tracking comportamentale
Già si è detto di come Unione europea e Stati Uniti differiscano e, allo stesso tempo, presentino alcune comunanze in materia di tutela dei dati personali780. In maniera
più dettagliata si è anche affrontato il tema della considerazione che viene data al cittadino quando si tratta di tutelarne le informazioni. Da una parte, l’Unione europea avrebbe più a cuore la protezione dell’individuo nei confronti del pubblico generale, perché il concetto di riservatezza avrebbe più chiaramente (o, forse, espressamente) a che fare con quello di dignità rispetto agli Stati Uniti. Difatti, nel sistema americano la privacy non si accompagnerebbe a questioni di onore personale, ma mirerebbe piuttosto alla tutela del cittadino (e meno spesso dello straniero) rispetto al potere governativo di sorveglianza indiscriminata di massa781. E tale credenza è talmente diffusa tra i cittadini che gli stessi, quando assumono le vesti di consumatori, non temono più di tanto di disseminare le proprie informazioni personali in materia di consumi782. Ora, ciò non starebbe a indicare necessariamente una superiorità del sistema UE rispetto a quello americano, perché la preminenza dell’uno o dell’altro dipende da constatazioni preliminari differenti, basate sulla necessità di tutelare la sicurezza nazionale da un lato (per cui sarà prevalente il sistema USA) e dall’altro sull’esigenza di dare una priorità alla sicurezza più
780 Si v. cap.II.XII. supra.
781 J.Q. Whitman, “Human dignity” in Europe and the United States: the sociale foundations, in
G. Nolte (cur.), European and US Constitutionalism, Cambridge, Council of Europe, 2005, pagg. 120 segg; N.M. Richards, The dangers of surveillance, cit., pagg. 1934 segg; v., altresì, cap. II.XI. supra.
individualizzata del cittadino783, ma dovendo trattare della riservatezza dei
consumatori e della loro autodeterminazione, anche nelle scelte di mercato, si deve notare che, in considerazione di quanto affermato, molti autori ritengono che la privacy del cittadino e consumatore negli Stati Uniti sarebbe posta ad un livello di garanzie inferiore in rapporto all’UE784. Invero, secondo detta tesi, mentre l’Unione
europea sarebbe espressamente portata a proteggere le informazioni dei consumatori nei loro rapporti commerciali, gli Stati Uniti manterrebbero una possibilità particolarmente ampia di fare uso delle informazioni individuali sui consumi. E ciò si riscontra materialmente nelle concrete tutele esistenti nell’uno e nell’altro ordinamento.
Nell’UE, in effetti, la tutela sarebbe più stringente grazie al nuovo regolamento sulla tutela dei dati personali, all’attività di autorità indipendenti esclusivamente garanti della corretta applicazione delle norme sulla privacy e, infine, ad un sistema sanzionatorio effettivo ed efficace. Tutto ciò parrebbe mancare invece nell’ordinamento statunitense, dove pure esiste un’autorità garante della tutela dei dati personali dei consumatori, ma essa combina siffatta attività con quella di supervisione dell’applicazione delle norme sul corretto funzionamento del mercato785, il che spesso rende particolarmente complicato accordare piena tutela ai consumatori rispetto alle società, dove prevale la logica del maggior utile possibile786.
L’analisi dei due sistemi è importante perché essi rappresentano punti di riferimento per i legislatori di ordinamenti terzi e segnano tracce che altri paesi possono percorrere per basare le rispettive normative a tutela della privacy. Del resto, gli
783 J.Q. Whitman, “Human dignity” in Europe and the United States: the sociale foundations, cit.,
pag. 124.
784 Richards sostiene che i cittadini americani siano preoccupati più dalla sorveglianza governativa
di massa che dalla sorveglianza privata cosiddetta “liquida” dai sociologi Bauman e Lyon. Quest’ultima tipologia di sorveglianza sarebbe liquida proprio perché sarebbe possibile grazie alla partecipazione e al consenso degli stessi sorvegliati (ed in questo sta nuovamente il paradosso della privacy). Peraltro, gli aspetti negativi di detta sorveglianza si accentuano laddove accada che il governo, che esercita regolarmente forme di sorveglianza a fini di sicurezza e ordine pubblico, trasmetta informazioni rilevanti a società private, verosimilmente a fini di lucro (come verificatosi negli Stati Uniti quando il governo ammise di aver inoltrato a compagnie assicurative dati riguardanti le targhe delle auto scansionate ai confini del Paese e in transito verso l’estero). Perciò, secondo parte della dottrina, la sorveglianza governativa americana non dovrebbe neanche più considerarsi come fenomeno a sé stante rispetto a quella del mercato. Si v. N.M. Richards, The
dangers of surveillance, cit., pagg. 1940 segg.
785
Ci si riferisce qui ovviamente alla Federal Trade Commission. Si v. cap. II.IX. supra.
