso tale importante considerazione della Commissione e, anzi, a seguito della discussione tra Parlamento e Consiglio dell’UE sono comparse diverse disposizioni di ratio sostanzialmente opposta che hanno attribuito agli Stati membri la possibilità di legiferare in autonomia al fine di “precisare” le norme contenute nel RGPD (ciò si rinviene in particolare nel considerando n. 10 e negli artt. 9 e 23 del RGPD).
Questi spazi di intervento normativo lasciati agli Stati membri dal RGPD pone e porrà problemi non solo di coerenza con la visione iniziale dell’UE (di eliminare la disomogeneità normativa in materia) ma anche il rischio di contrasti tra il RGPD e le leggi nazionali scritte con non sufficiente attenzione.
Germania e Austria hanno già provveduto ad emanare una proposta di testo di riforma delle proprie leggi nazionali sulla privacy (qui il disegno di legge tedesco) per adeguarle al RGPD. Seguirà a breve la Francia e non è escluso che lo faranno anche molti altri Paesi, o tutti, compresa l’Italia.
E’ comprensibile la volontà dell’UE di consentire agli Stati membri di salvare e mantenere il proprio corpus normativo sulla privacy invece che armonizzarlo radicalmente ma, così facendo, anche il RGPD non arriverà di fatto dove voleva arrivare la Direttiva Madre. La vera e concreta armonizzazione delle norme, per quanto complessa e delicata che sia, non può avvenire se i Paesi membri sono lasciati liberi di continuare a legiferare.
Si continuerà anche in futuro ad analizzare ventotto normative UE differenti sulla data protection (ventisette da quando UK uscirà ufficialmente dall’UE).
Quanto detto sino ad ora si può riassumere e semplificare in alcuni dubbi e considerazioni pratiche che affliggono le imprese che operano in diversi mercati tra Europa e USA: Quali sono le leggi che occorre applicare ai trattamenti? Solo quella italiana? Solo il RGPD? Tutte le leggi europee? Il RGPD e la legge USA?
Un inciso fondamentale è anche questo: gli USA, così come anche la Germania, sono uno stato federale. Non esiste una legge unica sulla privacy e nemmeno una vera e propria autorità di controllo unica per tutto il territorio. La Federal Trade Commission agisce come se fosse un’autorità di tutela della privacy ma di fatto impone alle imprese il solo rispetto del FTC Act che, in pratica, contiene norme analoghe al nostro Codice del Consumo. Anche gli USA hanno quindi un problema di moltiplicazione e frammentazione di leggi sulla privacy.
I dubbi si possono dissolvere solo iniziando ad approfondendo ulteriormente: Chi è il titolare o responsabile? Dove è stabilito? Dove raccoglie i dati (se in UE o USA)? I dati raccolti vengono trasferiti da UE verso USA o anche all’inverso?
Sul trasferimento dei dati raccolti in UE, da titolare stabilito in UE e trasferiti verso USA, il discorso si esaurisce agevolmente con il Privacy Shield o le standard model clauses o le Binding Corporate Rules, strumenti consolidati già dalla normativa in via di abrogazione e ripresi dalla quella in divenire.
Per il caso inverso, cioè quando è un’azienda stabilita in USA ad affacciarsi al mercato UE (che raccoglie dati in UE), si apre il tema della applicazione territoriale delle leggi europee. La Direttiva Madre non è chiara in merito ma, negli ultimi anni, se ne sono occupati i giudici, in particolare la Corte di giustizia UE (in primis CGUE, Google Spain SL e Google Inc., C-131/12).
L’annosa questione è risolta ora da un articolo specifico articolo (art. 3) del RGPD. Vi sono quindi essenzialmente due ipotesi. Il RGPD è applicabile a:
- titolare o responsabile stabiliti in UE, non rileva il dove e verso chi il trattamento è effettuato (se in UE o Extra UE),
- titolare o responsabile non stabiliti in UE, non rileva il dove ma rileva verso chi il trattamento è effettuato, cioè se sono soggetti che si trovano in UE (anche non cittadini UE) cui vengono offerti beni o servizi o si monitora il loro comportamento.
Nella seconda ipotesi rientrano quindi tutti i titolari e responsabili che, pur avendo stabilimento in USA, offrono beni e servizi in UE. Ciò è confermato anche da una recente indagine condotta da PWC in USA dalla quale è emerso che molte imprese statunitensi (il 92%) considerano di adeguarsi al RGPD e una buona percentuale (il 38%) ha tra le priorità per il 2017.
Se ormai chiara è l’applicabilità del RGPD alle aziende statunitensi che sono presenti sul mercato UE meno chiaro è se queste dovranno preoccuparsi di adeguarsi anche alle novellate leggi nazionali che si affiancheranno e completeranno il quadro normativo in uno specifico ordinamento giuridico europeo.
LEGGI DELLO STESSO AUTORE LA STORIA USA-EU DELLA PRIVACY
