PRIVACY OLTRE I CONFINI – GDPR NEI TERRITORI EXTRA-UE

Autore: Marianna Riedo

INTRODUZIONE

Lo sviluppo dell’odierna società dell’informazione e la nascita dell’economia del cloud e delle reti, oltre al sempre più massiccio affidamento sui dati come motore per la crescita, hanno portato ad un progressivo assottigliamento del concetto stesso di “confine”.

Sia quando si parla di aziende che sono presenti o che offrono servizi all’interno dello spazio economico europeo (comprensivo dei 28 Stati membri oltre che di Norvegia, Islanda e Liechtenstein), sia quando si verificano flussi di dati verso l’estero, il GDPR interviene con l’obiettivo di uniformare l’approccio normativo, così da garantire lo stesso livello di protezione dentro e fuori i confini UE.

Considerando che la giurisdizione di uno stato si esercita solamente entro i suoi confini territoriali, e che l’eventuale estensione oltri tali confini comporta, in base a principi cardine del diritto internazionale, un attacco alla sovranità di un altro stato, è fondamentale che la base legale offerta dal GDPR per derogare a tale principio sia chiara, coerente e uniformemente interpretata.

Nel contesto di generale complessità e incertezza seguirò all’approvazione del regolamento, l’European Data Protection Board (istituito in sostituzione del Working Party 29) ha contribuito, con l’adozione di due linee guida (la n. 2/2018 e la n. 3/2018, adottate rispettivamente nei mesi di maggio e novembre 2018), a chiarire alcuni dei punti più cruciali sul tema.

L’AMBITO DI APPLICAZIONE TERRITORIALE EXTRA-UE

Il perimetro di applicazione territoriale del GDPR, definito dall’art. 3 del Regolamento, se confrontata con quanto già stabilito dalla direttiva 95/46/EC, rappresenta un’innovazione significativa della normativa in materia di protezione dei dati personali. Innanzitutto, trattandosi di un regolamento europeo, la nuova legge non necessita di un rimando a singoli interventi legislativi nazionali, ma definisce un ambito territoriale di operatività della norma già di per sé direttamente applicabile.

L’articolo 3(1) del GDPR specifica che il Regolamento “si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Il comma 2 estende invece l’applicazione anche “al trattamento dei dati personali di interessati che si trovano nell’Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell’Unione, quando le attività di trattamento riguardano:

a) l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato; oppure

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.”

Da ultimo, il comma 3 aggiunge che le disposizioni del regolamento sono da applicarsi anche al trattamento di dati personali “effettuato da un titolare del trattamento che non è stabilito nell’Unione, ma in un luogo soggetto al diritto di uno Stato membro”.

Al di là del richiamo a principi di diritto internazionale pubblico esplicitato nel terzo comma, l’articolo in esame introduce due criteri ben precisi per la definizione dell’ambito di applicazione, intervenendo così ad estendere gli effetti del Regolamento europeo oltre i confini dell’Unione stessa.

2.1 IL CRITERIO DELLO STABILIMENTO

L’art. 3(1) ribadisce il principio di stabilimento già presente nella direttiva europea, riunendo ora però sotto lo stesso principio sia il titolare sia il responsabile del trattamento.

Ma cosa si intende esattamente per “stabilimento”? Sebbene l’articolo 4(16) utilizzi esplicitamente il termine di “stabilimento principale” (generalmente assimilabile alla sede dell’amministrazione centrale del titolare o del responsabile), dal testo del regolamento non risulta chiaro cosa si debba intendere per “stabilimento”.

Maggiori indicazioni possono essere ritrovate al considerando n. 22, il quale indica lo stabilimento come la sede implicante “l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile”, ammettendo quindi nel novero degli stabilimenti propriamente detti anche le succursali e le filiali, e dissociandosi invece da una tradizione che associava lo stabilimento principale con la sede legale.