786 L. Esteban, J.M. Hernandez, Direct Advertising and opt-in provisions: Policy and market
Stati Uniti sono in grado di influenzare facilmente le scelte politiche in materia degli Stati membri dell’Asia-Pacific Economic Cooperation, presso la quale hanno promosso l’adozione di normative basate sui FIPPs787. D’altra parte, l’UE, oltre a imporre una certa normativa (ora con il regolamento) o un certo tipo di risultati normativi (prima con la direttiva) ai propri Stati membri, ha un significativo potere di influenzare indirettamente la portata di legislazioni di altri Stati, con cui la stessa Unione non intratterrebbe rapporti commerciali, specialmente sotto il profilo dei dati personali, salvo che questi non garantiscano un adeguato livello di tutela788. Sta di fatto che, alla luce delle garanzie attualmente esistenti nell’uno e nell’altro ordinamento, l’effetto che queste ultime hanno sull’individuo, consumatore e utente, appare ben differente, indipendentemente dal fatto che il consumatore europeo e quello americano potrebbero avere preferenze diverse sotto il profilo della riservatezza personale o della sicurezza nazionale. Come sottolineato in precedenza, queste differenze si riscontrano, negli Stati Uniti, nella scelta più frequente di sistemi di opt-out per la raccolta e la trasmissione a terzi di dati personali che consentirebbero a chi li utilizza di raccogliere più facilmente una maggiore quantità di dati, per poi abbinarli e creare combinazioni di massa, eventualmente utilizzabili a fini commerciali. Invece, poiché nell’UE è stato normativamente imposto l’uso di sistemi di opt-in, si tende ad agevolare la libera scelta del consumatore in merito al trattamento delle proprie informazioni, malgrado la scelta possa non essere sempre completamente consapevole. Secondo Mantelero, detta imposizione normativa si sarebbe rivelata necessaria789, in
considerazione del fatto che, altrimenti, le imprese europee (così come quelle americane) avrebbero preferito utilizzare sistemi di opt-out per rispondere alle proprie esigenze di profitto790.
Tuttavia, è inevitabile che l’utente di Internet visiti o si registri su siti web senza prima chiedersi a quale normativa il medesimo sito sia soggetto e, dunque,
787 Per approfondimenti sui FIPPs si v. cap. II.X. supra.
788 Peraltro, tale livello di adeguatezza viene giudicato dalla stessa Commissione europea.
A. Mantelero, Competitive value of data protection: the impact of data protection regulation on
online behaviour, cit., pag. 231.
789 Ibidem, pagg. 229-238. Si v., in tal senso, anche L. Esteban, J.M. Hernandez, Direct Advertising
and opt-in provisions: Policy and market implications, cit., pag. 3.
790
V. cap. III.VI. supra. Questo potrebbe essere anche uno dei motivi per cui le grandi società americane operanti su Internet non sarebbero riuscite ad imporre le proprie esigenze nell’ambito UE, essendo peraltro sanzionate, come si vedrà infra nel cap. IV.
effettuare una scelta in tal senso791. In sintesi, è frequente che un utente americano
possa visitare un sito web europeo o viceversa, e che non si interroghi sulle successive conseguenze, né se ne renda particolarmente contro una volta che si siano verificate. Secondo Klein e Rao, in una situazione siffatta, il cittadino UE che visita o accede a siti USA sarebbe tutelato in modo minore rispetto alla situazione opposta in cui sia un cittadino americano a visitare un sito UE792. Dunque, secondo
tale tesi, visitando siti web extra UE, soggetti a normative che prevedono tutele diverse o che non le prevedono affatto, un cittadino e utente UE potrebbe cedere gratuitamente (e forse poco consapevolmente) i propri dati, il cui valore verrebbe poi sfruttato da imprese che entrano nella loro disponibilità. In tal modo, il valore che la riservatezza ha per l’individuo, sebbene elevato per quest’ultimo, verrebbe diminuito, a fronte di un aumento del valore delle informazioni del medesimo individuo produce, guadagnato però dalle imprese che utilizzano i dati in questione. Se si considerano i due ordinamenti in esame sotto il diverso aspetto dei tratti comuni, si riscontra come un fattore di convergenza riguarda l’implementazione di soluzioni tecniche di tutela dei dati che, essendo meno ristretta da confini giuridicamente prestabiliti rispetto a quanto accade per i sistemi di tracking comportamentale su internet (esempio ne sono, appunto, i sistemi di opt-out e opt-in e la scelta obbligata dei secondi nell’UE), siano realizzabili uniformemente in sistemi giuridici molto diversi793. Secondo Mantelero, che pure sostiene una netta
differenza tra i due sistemi di tutela della privacy e, talvolta, sembra pendere maggiormente a favore di quello UE, un altro elemento di analogia starebbe nel fatto che è proprio dal lavoro scientifico di due autori americani, interessati, per la prima volta ufficialmente, al diritto alla privacy che ha preso spunto la normativa a tutela dei consumatori negli Stati Uniti e che, come la tutela della privacy, si è poi diffusa nell’UE, sebbene con sviluppi e obiettivi diversi. Ancor più singolare è che
791 Ciò vale anche a causa della caratteristica di extraterritorialità di Internet. Si v., per analogia,
S.W. Brenner, B. Koops, Approaches to Cybercrime Jurisdiction, in Journal of High Technology
Law, 2004, 1.
