La protezione dei dati nel mondo: una breve panoramica

EUROPA

L’ingresso del Regolamento UE 2016/679 sulla protezione dei dati ha consentito all’Europa il superamento di numerose asimmetrie che si erano create a causa di normative nazionali frammentate e differenti tra loro.

Il complesso normativo delineato dal nuovo Regolamento ha fornito all’Europa gli strumenti per favorire la circolazione delle informazioni adeguandosi all’incessante evoluzione delle tecnologie, pur rimanendo “umano-centrica”. Il Regolamento si pone infatti l’obiettivo di proteggere i diritti e le libertà degli individui e conferisce loro mezzi utili ad esercitare un controllo attivo e proattivo sui dati personali che li riguardano.

I punti essenziali della normativa europea sono:

• Il principio di accountability, per cui i Titolari del trattamento sono responsabili delle proprie scelte in merito alla protezione dei dati e devono essere al contempo capaci di dimostrare il loro livello di compliance;
• L’approccio al rischio, per cui non esiste una lista di cose da fare per proteggere i dati, ma occorre che il Titolare valuti attentamente quali sono i rischi per gli individui e disegni un sistema di protezione dei dati adeguato a tali specifici rischi.

Qual è invece l’approccio alla protezione dei dati negli altri Paesi?

CINA

Proprio recentemente, la Cina ha fatto un passo in avanti con l'entrata in vigore della legge cinese sulla protezione delle informazioni personali (PIPL), ispirata al modello europeo sotto vari punti di vista. In particolare, per:

• l’applicazione territoriale: la disciplina si applica ai trattamenti di dati personali effettuati al di fuori della Cina, a condizione che lo scopo dei trattamenti sia:
  • fornire prodotti o servizi a persone fisiche in Cina,
  • "analizzare” o “valutare” il comportamento degli individui in Cina, o
  • per altri scopi specificati da leggi e regolamenti).

Tuttavia, l'ambito generale è più ampio perchè le autorità cinesi godono di ampia discrezionalità circa l'individuazione di ulteriori circostanze di applicazione della normativa privacy.

• previsione delle basi giuridiche come nel GDPR;

La legge cinese prevede delle ipotesi di liceità più ristrette rispetto alla normativa europea, pur riservando una maggiore discrezionalità all'autorità garante. Non è prevista la base del legittimo interesse del Titolare.

• per i trasferimenti di dati in paesi esteri la legge cinese prevede particolari restrizioni, tanto che in alcuni casi, i trasferimenti sono ammessi solo con l'autorizzazione delle autorità regolatorie.
• È previsto un apparato di diritti sulla protezione dei dati riconosciuti agli interessati molto simile a quelli previsti dal GDPR;
• Relativamente all’apparato sanzionatorio, la multa può arrivare fino a 50 milioni di Yuan o al 5% delle entrate annuali di un'organizzazione per l'anno finanziario precedente, oltre a potenziali responsabilità civili e penali per le imprese e sanzioni fino a 1 milione di yuan per i dirigenti.

Inoltre, la legge cinese deve essere letta insieme ad altre due normative, la Cybersecurity Law, in vigore fin dal primo giugno 2017; la seconda, la Data Security Law (DSL), in vigore dal primo settembre 2021. La Cina si è dotata di un complesso apparato normativo relativo ai dati non solo personali. Gli scopi principali delle normative sono essenzialmente due:

1. il primo, relativo alla sicurezza informatica dei dati; 
2. il secondo è la tutela della sovranità digitale della Repubblica popolare cinese (Art. 1 DSL)

Questo secondo aspetto, se letto insieme alle grandi restrizioni circa i trasferimenti di dati in paesi al di fuori della Cina, lasciano chiaramente intendere che l'obiettivo del governo cinese sia quello di preservare la propria sovranità da eventuali interferenze estere. 

USA

Se si pensa che concetto di "privacy" è figlio della cultura statunitense che già nel 1890 teorizzò il cd. "right to be let alone" – si badi bene, diverso dal diritto alla protezione dei dati – appare controverso che ad oggi non esista una legge federale USA sulla privacy, ma le disposizioni in tale ambito sono frazionate e rinvenibili in diversi strumenti statali che tutelano la protezione dei dati dei consumatori.
L’approccio americano è quindi strettamente correlato alla protezione della sfera privata degli individui, ma tale protezione non si è evoluta nel riconoscimento di una normativa che conferisca ai singoli anche il diritto di “controllare” la circolazione dei propri dati personali.

Questa “assenza” normativa assume importanza notevole nel contesto europeo quando avviene uno scambio o un trasferimento di dati dall’Europa verso gli USA. Il punto di collisione è costituito dalla normativa FISA 702 che consente alle autorità statunitensi un accesso molto ampio ai dati (anche di cittadini europei) trattati dai fornitori di servizi di comunicazioni elettroniche, per fini di controllo ed antiterrorismo. L’Europa ha ritenuto tale normativa eccessivamente invasiva e sproporzionata, baluardo di un potenziale monitoraggio su ampia scala degli individui e quindi in totale contrasto con i principi previsti dal GDPR. Proprio per questa ragione, ad oggi, i trasferimenti di dati a soggetti sottoposti alla normativa FISA 702 non sono considerati più leciti e necessitano di attente valutazioni da parte dei titolari europei. 