La ratio dietro il considerando in questione è da rintracciare nella giurisprudenza della Corte di giustizia (vedi caso Google Spain), che attraverso numerose sentenze aveva già delineato una posizione in cui ogni attività effettiva, anche quella di minore entità (ad esempio un singolo agente operante sul territorio), assume rilevanza ai fini della determinazione della presenza di uno stabilimento.

In base a tale principio, e alla giurisprudenza che l’art. 3(1) è intervenuto a formalizzare, le disposizioni del GDPR saranno quindi valide anche per le società aventi sede legale all’estero che si ritrovano però a svolgere attività stabili sul territorio europeo, indipendentemente dal fatto che i dati trattati appartengano a cittadini comunitari o extracomunitari o che il trattamento finale avvenga all’interno dei confini dell’Unione europea o meno.

Così, sarà soggetto all’applicazione del Regolamento la compagnia australiana, con succursale in Irlanda, che raccoglie dati degli utenti di Sydney, ma li elabora a Dublino allo scopo di ideare nuove campagne commerciali.

Si considererà il GDPR applicabile anche nel caso in cui, ad esempio, una compagnia svedese offra un servizio online in Marocco e, contestualmente, definisca il trattamento dei dati dei soggetti residenti a Casablanca, sebbene essi siano sia raccolti, sia trattati direttamente dalla filiale marocchina.

Apparentemente, non dovrebbe invece essere soggetto al GDPR un servizio online offerto a cittadini europei tramite un canale creato e gestito da una compagnia giapponese, che non abbia alcun rappresentante stabile in nessuno degli Stati membri. In questo caso, tuttavia, occorre analizzare in concreto le modalità e le finalità del trattamento dei dati degli utenti.

2.2 IL CRITERIO DEL TARGET

L’art. 3(1) non è il solo che interviene a rendere praticamente nulla la distinzione fra titolare e responsabili del trattamento UE ed extra-UE. L’assenza di un’attività stabile all’interno dell’Unione infatti non implica necessariamente che il titolare del trattamento sia da considerarsi esterno all’ambito di applicazione del Regolamento, che può dipendere invece dalle stesse attività rientranti nel trattamento.

Una prima significativa estensione era stata attuata dal Working Party 29 già nel 2002, quando la pubblicazione del Working Paper n. 56 aveva dato un’interpretazione innovativa e decisamente ampia della direttiva allora in vigore (direttiva 95/46/EC).

Nel testo della direttiva, all’art. 4(1)(c), il legislatore europeo aveva evidenziato come le norme recettive adottate dal singolo Stato membro potessero essere applicate anche al titolare, non presente nel territorio dell’Unione europea, che nel trattare i dati personali ricorreva a “strumenti, automatizzati o non automatizzati, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della comunità europea”.

Il ricorso a tali strumenti, secondo l’interpretazione fornita dal Working Party, poteva consistere nel semplice utilizzo di cookies destinati al monitoraggio di cittadini europei, nonostante tale pratica di fatto riconducesse all’interno della categoria di “strumenti situati all’interno dell’Unione europea”, solamente il PC dell’utente stesso.

L’art. 3(2) del nuovo regolamento, portando avanti questa prospettiva e formalizzandola definitivamente in un testo di legge, estende il perimetro del GDPR prendendo in considerazione come fattore di applicazione la presenza di un qualunque trattamento avente un target rivolto a interessati presenti all’interno del territorio dell’Unione. Il focus del legislatore si sposta quindi dal titolare e responsabile alle attività del trattamento e, in particolare, a coloro ai quali esse sono rivolte.

Va notato che la dicitura “interessati che si trovano all’interno dell’Unione”, non essendo dipendente da cittadinanza, residenza o altro tipo di status giuridico, di fatto amplia il raggio di applicazione del Regolamento europeo oltre i confini degli Stati membri. Tuttavia, il solo fatto di trattare dati personali relativi a individui presenti in uno stato membro non è sufficiente a determinare l’applicazione del GDPR. È necessario infatti che tale trattamento si concretizzi, secondo quanto indicato dall’art. 3(2), nell’offerta di beni o servizi (indipendentemente dalla richiesta di un corrispettivo per la prestazione) o nel monitoraggio dell’attività degli individui all’interno dei confini dell’Unione.

