Privacy: Unione Europea e USA, quando finirà il conflitto?

La vocazione “universalistica” del GDPR

L’incipit del Regolamento (UE) 2016/679 (“GDPR”) è molto chiaro sulle finalità perseguite e sulle determinazioni del legislatore relativamente all’operatività di tale atto normativo.

Il paragrafo1 dell’art. 1, infatti, mette a fuoco in maniera puntuale l’ambito applicativo del GDPR e individua sin da subito le ragioni che giustificano il nuovo intervento del legislatore UE: stabilire norme relative “alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione dei dati”.

Fin da queste primissime prescrizioni appare in maniera evidente la visione ampia del legislatore europeo, il cui intento è quello di riferirsi non più e non solo a soggetti interessati, i cui dati personali siano cioè oggetto di trattamento (come era avvenuto con la precedente Direttiva 95/46/CE)  ma alle persone fisiche – e, dunque, ancor prima di ogni operazione di trattamento – nonché alla libera circolazione dei dati, senza che – già da queste prime disposizioni – sia delimitato l’ambito di applicazione territoriale delle norme del nuovo impianto normativo al solo territorio dell’Unione Europea.

Per le considerazioni che seguiranno, tale impostazione non è certamente dovuta ad un linguaggio generico od a formulazioni incomplete, ma, a parere di chi scrive, è il frutto di precise scelte e determinazioni del legislatore europeo, consapevole del rango di diritto fondamentale riconosciuto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e dei nuovi e, per certi versi, inquietanti scenari, con inevitabili implicazioni anche sul fronte della protezione dei dati personali, conseguenti alle scelte, in ambito U.E., politiche ed economiche favorevoli all’affermazione ed allo sviluppo dell’economia digitale.

In sintesi, il principio ispiratore delle nuove norme del GDPR – come si evince dalle disposizioni dell’articolo 1 di cui sopra – si fonda sull’esigenza di proteggere i dati personali delle persone fisiche per favorire la loro libera circolazione e per promuovere lo sviluppo dell’economia digitale.

Quanto precede trova conferma già nel considerando n. 2, in cui è espresso che “i principi e le norme a tutela delle persone fisiche con riguardo al trattamento dei dati personali dovrebbero rispettarne i diritti e le libertà fondamentali, in particolare il diritto alla protezione dei dati personali, a prescindere dalla loro nazionalità o dalla loro residenza”, nonché nelle prime norme del GDPR, sintomatiche di una vocazione “universale” del nuovo impianto normativo. In particolare, il comma 2 dell’articolo 3 prevede un’applicazione extra-territoriale del diritto europeo per tutti i titolari/responsabili del trattamento (non stabiliti nell’Unione Europea) che offrano beni o servizi oppure che effettuino attività di monitoraggio nei confronti di utenti che “si trovano” nell’Unione Europea. Si evidenzia come anche tale espressione (legata più ad un elemento fattuale che non ad un dato formalmente rilevabile come potrebbe essere la residenza o la cittadinanza) non sia il risultato di scelte casuali ma sia, invece, da considerare in linea di continuità con la visione territorialmente ampia del legislatore del GDPR. 

Proprio la consapevolezza delle implicazioni e dei rischi conseguenti alla libera circolazione dei dati ed ai nuovi scenari derivanti dalla data driven economy ha fatto sì che – diversamente dal precedente assetto normativo – le nuove disposizioni applicative del principio di trasparenza, che indicano le informazioni da fornire agli interessati (ma anche a coloro che ancora non lo sono ma potrebbero diveltarlo) prevedano espressamente che il titolare comunichi agli interessati se intende trasferire i dati personali extra UE.

Come noto, si tratta di una disposizione innovativa, non presente nell’ex articolo 10 della Direttiva 95/46/CE, che esprime l’attenzione del legislatore UE al nuovo contesto della circolazione dei dati nell’economia digitale.

