I nuovi GDPR: il trattamento dei dati personali nel mondo

Se l’Unione Europea ha fatto da apripista con l’adozione del Regolamento n. 679/2016 sul trattamento dei dati personali, cosiddetto GDPR, negli ultimi mesi anche le più grandi nazioni commerciali estere hanno iniziato ad adeguarsi, pensando ed adottando normative proprie, che in gran parte sono ispirate proprio a quella europea. Questa spinta arriva probabilmente anche a causa di alcune pronunce delle corti europee in materia di privacy e dati personali, che hanno recentemente affrontato il passaggio dei dati degli utenti all’estero, come nel caso di Google Analytics, ponendo questioni di compatibilità con la tutela fornita dalla legge europea.

Ed allora, ecco la Cina, ad esempio, ha emanato la propria normativa, entrata in vigore il 1 Novembre 2021.

La nuova normativa cinese sulla protezione dei dati, come dicevamo, è, per molti versi, molto simile agli elementi introdotti dal GDPR. Pertanto, le imprese internazionali ormai abituate non riscontreranno particolari criticità per adeguarsi, mentre potrebbe essere un onere di conformità costoso per le piccole imprese nazionali, soprattutto con la maggiore consapevolezza che i cittadini avranno dei loro diritti e la capacità di depositare reclami.

Tuttavia, a differenza del GDPR, la legge cinese offre una discrezionalità significativa per il governo e gli enti amministrativi in merito ai dati personali e alla promozione degli interessi di sicurezza nazionale.

Infine, per quanto riguarda le sanzioni, se un titolare del trattamento viola i requisiti previsti dalla legge cinese, le autorità di regolamentazione possono ordinare di intraprendere azioni correttive, emettere avvisi, confiscare entrate illegali, sospendere i servizi o emettere una multa. La multa può arrivare fino a 50 milioni di Yuan o al 5% delle entrate annuali di un’organizzazione per l’anno finanziario precedente, oltre a potenziali responsabilità civili e penali per le imprese e sanzioni fino a 1 milione di yuan per i dirigenti. Si tratta di un netto balzo in avanti nell’ammontare delle sanzioni in una giurisdizione che tradizionalmente ha avuto la reputazione di un’applicazione lassista delle norme relative alla privacy.

In America, negli Stati Uniti, si lavora invece sull’American Data Privacy and Protection Act (ADPPA), dopo che già erano stati emanati alcuni trattati USA-EU ed alcuni stati americani avevano adottato proprie normative.

Fin dalla lettura delle definizioni è possibile individuare alcune prime, rilevanti, assonanze e divergenze con la normativa europea, a partire da quella di “dato personale” coperto dalla normativa – “covered data” –. Nella stessa, infatti, vengono fatte rientrare le informazioni che identificano o sono collegate o ragionevolmente collegabili a un individuo o un dispositivo che identifica o è collegato o ragionevolmente collegabile ad una o più persone, inclusi i dati derivati e gli identificatori univoci. Vengono, invece, esclusi i dati personali oggetto di de-indentificazione – nel caso in cui sia ragionevolmente impossibile ricondurli ad un individuo –, i dati pubblicamente disponibili e i dati riferiti a dipendenti, limitatamente a quanto necessario per i trattamenti strettamente connessi ad attività legittime del datore di lavoro, quali l’assunzione o l’esecuzione del rapporto lavorativo.

Anche in tema di dati sensibili – “sensitive data” – il legislatore d’oltreoceano non sembra discostarsi troppo dall’impostazione europea, salvo prevedere un elenco più corposo di tipologie di dati appartenenti a tale categoria e tutele differenti, pur sempre nell’ottica di garantire un livello di protezione rafforzato.

Scorrendo il testo, e passando alla disamina dei Titoli, è possibile invece individuare i punti cardine su cui si snoda l’intera normativa. In primo luogo, vengono delineati, sotto la voce “Duty of Loyalty”, i principi nodali da rispettare in ciascun trattamento, elencando le pratiche considerate vietate nell’ottica di una maggior protezione degli interessati. “Minimizzazione dei dati” e “privacy by design” sono le parole chiave: così come previsto nel Regolamento europeo, al fine di limitare pratiche scorrette, è necessario che le aziende assumano questi due principi come linee guida, operando all’interno di confini ben delineati.

A sottolinearne l’importanza, il Titolo II è dedicato direttamente ai diritti degli interessati, precisamente individuati come “consumatori”. Sebbene il termine prescelto faccia subito balzare all’occhio una potenziale divergenza con la normativa europea, che preferisce, per l’appunto, fare riferimento a un più generico “persone fisiche”, vi sono tuttavia delle convergenze tra Europa e USA, che individuano, nel catalogo dei diritti connessi al trattamento dei dati, il diritto di accesso, di rettifica, di cancellazione e di portabilità, con l’unica differenza che si tratta di diritti azionabili in maniera totalmente gratuita per un massimo di sole due volte l’anno – dopo le quali è possibile chiedere un contributo spese –. Specifica attenzione, poi, è rivolta al trattamento dei dati dei minori, alla necessità di non prevaricare i diritti fondamentali dell’individuo nell’utilizzo di algoritmi e all’obbligo di adozione di misure di sicurezza tecniche e organizzative adeguate, parametrate alle esigenze del titolare.

Discorso a parte merita il cosiddetto “private right of action”, vale a dire la possibilità, per i cittadini, di azionare ricorso diretto nei confronti delle imprese, paralizzandone l’operato. A tal proposito, l’attuale testo dell’ADPPA è riuscito a mettere d’accordo le diverse istanze presentate da repubblicani e democratici, prevedendo, di fatto, un diritto di ricorso del privato alquanto mitigato.

Ovviamente, anche per i cittadini d’oltreoceano è previsto il diritto di ricevere adeguata informativa sul trattamento, redatta in linguaggio chiaro e semplice e resa obbligatoriamente disponibile al pubblico – per esempio, sul proprio sito Internet –. Quanto al contenuto, è possibile notare una consistente somiglianza con l’attuale art. 13 del GDPR, salvo alcune divergenze, tra cui l’obbligo di indicare la data di efficacia, o l’eventuale trasferimento di dati in alcuni, specifici, Paesi extra-continentali – Cina, Russia, Iraq e Corea del Nord –. Sul punto, si potrebbero tuttavia sollevare alcune perplessità, date sia dalla specifica scelta di includere in tale “black list” alcuni Paesi, tralasciandone altri caratterizzati da vicinanza geografica e politica, sia dalla necessità di aggiornare l’intero testo normativo nel caso si decidesse di rimuoverne alcuni o aggiungerne di nuovi.

Il quadro normativo delineato prevede, infine, ulteriori disposizioni, indirizzate per lo più ai titolari in forma diversificata, a seconda della loro possibile qualificazione come “large data holder” – “grandi titolari” – o meno, nonché alcune esenzioni, rivolte ad aziende che abbiano fatturato meno di 41 milioni di dollari nel triennio precedente, che abbiano trattato dati di meno di 100.000 persone e che abbiano ottenuto meno del 50% del loro fatturato dall’attività di trasferimento di dati personali.

Vedremo quali saranno gli aggiornamenti e le novità in materia di trattamento dei dati personali anche in altri paesi. La cosa fondamentale, per le aziende con rapporti internazionali, è conoscere le varie normative per essere sempre in regola.

Leggi altri articoli

Vuoi saperne di più?