Per determinare il novero delle attività ricadenti sotto la dicitura di “offerta di beni o servizi” ai fini dell’art. 3(2) GDPR, il considerando n. 23 evidenzia che possono rientrare in tale categoria tutte quelle pratiche che suggeriscono l’intenzione del titolare o del responsabile del trattamento di rivolgersi ai cittadini dell’Unione. Non si dovrà quindi applicare il Regolamento nel caso di un semplice accesso del sito web del titolare da parte di un indirizzo IP ricollegabile ad un cittadino UE, mentre si dovrà trarre una conclusione opposta nel caso in cui detto sito web offra all’interessato un servizio mediante l’utilizzo di una lingua o di una moneta “abitualmente utilizzata in uno o più Stati membri”.

Per chiarire con un esempio, una app di city mapping per turisti, creata e distribuita da una compagnia statunitense, dovrà rispettare le disposizioni del GDPR qualora offra un servizio indirizzato ai turisti presenti nelle città di Parigi, Londra o Madrid, rendendo disponibili versioni in francese, inglese e spagnolo e autorizzando pagamenti in euro.

Diversamente, una società coreana che si trova a trattare i dati di un cittadino olandese, ma residente a Seul, non dovrà tenere in considerazione l’art. 3(2), ammesso che i servizi da essa offerti non siano rivolti direttamente al mercato di uno o più Paesi europei.

IL TRASFERIMENTO DI DATI VERSO PAESI TERZI

L’estensione dell’ambito territoriale non è l’unica misura adottata dal legislatore europeo del GDPR per garantire una reale ed effettiva tutela degli interessati anche al di fuori dell’Unione.

L’incremento di flussi di dati verso l’estero, prerogativa essenziale di una società dell’informazione sempre più globalizzata, se da un lato rappresenta una risorsa certa per i business legato ai servizi transfrontalieri, dall’altro può rendere più complessa l’offerta di un adeguato livello di protezione degli interessati.

Da tale premessa deriva il tentativo di garantire maggiore uniformità e certezza del diritto messo in atto con il GDPR, che agli articoli 44 e seguenti rubrica i “trasferimenti di dati verso paesi terzi o organizzazioni internazionali”.

3.1 DECISIONI DI ADEGUATEZZA

Dal testo del regolamento emerge un approccio “stratificato”, che prende in considerazione prima di tutto il livello di protezione garantito dal Paese “importatore”, poi integrato dalla presenza di misure alternative di tutela e, infine, dall’esplicita previsione di deroghe al principio generale.

Procedendo con ordine, il GDPR prevede innanzitutto (all’art. 45) l’adozione da parte della Commissione di una decisione di adeguatezza, revocabile e sottoposta a revisione almeno ogni quattro anni, che attesti come un Paese terzo sia in grado di garantire correttezza e proporzionalità in tutte le fasi del trattamento.

Il processo di inserimento di un Paese nella “white list” prende avvio a partire da una proposta della Commissione europea, da sottoporre poi all’opinione dell’European Data Protection Board e all’approvazione dei rappresentanti degli Stati membri.

Nel valutare l’adeguatezza del livello di protezione, la Commissione deve considerare quanto il Paese in questione sia in grado di garantire lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, nonché l’effettivo funzionamento di una o più autorità di controllo indipendenti, competenti nel supervisionare e promuovere il rispetto delle norme in materia di protezione dei dati. Saranno poi valutati, sempre in base al dettato dell’art. 45, “gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti come pure dalla loro partecipazione a sistemi multilaterali o regionali, in particolare in relazione alla protezione dei dati personali”.