 

I nuovi scenari tecnologici: Big Data, Internet Of Things, Intelligenza artificiale, Metaverso

Gli sviluppi in ambito digitale e telematico sono andati sempre più espandendosi, coinvolgendo in maniera crescente quantitativi sempre maggiori di dati.

Già dal c.d. Web 2.0, con la contestuale affermazione dei social media, si sono aperte modalità operative di comunicazione, fondate sulla raccolta ed elaborazione di dati, attività non sempre correttamente e trasparentemente comunicate agli utenti.

Con il Web 2.0 si è fatta strada anche la gestione di enormi quantitativi di dati, i cc.dd. big data, identificati nella risoluzione del Parlamento Europeo come “ingenti quantità di dati, compresi dati personali, provenienti da una serie di fonti diverse, che sono oggetto di di un trattamento automatizzato mediante algoritmi informatici e tecniche avanzate di trattamento dei dati, che usano sia informazioni memorizzate sia in streaming, al fine di individuare determinate correlazioni, tendenze e modelli”.

Inoltre, va considerata, in quanto strettamente collegata all’utilizzo di big data, l’Intelligenza Artificiale, recentemente oggetto di una proposta di regolamento “che stabilisce regole armonizzate sull’intelligenza artificiale”, da parte della Commissione Europea, anch’essa – in linea di continuità con le ragioni poste alla base del GDPR – caratterizzata da una vocazione extraterritoriale, dal momento che la norma concernente l’ambito di applicazione stabilisce che il regolamento si applica “a) ai fornitori che immettono sul mercato sistemi di IA nell’Unione, indipendentemente dal fatto che siano stabiliti nell’Unione o in un paese terzo; b) agli utenti di sistemi di IA stabiliti nell’Unione; c) ai fornitori e agli utenti di sistemi di IA situati in un paese terzo, laddove l’output prodotto dal sistema sia utilizzato nell’Unione”.

Proprio tale interazione tra big data – a cui deve inevitabilmente aggiungersi l’Internet of Things – e l’Intelligenza Artificiale fonda le istanze di “potere regolatorio” adottate dall’Unione Europea.

Del resto, è oramai incontestabile come i big data siano oggi il “nuovo petrolio” e costituiscano l’ingrediente principale dell’Intelligenza Artificiale.

Il loro valore, infatti, “risiede nel fatto che averne la disponibilità consente a un’impresa non soltanto di profilare i propri clienti, per fornire promozioni mirate e più efficaci, ma anche, grazie all’IA, di realizzare una serie di nuovi servizi: i “servizi cognitivi” (traduzione, riconoscimento visuale, valutazione della personalità)” (cfr. in particolare R. Angelini, in Intelligenza Artificiale, Protezione dei dati personali e regolazione - Torino, 2018).

Infine, merita considerazione l’affermazione di nuove modalità interattive, identificate come “Metaverso”, ovverosia come una realtà che individua un “meta mondo” (o “meta universo”), definito come “una zona di convergenza di spazi virtuali interattivi, localizzata nel cyberspazio e accessibile dagli utenti attraverso un avatar con funzione di rappresentante dell’identità individuale” (cfr. Enc. Treccani).

Si tratta di un fenomeno coltivato da tempo dai big players dei dati (le cui origini possono essere rinvenute in “Second Life”, affermatosi già dai primi del 2000), tanto da giustificare da parte Mark Zuckerberg un’audace ma pienamente calcolata operazione di re-branding, finalizzata all’identificazione sul mercato con il nuovo logo “Meta”.

 

I recenti interventi dell’EDPS e di alcune Autorità di controllo: nei trasferimenti di dati personali con gli U.S.A. massimo rigore!

Si sono susseguiti, a partire dallo scorso gennaio, una serie di interventi, sia da parte dell’EDPS (Garante europeo della protezione dei dati) che da parte di alcune autorità di controllo, volti a sanzionare l’utilizzo nei siti web di cookies di fornitori statunitensi, primo fra tutti Google Analytics.

