11

Set 2018

L’amministrazione Trump sta lavorando al testo di una legge federale sulla privacy per tutelare meglio i diritti degli utenti statunitensi del web e individuare i principi generali su come le aziende dovrebbero raccogliere e trattare i dati personali dei consumatori: secondo molti, infatti, lo scandalo Cambridge Analytica è stato possibile anche a causa della mancanza di una severa disciplina a livello federale.
Lo stesso Zuckerberg, in occasione delle sue due audizioni al Congresso, si è detto favorevole all’introduzione di una legge nazionale sulla privacy benché non stringente come il GDPR europeo.
Secondo molti, in realtà, il vero obiettivo della presidenza Trump e dei giganti del Web sarebbe quello di scongiurare il rischio dell’approvazione da parte dei singoli stati di tanti “GDPR”, com’è già accaduto nei mesi scorsi con il California Consumer Privacy Act 2018.
La California, infatti, nel giugno 2018, ha adottato una legge sulla privacy più stringente di quelle sinora approvate in qualsiasi altro stato degli Usa, una legge che, per taluni aspetti, ricorda il GDPR europeo.
In particolare, la nuova legge californiana (che entrerà in vigore nel 2020) riconosce ai consumatori: il diritto di sapere quali informazioni le aziende stanno raccogliendo su di loro, a che scopo li raccolgono e con chi li condividono; il diritto di chiedere la cancellazione di quei dati e di opporsi alla vendita o alla condivisione dei loro dati da parte delle aziende che li trattano; rende più difficile condividere o vendere dati su minori di 16 anni.
Si prevedono inoltre il diritto dei consumatori di agire civilmente nei confronti delle aziende che violano i loro dati nonché dei poteri sanzionatori da parte del procuratore generale dello stato.
Come il GDPR europeo, il California Consumer Privacy Act si occupa anche del trattamenti dei dati dei minori e, in particolare, vieta la vendita dei dati personali di soggetti di età compresa tra i tredici e i sedici anni (salvo non abbiano espresso uno specifico consenso in tal senso) mentre per i minori di tredici anni è richiesto l’esplicito consenso di un genitore o del tutore.
Il timore che altri stati, sollecitati dalle associazioni dei consumatori, possano seguire l’esempio californiano ha convinto la presidenza Trump a predisporre una disciplina federale meno stringente: gli Usa, infatti, considerano le norme europee in materia di protezione dei dati personali come un ostacolo al business dei giganti del web americani.
Questa fondamentale diversità di approccio, del resto, è anche all’origine delle recenti tensioni tra Stati Uniti e UE circa l’attuazione del c.d. Privacy Shield (in italiano “scudo per la privacy”), il trattato sottoscritto da UE e USA nel 2016, ai tempi della presidenza Obama per regolamentare il trasferimento dei dati di cittadini europei ad aziende statunitensi a scopo commerciale. Il trattato si fonda, di fatto, su una sorta di autocertificazione delle aziende che dichiarano di impegnarsi a rispettare i principi contenuti nel trattato e a fornire agli interessati adeguati strumenti di tutela, pena l’eliminazione delle società certificate dalla Privacy Shield List tenuta dal Dipartimento del Commercio statunitense e pena possibili sanzioni da parte della Federal Trade Commission.
Con una risoluzione adottata a larga maggioranza nel giugno scorso, i parlamentari europei hanno evidenziato che il Privacy Shield -allo stato attuale- non fornisce un adeguato livello di tutela richiesto dal Regolamento UE 2016/679 (il GDPR), come dimostrato dal caso Facebook/Cambridge Analytica dal momento che entrambe le compagnie dichiarano di aderire allo Scudo e figurano nella Privacy Shield List: per questa ragione, la Commissaria alla Giustizia UE ha scritto al segretario al Commercio americano evidenziando la necessità di un controllo più attento da parte delle autorità statunitensi che devono procedere per l’attuazione completa dei termini dell’accordo e lamentando, ad esempio, la mancata nomina –a distanza di due anni dalla firma del trattato- del funzionario (ombudsman) che deve occuparsi di vigilare sugli adempimenti del Privacy Shield e sovraintendere alla gestione degli eventuali reclami da parte dei cittadini europei.
In caso contrario, il Comitato per le Libertà civili, la Giustizia e gli Affari Interni del Parlamento europeo ha già chiesto alla Commissione europea di sospendere il trattato.