Tenendo conto di questo elenco di fattori, ad oggi solo tredici Stati si sono visti riconoscere tale livello di adeguatezza, permettendo così il trasferimento di dati senza necessità di ulteriori autorizzazioni: i Paesi in questione sono Andorra, Argentina, Canada, Isole Faroe, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay, Stati Uniti D’America (questi ultimi solo limitatamente a quanto stabilito dall’accordo denominato Privacy Shield). Dopo la decisione della dello scorso 23 gennaio, anche il Giappone si è aggiunto ora alla lista.

Per tutti gli altri Paesi sarà invece necessario adottare delle misure alternative per compensare la carenza di protezione, introducendo varie forme di impegno che le imprese possono assumersi: codici di condotta interni (norme vincolanti d’impresa) approvati dall’Autorità Garante, clausole contrattuali standard predisposte dalla Commissione, meccanismi di certificazione.

3.2 NORME VINCOLANTI D’IMPRESA E CLAUSOLE CONTRATTUALI STANDARD

Si ricorre in particolar modo alle norme vincolanti d’impresa, ex art. 47, nel caso in cui si voglia trasferire dati all’interno della rete di società con sedi in paesi che non raggiungono la soglia minima di protezione, dispensando così il titolare dall’obbligo di richiedere volta per volta l’autorizzazione all’autorità garante competente.

Prima ancora che il GDPR diventasse ufficialmente applicabile, il WP29 aveva adottato numerose linee guida per chiarire tutti i criteri e le modalità di approvazione sulla base della precedente direttiva, rendendo questi codici di condotta degli strumenti estremamente efficaci soprattutto per multinazionali e joint ventures (Working paper n. 74, 107, 108, 133, 153, 154 del WP29).

Seguendo il procedimento delineato dalla Commissione, ogni gruppo di società o azienda multinazionale deve innanzitutto nominare una autorità garante per la protezione dei dati di riferimento, che sarà chiamata a commentare e valutare la prima bozza delle norme d’impresa. Una volta ottenuta questa prima approvazione, l’autorità di riferimento deve dare avvio ad una procedura di cooperazione sia con la Commissione sia con le autorità garanti degli altri Paesi membri interessati, al termine della quale i codici di condotta si considerano approvati.

Già precedentemente allo scadere della fatidica data del 26 maggio 2018, oltre un centinaio di società avevano già ottenuto l’approvazione dei nuovi codici di condotta. Si tratta sempre di realtà multinazionali stabilite principalmente in Europa, ma c’è una forte presenza anche di compagnie con base negli Stati Uniti o legate ad altre giurisdizioni (prima fra tutte il Giappone).

Inoltre, la Commissione europea può anche stabilire unilateralmente che determinate clausole contrattuali tipo sono espedienti sufficienti per salvaguardare i flussi di dati verso l’estero. Si tratta di un potere riconosciuto alla Commissione allo scopo di fornire delle linee guida alle aziende nei loro rapporti con i clienti europei, oltre che per facilitare la previsione di protezioni sufficienti a garantire un sicuro trasferimento dei dati verso Paesi terzi.

Fino ad ora sono state emesse tre diverse serie di clausole, riferibili sia al trasferimento verso titolari, sia verso responsabili extra-UE. Tutte le clausole tipo sono disponibili negli allegati delle seguenti decisioni della Commissione europea: decisione 2001/497/EC, decisione 2004/915/EC, decisione 2010/87/EU.

3.3 DEROGHE EX ART. 49

Qualora non sia possibile applicare nessuna delle misure sopra elencate, il titolare “esportatore” di dati può ricorrere ad una delle eccezioni previste dall’art. 49: trasferimenti previsti sulla base del consenso, per la conclusione o esecuzione di un contratto, per accertare o difendere un diritto in sede giudiziaria, per proteggere l’interesse vitale dell’interessato qualora questo non sia in grado di provvedere a se stesso, per ragioni di ordine pubblico ecc. Nelle linee guida 2/2018, l’European Data Protection Board ha ribadito il carattere residuale di tale articolo, sia in base ai principi generali del diritto europeo, sia per rispettare la coerenza dell’impianto complessivo del GDPR.