792 J. Klein, P.M. Rao, Competition and consumer protection in the cyberspace marketplace, 20th
ITS Biennal conference, Rio de Janeiro, Brasile, 2014: The Net and the Internet – Emerging Markets
and Policies, pag. 12.
793 A. Mantelero, Competitive value of data protection: the impact of data protection regulation on
tale ricerca sia originata dalla necessità di contrastare l’avvento delle nuove tecnologie e la capacità di queste ultime di invadere la sfera privata794.
Del resto, la più evidente e significativa discrasia si riconosce nel fatto che mentre l’UE tutela gli individui a prescindere dalla loro nazionalità e dal settore in cui si trovano ad agire, offrendo garanzie generali ed efficaci alla riservatezza, in precedenza applicando le normative nazionali di attuazione della direttiva 95/46 ed ora applicando le norme del GDPR anche su Internet, negli Stati Uniti la protezione della privacy online si inserisce, come da tradizione, nel più vasto campo della tutela dei consumatori, il che pare pienamente in linea con il modello di mercato adottato, il quale presuppone la necessità che i consumatori esprimano un consenso795. Quest’ultimo viene accordato attraverso il meccanismo del notice and
consent che, se espresso mediante sistemi di opt-out – come evidenziato in
precedenza796, potrebbe rivestire minor valore perché non sarebbe prestato in modo totalmente consapevole.
Alla luce delle differenze esaminate nel presente paragrafo ed in parziale conflitto di quella dottrina, comunque minoritaria, che riconosce somiglianze tra le tutele UE e USA, anche nel settore online del behavioural targeting, non si può non osservare come, quantomeno per il fatto che prevede un ambito di applicazione territoriale più ampio797, nell’Unione europea la normativa sul trattamento delle informazioni personali pare più garantista per l’individuo, considerato a prescindere dalla sua qualità di consumatore. Quest’ultima considerazione sembra invece mancare negli Stati Uniti, in cui la tutela sembrerebbe essere offerta in connessione alla qualità di consumatore, facendo prevalere la regola del profitto, piuttosto che quella della tutela dell’individuo.
Una delle questioni che a questo punto della ricerca si pongono riguarda quindi la considerazione della persona fisica e, in particolare, se sia opportuno considerarla nei limiti della sua attività consumistica di consumatore che, in un certo senso,
794 M.K. Ohlhausen, A.P. Okuliar, Competition, Consumer Protection, and The Right [Approach]
to Privacy, cit., pag. 121. V., altresì, cap. II.II. supra.
795 M. Richardson, A.T. Kenyon, Privacy online: reform beyond law reform, in N. Witzleb,
D. Lindsay, M. Paterson, S. Rodrick (cur.), Emerging challenges in Privacy Law, Cambridge University Press, 2014, pag. 342.
796 V. cap. III.VI. supra.
797 Si ricorda che la normativa UE è applicabile a tutti gli interessati (persone fisiche) che si trovino
nell’Unione, a prescindere dal fatto che il trattamento dei loro dati personali sia effettuato al di fuori del territorio dell’Unione o che la persona fisica non abbia la cittadinanza di uno dei suoi Stati membri. Articolo 3, GDPR.
secondo Rodotà e Barber diverrebbe un soggetto “consumato”798, perché sfruttato
nelle sue libertà dalle logiche di mercato, oppure se sia più adeguato considerare l’individuo garantendogli tutela in ogni attività compiuta. Solo in quest’ultima modalità sembrerebbe infatti potersi proteggere la sua autonomia e, quindi, la sua dignità.
Del resto, sembrerebbe opportuno osservare che l’individuo è degno quando sviluppa la propria personalità, svolgendo attività che gli procurano soddisfazione, a prescindere dal fatto che queste siano svolte offline od online. Tra dette attività, possono ben rientrare quelle di stampo economico. In particolare, se l’individuo esprime la propria personalità anche attraverso l’ambiente digitale, anche attraverso attività di natura commerciale, la sua integrità viene mantenuta una volta che le disposizioni normative previste a tutela della persona fisica possano essere trasposte anche alla “persona digitale”799. Ciò è possibile in particolare attraverso l’applicazione della norma prevista dalla Carta dei diritti fondamentali nell’Unione sul divieto di utilizzare il corpo come oggetto di profitto che, secondo Rodotà, potrebbe analogicamente essere applicata per il corpo elettronico della persona, rispetto al quale le informazioni personali sono componenti integranti800. Da questo punto di vista, l’ordinamento UE sembrerebbe attualmente più attrezzato a raccogliere questa sfida, con conseguenti maggiori probabilità di successo a beneficio dell’individuo.