A due anni dall’entrata in vigore del Regolamento UE 2016/679 analizziamo i principali avvenimenti che hanno caratterizzato il 2020 sul fronte privacy e data protection. Sotto la spinta degli eventi, il diritto di ogni persona alla protezione dei dati personali che la riguardano, ancora una volta, si è confermato come uno fra i diritti fondamentali più dinamici.
Il 2020 è stato caratterizzato dalla diffusione della pandemia del Covid-19. Il Coronavirus ha portato anche significativi sviluppi lato privacy e data protection, accentuando il dibattito sul trattamento dei dati ai fini di ricerca scientifica, sulla sicurezza delle APP e le tecniche di “contact tracing”, sul lavoro a distanza o smartworking.
Molte di queste tematiche, alla luce della situazione epidemiologica globale e del trattamento di dati derivante, hanno richiesto una riprogettazione by design, al fine di garantire il rispetto delle più recenti normative in materia di privacy.
Due anni dall’entrata in vigore del GDPR
La principale fonte privacy e data protection applicabile nel contesto europeo, il GDPR – Regolamento UE 2016/679 – nel 2020 ha compiuto 2 anni. A giugno la Commissione Europea ha pubblicato un report di valutazione e riesame del GDPR, con particolare attenzione al tema del trasferimento di dati personali verso paesi terzi e organizzazioni internazionali (il Capo V del Regolamento), e alle norme in materia di cooperazione e coerenza (la concreta applicazione del Capo VII).
Le criticità rilevate dalla Commissione nel report, erano limitate a specifici settori o istituti (quali ad es. il “meccanismo dello sportello unico”), ma il bilancio che ne derivava era per lo più positivo: l’opinione generale è che il GDPR abbia raggiunto con successo i suoi obiettivi di rafforzare la protezione del diritto individuale alla protezione dei dati personali e di garantire la libera circolazione dei dati personali all’interno dell’UE.
L’UE è diventata il punto di riferimento globale in materia di protezione dei dati per la regolamentazione dell’economia digitale. La privacy si è consolidata come fattore in grado di orientare le scelte economiche di acquisto ed i comportamenti online.
Dall’altra parte dell’oceano: il California Consumer Privacy Act
L’effetto del GDPR ha stimolato altri paesi in molte regioni del mondo a prendere in considerazione la possibilità di seguire l’esempio. Alcuni di questi hanno avviato il processo, e sviluppato legislazioni privacy moderne, in buona parte plasmate dal Regolamento europeo.
Fra queste troviamo il “California Consumer Privacy Act” (CCPA), la prima legge completa sulla privacy negli Stati Uniti, pubblicata nel giugno 2018 ed entrata in vigore a partire da gennaio del 2020. Il CCPA riprende il GDPR in particolar modo per quanto riguarda i ruoli delle parti (aziende-titolari e provider di servizi-responsabili), per quanto riguarda gli obblighi di trasparenza ed i diritti:
- Il diritto di conoscere il trattamento svolto dalle aziende, come vengono usati e condivisi i dati personali (right to know)
- Il diritto alla cancellazione delle informazioni trattate (right to delete)
- Il diritto di opporsi al trattamento (compresa la vendita dei propri dati personali).
A questi diritti si aggiunge una garanzia generale di non discriminazione (right to non-discrimination): le aziende devono assicurarsi che gli utenti non vengano discriminati per aver esercitato uno dei diritti ai sensi del CCPA.
A novembre, inoltre, un’altra tappa significativa nello sviluppo della normativa privacy della California è iniziata, con l’approvazione del “California Consumer Privacy Rights Act” (CPRA).
La sentenza Schrems II
La normativa californiana è sicuramente all’avanguardia rispetto al contesto statunitense, nel complesso carente di una normativa federale in grado di garantire i diritti degli interessati.
Il 16 luglio del 2020, infatti, la Corte di giustizia dell’Unione europea (CGUE), con la sentenza nella causa C-311/18 Data Protection Commissioner / Maximilian Schrems e Facebook Ireland (cd. “sentenza Schrems II”), si è pronunciata in merito al regime di trasferimento dei dati tra l’Unione Europea e gli Stati Uniti, invalidando la decisione di adeguatezza del “Privacy Shield”.
Il “Privacy Shield” era l’accordo per il trasferimento dei dati verso gli Stati Uniti, che tutelava i diritti fondamentali degli interessati nell’UE e stabiliva regole certe per le imprese coinvolte nell’esportazione di dati al di là dell’Atlantico. La sentenza della Corte ha invalidato lo scudo per la privacy a causa del grado di ingerenza creato dalla normativa statunitense nei diritti fondamentali delle persone i cui dati sono trasferiti.