Chiarito dall’EDPB, l’applicazione dell’art. 49 non può prescindere dal rispetto di tutte le altre disposizioni del Regolamento. Nello svolgere qualunque attività comprensiva di un trasferimento di dati all’estero, che nel caso delle deroghe deve essere “occasionale, necessario” e “non ripetitivo”, il titolare e il responsabile devono prima di tutto dimostrare di avere una solida base legale per il trattamento, e successivamente devono poter provare in quale modo la deroga messa in atto sia ricollegabile all’elenco previsto dall’art. 49.

Infine, qualora non sia possibile applicare nessuna delle sette deroghe esplicitamente previste, il legislatore ammette un ulteriore spazio di manovra quando menziona, al capoverso dell’art. 49(1), gli “interessi legittimi cogenti” del titolare del trattamento. Si tratta di una novità assoluta rispetto all precedente direttiva, che tuttavia non deve essere confusa con la formula del “legittimo interesse” rubricata invece all’art. 6(1)(f). La soglia minima richiesta qui è più alta, paragonabile ad un’azione “vitale” per il titolare: si potrà rilevare un interesse “cogente” solo nel caso in cui la sopravvivenza stessa dell’azienda titolare si trovi ad essere seriamente compromessa.

NORMATIVE PRIVACY D’OLTREOCEANO

Ora più che mai, ogni tentativo di regolamentare la circolazione dei dati personali si rivela altamente complessa e controversa. La riforma portata avanti dall’Unione europea, se da un lato è riuscita ad elevare sensibilmente i livelli di protezione garantiti ai dati personali dei suoi cittadini, dall’altro ha agito unilateralmente imponendo una serie di barriere a tutti i soggetti esteri intenzionati ad espandere anche solo parzialmente (ad esempio con il semplice utilizzo dei cookies) il proprio business in Europa.

La rigidità e la rilevanza del regime privacy europeo, fin dall’emanazione delle prima legge in materia (avvenuta in Germania nel 1970), hanno sempre avuto un’influenza su scala globale, ma i più recenti sviluppi del commercio internazionale, le innovazioni tecnologiche e l’espansione delle multinazionali hanno attribuito primaria importanza al trasferimento dei dati all’estero. Ora più che mai, molti stati sembrano riconoscere la necessità di applicare le norme in materia di protezione dei dati personali anche al di là dei propri confini fisici, in nome della sicurezza all’interno di uno spazio non-fisico come il cyberspazio.

4.1 PIONIERI DELL’EXTRATERRITORIALITA’

La volontà di avanzare pretese extraterritoriali non è del tutto nuova in ambito privacy. Già nel 1988 l’Australia aveva adottato un Privacy Act applicabile a tutte le società ed organizzazioni aventi un qualunque legame con l’Australia (l’espressione utilizzata è proprio un generico “Australian link”), in particolare quando tale legame evidenziava l’intenzione di allargare il proprio business fino in Australia.

Ad una conclusione simile era giunto anche Singapore, che con il Personal Data Protection Act del 2012 aveva scelto di regolamentare tutte le organizzazioni titolari del trattamento di dati raccolti da soggetti presenti a Singapore, indipendentemente dal fatto che l’organizzazione stessa fosse presente all’interno della città-stato.

Negli Stati Uniti lo stesso approccio all’extraterritorialità era già stato applicato non soltanto alla protezione dei dati personali (con il Children’s Online Privacy Protection Act, o COPPA, valido per tutti i titolari che raccolgono consapevolmente dati appartenenti a minorenni statunitensi) ma anche nel contesto della lotta alla corruzione. In particolare, con il Foreign Corrupt Practices Act del 1977 (e ancora di più con l’emendamento apportato nel 1998), gli USA hanno di fatto esteso la propria giurisdizione a qualunque ente in grado di emettere titoli destinati al mercato degli Stati Uniti, nonché a qualunque atto di corruzione commesso per il tramite di indirizzi e-mail offerti da provider stabiliti in territorio statunitense.