I primi rilievi critici sono stati mossi dall’EDPS, in una decisione che lo stesso ha assunto nei confronti del portale web del Parlamento Europeo, con la funzionalità di consentire ai deputati ed al proprio personale di effettuare test COVID-19.

In sintesi, l’EDPS ha ritenuto non sufficienti le clausole contrattuali standard individuate dal Parlamento Europeo quale base giuridica del trasferimento.

L’EDPS, in buona sostanza, ha fatto applicazione dei principi e delle indicazioni fornite dalla Corte di Giustizia nel caso Schrems II, ritenendo che in paesi a rischio per la protezione dei dati personali (come, per l’appunto, gli U.S.A.), i titolari debbano, comunque, individuare misure supplementari di protezione, proprio per essere in grado di garantire un livello di protezione sostanzialmente equivalente a quello garantito all’interno dell’Unione Europea.

È significativo, a questo riguardo, che l’EDPS nel proprio provvedimento abbia evidenziato che “l’utilizzo di clausole contrattuali standard o altro “transfer tool” non sostituiscono la valutazione ed accertamento caso per caso che un titolare deve effettuare per verificare se nel contesto specifico, il paese terzo di destinazione dei dati garantisca comunque un livello essenzialmente equivalente di protezione a quello riconosciuto nell’UE”.

In considerazione della normativa presente negli U.S.A., volta a consentire l’accesso governativo ai dati, l’EDPS ha pertanto concluso che “transfers of personal data to the US can only take place if they are framed by effective supplementary measures in order to ensure an essentially equivalent level of protection for the personal data transferred”.  

In aggiunta alla decisione dell’EDPS, vanno altresì menzionati anche gli ulteriori provvedimenti emanati da parte delle Autorità Austriaca e Francese.

Entrambe, in linea con il precedente dell’EDPS, hanno rilevato la violazione del GDPR da parte di gestori di siti web, per effetto dell’utilizzo dei cookies Google Analytics.

Nello specifico, l’Autorità Austriaca ha ritenuto non sufficienti le ulteriori misure tecniche implementate, in quanto inidonee ad eliminare in radice la possibilità per le autorità statunitensi di svolgere le rispettive attività di sorveglianza e di accedere ai dati (in particolare, è stato ritenuto inidoneo l’utilizzo di alcune forme di crittografia). L’Autorità Austriaca ha, inoltre, rigettato le argomentazioni dirette a non ritenere qualificabili come dati personali i dati raccolti tramite i cookies.

Analogamente si è pronunciata anche la CNIL, rilevando come Google Analytics utilizzi un identificativo univoco, attribuito ai visitatori del sito, come tale pertanto qualificabile quale “dato personale”. Anche per la CNIL la conclusione è stata in linea con quella dell’Autorità Austriaca: il trasferimento di dati personali negli Stati Uniti attraverso Google Analytics non costituisce un trasferimento legittimo ai sensi del GDPR.

 

U.E. vs. U.S.A.: un conflitto da comporre?

Le argomentazioni sopra indicate esprimono, da una parte, posizioni particolarmente rigorose nell’interpretazione ed applicazione del GDPR e, dall’altra, sono il segno della vocazione “universalistica”, da parte dell’Unione Europea.

Vi è, tuttavia, da chiedersi se effettivamente l’Unione Europea possa oggi dirsi pronta ad affrontare autonomamente le sfide e i nuovi scenari dell’economia digitale, ancor più laddove la controparte sia rappresentata da interlocutori che storicamente hanno operato nel settore IT, contribuendo all’affermazione e agli sviluppi di tale mercato.

Non devono, pertanto, stupire le dichiarazioni recentemente rese proprio da Mark Zuckerberg, nel minacciare di “chiudere” il proprio business dei social media nell’Unione Europea, proprio a causa della normativa U.E., ritenuta eccessivamente rigorosa e delle applicazioni e indicazioni interpretative fornite dalle varie autorità ed istituzioni europee.