Secondo la Corte, i requisiti della normativa interna degli Stati Uniti, e in particolare taluni programmi che consentono l’accesso da parte delle autorità pubbliche statunitensi, per finalità di sicurezza nazionale, ai dati personali trasferiti dall’Unione europea verso gli Stati Uniti, comportano limitazioni della protezione dei dati personali che non sono configurate in modo da soddisfare requisiti sostanzialmente equivalenti a quelli richiesti nel diritto dell’Unione. Inoltre, tale normativa non conferisce agli interessati diritti azionabili in sede giudiziaria nei confronti delle autorità statunitensi.
La sopracitata sentenza ha anche creato incertezze rispetto alle Clausole Contrattuali Standard (SCC) e alle Binding Corporate Rules (BCR), meccanismi previsti dall’art. 46 del GDPR, rendendo critico il trasferimento dei dati al di fuori dello Spazio Economico Europeo.
Il 12 novembre 2020, quindi, la Commissione Europea ha pubblicato la bozza di decisione con i modelli di Clausole contrattuali tipo (SCC) integrati sulla base della decisione della Corte di giustizia dell’Unione Europea (CGUE). La bozza delle nuove SCC, rispetto alle precedenti clausole, include disposizioni specifiche relative al rapporto con leggi e autorità degli Stati coinvolti nel processo di esportazione.
Il panorama globale
Il trasferimento di dati verso paesi terzi risulta quindi un processo particolarmente delicato. Il panorama privacy mondiale è un Panta rei di bozze e disegni di legge.
Nel continente asiatico, in particolare in India, Indonesia e Pakistan hanno continuato a svilupparsi nuove leggi sulla protezione dei dati, mentre a Hong Kong si stanno discutendo notevoli emendamenti alla normativa applicabile.
L’entrata in vigore della legge sulla protezione dei dati personali della Thailandia (“PDPA”) è stata rinviata al 31 maggio 2021 a causa della pandemia da Covid-19. Anche in Cina sono stati fatti passi avanti, attraverso la pubblicazione della bozza di “Personal Information Protection Law”, che mira a regolare la gestione dei dati personali da parte delle aziende.
La bozza della nuova legislazione della Repubblica Popolare Cinese si ispira in buona parte al GDPR: richiama principi fondamentali, come il principio della minimizzazione dei dati, e richiede l’adozione di misure di sicurezza idonee in relazione al trattamento svolto. Le zone d’ombra della bozza riguardano la potenzialità di accesso ai dati e l’ingerenza dello Stato, che si manifesta anche attraverso gli ampiamente discussi sistemi di “Social Scoring” o “Social Credit System” (SCS).
Altre legislazioni si stanno sviluppando, Giappone, Nuova Zelanda e Corea del Sud hanno tutti introdotto nuove leggi o emendamenti significativi che sono destinati a riformare e ad adeguare i rispettivi regimi di privacy alle ultime tendenze internazionali.
La legge generale brasiliana sulla protezione dei dati personali (“LGPD”) è entrata in vigore il 18 settembre 2020 e ha introdotto una vasta gamma di nuovi obblighi per le organizzazioni che operano sia all’interno della giurisdizione che al di fuori dei confini nazionali.
In Sud Africa, la revisione del “POPIA” – South Africa’s Protection of Personal Information Act (legge 4 del 2013) è stata avviata il 1° luglio 2020, con un periodo di transizione di 12 mesi. La POPIA è di ampia portata e introdurrà diversi nuovi requisiti di conformità per le organizzazioni che operano in Sud Africa.
Anche la legge egiziana sulla protezione dei dati è entrata in vigore quest’anno, con potenziali conseguenze analoghe per le organizzazioni interessate.
Prospettive future
Il 2020 è stato un anno difficile ma anche ricco di cambiamenti. Il diritto di ogni persona alla protezione dei dati di carattere personale che la riguardano, ancora una volta, si è confermato come uno fra i diritti fondamentali più dinamici: si è saputo adattare alla tutela dei cittadini europei verso:
- Tracciamenti indiscriminati dell’ubicazione
- Il monitoraggio dell’attività lavorativa da remoto
- Trattamenti illeciti di dati inerenti allo stato salute
- Il rischio di trasferimenti di dati effettuati senza adeguate tutele; etc.
La speranza è che nel 2021 si consolidino norme in grado di fornire garanzie anche ai cittadini extra UE, paragonabili a quelle derivanti dallo scudo giuridico del GDPR.