Lo stesso approccio è stato portato avanti anche dallo Stato della California durante la formulazione del California Consumer Privacy Act del 2018 (CCPA), primo tentativo di uno stato americano di dare alla luce una legge onnicomprensiva e coerente in materia di privacy.

Così come il GDPR, anche il CCPA estende il proprio ambito di applicazione ben oltre i confini fisici della propria giurisdizione, essendo applicabile a tutti i titolari che “svolgono il proprio business nello Stato della California”, indipendentemente dalla loro localizzazione. Tale formulazione può essere facilmente ricondotta all’offerta di beni o prestazione di servizi ex art. 3 (2) (a) del GDPR, ma a differenza del GDPR il CCPA non copre tutte le attività di monitoraggio dei cittadini californiani, almeno nella misura in cui tale monitoraggio non esplica attività di vero e proprio “svolgimento del business”.

Si tratta di una differenza consistente nell’impianto generale delle garanzie offerte dalle due leggi, ma ciò non toglie che il CCPA rappresenti in ogni caso un primo passo degli Stati Uniti verso un approccio globale e capillare della protezione dei dati, a maggior ragione se si considera che proprio la California ospita i maggiori player della tecnologia mondiale.

4.2 NUOVI IMPULSI DI RIFORMA

La tendenza ad estendere la protezione dei dati anche oltre i confini nazionali, confermata dalla decisiva presa di posizione del legislatore europeo, ha generato una sorta di effetto a catena, con un numero sempre maggiori di nuovi Paesi che, sulla base di fattori economici prima ancora che politici, hanno intrapreso un percorso di riforma della loro normativa in materia di privacy. Nella completa mancanza di un trattato internazionale in materia di protezione dei dati, una simile scelta si rivela quasi obbligata al fine di colmare il gap legislativo e a garantire una maggiore certezza del diritto, favorendo così una più agile circolazione di dati e, conseguentemente, di ricchezza.

È così che Paesi come Brasile, Argentina e Hong Kong, ma anche Uruguay e Serbia, negli ultimi due anni hanno deciso di perseguire gli stessi obiettivi delineati dal “gold-standard” targato GDPR.

Il 14 agosto 2018, il Brasile ha approvato una nuova legge sulla protezione dei dati, destinata a diventare efficace nel 2020, che raccoglie e integra le oltre 40 norme sulla privacy già presenti a livello federale. Oltre ad ampliare e aggiornare il concetto di “dato personale”, la nuova legge brasiliana avrà, come il GDPR, un campo di applicazione trasversale e multi-settore, comprendente attività online e offline relative al settore pubblico e privato, sia nel territorio nazionale sia al di là dei suoi confini geografici. Ogni compagnia straniera con almeno una filiale o un ramo d’impresa situato in Brasile, o che tratti dati personali riconducibili a soggetti presenti in Brasile, sarà soggetta alla nuova legge.

La innovazioni apportate dal GDPR saranno probabilmente seguite anche dall’Argentina, che già nel dicembre 2016 aveva presentato un disegno di legge che tentava di ricalcare il modello europeo sia nella previsione di una sezione dedicata ai trasferimenti internazionali di dati personali, sia nei criteri di applicazione soggettivi e territoriali.

Più problematico, in quanto decisamente meno votato all’uniformità in chiave internazionale, è il confronto fra il GDPR e la legge privacy attualmente in vigore in Cina, dove le spinte extraterritoriali europee incontrano la forte opposizione del principio di “cybersovranità” promosso da Pechino. Considerando che all’art. 2 della legge cinese chiarisce che l’ambito di applicazione territoriale è strettamente legato alla territorio della Repubblica Popolare Cinese, ne deriva che una società cinese che svolge affari sia in Cina sia nell’Unione europea dovrà essere sottoposto ad entrambe le leggi, mentre un’azienda localizzata solo in territorio UE ma creata per offrire servizi direttamente in Cina dovrà seguire solamente i dettami del GDPR.