A dire il vero, dopo l'approvazione della "California Consumer Privacy Act", più stati federali hanno proposto una legislazione simile per proteggere i consumatori e ad oggi si registrano tanti progetti di legge in materia di protezione dei dati.

Relativamente all’ambito sanitario, gli USA hanno adottato nel 1996 l'Health Insurance Portability and Accountability Act (HIPAA), legge federale che definisce i requisiti per il trattamento dei dati sanitari dei privati. Va segnalato che proprio recentemente alcuni senatori hanno introdotto l'Health Data Use and Privacy Commission Act, volto ad avviare il processo di modernizzazione dell'utilizzo dei dati sanitari e delle politiche sulla privacy. I senatori sostengono infatti che tale normativa sia ormai inadeguata alle attuali tecnologie (app e dispositivi wearable), in quanto tale normativa copre le interazioni medico-paziente, ma non protegge i dati sanitari che i pazienti registrano su quegli strumenti, mettendo potenzialmente a rischio le informazioni. Proprio lo scorso settembre, la US Federal Trade Commission ha dichiarato che i dispositivi connessi e le app sanitarie che utilizzano o raccolgono informazioni sulla salute dei consumatori devono informare gli utenti quando tali dati vengono violati, prevedendo potenziali sanzioni fino a $ 43.792 al giorno.

INDIA

L’India non ha una legge sulla protezione dei dati e l‘Information Technology Act del 2000 disciplina principalmente aspetti relativi alla criminalità informatica e alla responsabilità degli intermediari di Internet, come i motori di ricerca e le piattaforme di social media, sebbene ricomprenda anche alcuni aspetti in materia di protezione dei dati personali. Proprio per questi motivi, la Data Protection Committee (DPC) indiana ha proposto un disegno di legge ispirato in gran parte sul GDPR.

RUSSIA

La Russia ha adottato nel 2006 la legge federale N 152-FZ dedicata alla tutela dei dati personali nella Federazione Russa. Essa riguarda il trattamento, la conservazione e l’accesso ai dati personali, definiti come informazioni che si riferiscono direttamente o indirettamente a una persona fisica specifica o che possono essere utilizzati per verificare l’identità della persona.
La legge n. 152-FZ disciplina diversi aspetti di protezione dei dati, in particolare:

• definisce cos’è un dato personale,
• quale tipologia di dati è lecito raccogliere e trattare,
• come e in quali casi i dati possono essere raccolti e trattati,
• quali misure tecniche e organizzative devono essere applicate da chi tratta dati personali.

A differenza del diritto UE, la legge federale russa non distingue nettamente tra titolari e responsabili del trattamento, pertanto, qualsiasi individuo o organizzazione che tratta dati personali è considerato un “gestore” di dati personali ed è obbligato al rispetto degli obblighi di protezione dei dati personali.
Accanto alla legge principale, esistono poi diverse normative tecniche e più specifiche che ne chiariscono ed integrano le disposizioni.

Aspetto peculiare della legge Russa è l’obbligo per coloro che raccolgono i dati personali dei cittadini russi di archiviare tali dati personali utilizzando esclusivamente database localizzati in Russia.

Ci troviamo di fronte ad un sistema sicuramente meno aperto alla circolazione delle informazioni. Inoltre, l’accesso illegittimo a strutture informatiche che contengono dati e dal quale può derivare la distruzione, il blocco, la modifica o la copia di dati personali in determinati casi è punito non solo con il pagamento di una sanzione pecuniaria, ma anche con la reclusione fino a sette anni.

UK

Prima della “Brexit”, il Regno Unito aveva adottato il “Data Protection Act 2018”, normativa di attuazione del Regolamento europeo in materia di protezione dei dati (“GDPR”) ancora in vigore. La normativa è quindi del tutto allineata con i principi regolatori della protezione dei dati personali in territorio UE.

L’uscita del Regno Unito dall’Unione Europea ha comportato un iniziale momento di incertezza circa il regime normativo da applicare ai trasferimenti di dati da e verso l’Unione Europea. Ricordiamo infatti che dal primo gennaio 2021 tali trasferimenti erano provvisoriamente regolati dall’accordo commerciale e di cooperazione UE-UK (TCA) che garantiva la liceità dei flussi di dati tra UE e Regno Unito. A pochi giorni dalla scadenza del termine di vigenza del regime provvisorio, la Commissione europea ha adottato la decisione di adeguatezza per il Regno Unito, così stabilendo che il livello di protezione dei dati in UK è assimilabile a quello assicurato dalla normativa europea. Ad oggi quindi i trasferimenti di dati oltre manica sono del tutto legittimi.

Nel settembre 2021 però, il Regno Unito ha reso nota l’intenzione di riformare la normativa di protezione dei dati. A titolo esemplificativo, le proposte di riforma pubblicate dal governo inglese si pongono quali obiettivi:

• la semplificazione del regime previsto per i trattamenti di dati svolti nell’ambito della ricerca, dell’Intelligenza Artificiale e di altre tecnologie all'avanguardia
• l'uso potenziato dei dati per fini di tutela della salute, in particolar modo nel contesto emergenziale dettato dal COVID-19
• la stipula di nuovi accordi commerciali e partnership sui dati personali nei settori economici in maggiore espansione
• la previsione di strumenti utili all’innovazione e la crescita delle imprese con innalzamento del livello di sicurezza dei dati personali.

Attenderemo quindi aggiornamenti.