Nel frattempo, la vicina Hong Kong ha recentemente aggiornato la sua Personal Data Ordinance (che già traeva moltissimi spunti dalla Direttiva 95/46/EC) grazie alla pubblicazione del “New Ethical Accountability Framework”. Con l’obiettivo di favorire le realtà locali impegnate o intenzionate a intrattenere rapporti commerciali con business e individui “coperti” dal GDPR, Hong Kong riprende uno dei cardini del nuovo regolamento europeo, vale a dire il principio di responsabilizzazione, e lo trasforma in un approccio di “ethics by design” applicabile anche nei rapporti con partner e soggetti esteri, basato principalmente sulla tenuta di registri dei trattamenti e sull’importanza della valutazione d’impatto preventiva.

Sviluppi in tal senso si attendono per il 2019 anche per Bosnia-Erzegovina, Ucraina, Nord Macedonia, Montenegro, Monaco, Nuova Zelanda e soprattutto India.

NOTE A CONCLUSIONE

Come già dimostrato in molte sedi, le riforme aventi ad oggetto leggi in materia di privacy e di protezione dei dati richiedono una consistente mole di finanziamenti, risorse e tempo senza i quali sarebbe impossibile gestire la complessità e la rapidità dell’innovazione tecnologica. Nella maggioranza dei casi, i legislatori nazionali sono incapaci di stare al passo, per non parlare di anticipare, i cambiamenti tecnologici e l’evoluzione delle attività di trattamento dei dati personali. Quando poi questi cambiamenti avvengono su scala globale, attraversando in un attimo i non-confini del cyberspazio, la sfida si fa ancora più intensa.

Sebbene il GDPR sia considerato una delle leggi più restrittive e rigide (se non altro per le sanzioni da esso previste) in materia di privacy, uno dei nuclei centrali della ratio ad esso sottesa è che la protezione dei dati personali e la loro circolazione non devono necessariamente escludersi a vicenda. Ciò che si dimostra essenziale in questo caso è garantire un certa coerenza sia all’interno, con un rispetto delle norme diffuso entro tutto il perimetro di applicazione, sia all’esterno, con lo sviluppo di una politica estera dell’UE che promuova la cooperazione delle attività di contrasto e di controllo, la diffusione di strumenti e di principi e lo sviluppo di elevati standard di protezione a livello mondiale.

In assenza di tale coerenza, l’intero regime dell’extraterritorialità incoraggiato dal nuovo regolamento europeo, pur nella sua sempre crescente diffusione su scala globale, rischia di trovare più di un ostacolo sotto il profilo dell’effettiva efficacia.

Fonti:

Regolamento 2016/679/UE
Direttiva 95/46/CE
European Commission, “Guidelines 2/2018 on derogations of Article 49 under Regulation 2016/679”
European Commission “Guidelines 3/2018 on the territorial scope of the GDPR (Article 3).

Commissione europea, “Comunicazione della Commissione al Parlamento Europeo e al Consiglio: Scambio e protezione dei dati personali in un mondo globalizzato”
Privacy Commissioner for Personal Data, “Ethical Accountability Framework for Hong Kong, China”
DLA Piper, “Data privacy law: the top global developments in 2018 and what 2019 may bring”
IAPP, “The new Brazilian data protection law – a detailed analysis”
IAPP, “GDPR matchup: Argentina’s draft Data Protection Act”
IAPP, “GDPR matchup: China’s Cybersecurity Law”
IAPP, “GDPR matchup: The California Consume Privacy Act 2018”

Il ruolo della data governance nella sostenibilità delle smart cities

Il ruolo dei cookie paywall ed il valore dei dati personali

Riconoscimento facciale e sorveglianza: raising awareness

Diritto di accesso ad internet: un requisito per lo sviluppo di una cultura digitale

Deepfake: “when seeing isn’t believing anymore”

ABOUT US

LINKS

Community

About

Privacy e cookie policy

Login

SOCIAL