Malgrado le notevoli differenze già analizzate circa la tutela della privacy offerta da Unione europea e Stati Uniti e abbondantemente criticate dalla dottrina, non tutti gli autori ritengono che il migliore sistema di protezione sia quello europeo. Difatti, alcuni tra questi stimano che anche il sistema giuridico UE presenti alcuni difetti quando si trovi a proteggere la privacy e a doverla soppesare con altre esigenze.
Orbene non sembra dubbio che l’UE abbia adottato un approccio di tipo proattivo che, quindi, consenta di reagire alle minacce alla riservatezza comportate dalle tecnologie recenti, in modo molto più rapido rispetto a quanto accade negli Stati Uniti620. D’altra parte, tuttavia, tale reazione proattiva e celere al blocco delle potenziali violazioni della privacy causate da eventuali nuovi dispositivi tecnologici potrebbe addirittura far subire un arresto all’innovazione stessa621.
Peraltro, se si ritiene che il sistema UE di tutela della privacy sia maggiormente garantista, si dovrà altresì osservare che, a tratti, l’avere troppa riservatezza
618
K.C. Laudon, Markets and Privacy, in Communications of the ACM, cit., pag. 95.
619 J. King, Fundamental Human Right Principle Inspires U.S. Data Law, but protections are less
fundamental, in M.V. Pérez Asinari, P. Palazzi (cur.), Cahiers du CRID, n. 31, Défis du Droit à la Protection de la Vie Privée – Challenges of Privacy and Data Protection Law, Bruylant, 2008,
pagg.-98 segg.
620 L.J. Strahilevitz, Toward a positive theory of privacy law, cit., pag. 2036. 621 Ibidem.
potrebbe addirittura tradursi nell’essere tanto svantaggioso quanto averne troppo poca622. E ciò si determinerebbe perché la legislazione in materia di riservatezza
certamente porta vantaggio ai consumatori e alle imprese, ma a molti di loro reca anche pregiudizio e, così, l’adozione di normative in materia di privacy diventa complicata proprio in ragione dell’economia delle privacy623 che è notoriamente
complessa da regolare e gestire e si dimostra essere, in essenza, una lotta tra gruppi di potere: chi ne beneficia e chi ne viene pregiudicato624. Tanto più se l’assetto legislativo dei diritti fondamentali diventi flessibile quando si tratta di giustificare interferenze con la privacy (nonostante sia portato ad includere numerose fattispecie in ciò che rappresenta un’interferenza)625.
V’è peraltro da sottolineare che nessuno dei due sistemi ha attualmente approntato un sistema di protezione della privacy per i consumatori ai sensi di uno schema forgiato sull’idea della proprietà. Entrambi, invero, prevedono tutele per i consumatori, tuttavia non riconoscono che i titolari dei dati (o gli interessati, come li identifica il nuovo GDPR) abbiano interessi di stampo proprietario sulle proprie informazioni personali. Gli stessi preferiscono invece predisporre rimedi di tipo risarcitorio, nel caso di compromissione della privacy in occasione del trattamento dei dati violati626. È evidente però che, nonostante la riservatezza dei dati personali sia ancora tutelata mediante norme sulla responsabilità civile e sulla conseguente possibilità di risarcimento, una volta che le imprese siano entrate nella disposizione dei dati stessi, li trattano sempre più come dei beni, la cui titolarità non viene però precisata a livello legislativo. Varrà la pena ricordare che tentativi in tal senso si sono concretizzati attraverso il riconoscimento della proprietà dei dati personali quali beni, da parte di alcuni giudici americani che, occasionalmente, li hanno identificati come tali, sebbene solo nel caso in cui questi fossero stati raccolti da un’impresa e, dunque, appartenessero a quest’ultima627.
Tuttavia, sulla privacy dei consumatori la legislazione americana si spende molto, perché dedica l’attività della Federal Trade Commission alla loro esclusiva
622 Ibidem, pagg. 2039 segg. 623
V. cap. III. infra.
624 Ibidem.
625 M. Milanovic, Human rights treaties and foreign surveillance: Privacy in the digital Age, in
Harvard International Law Journal, 2016, 56, 1, pag. 132.
626
J.M. Victor, The EU general data protection regulation: toward a property regime for protecting
data privacy, in The Yale Law Journal, 2013, 123, 2.
protezione (come detto, negli USA in effetti non esiste un’autorità appositamente dedicata alla tutela della privacy non solo dei consumatori, ma dei cittadini in generale), oltre che alla sorveglianza dell’applicazione del diritto della concorrenza tra imprese, affinché il mercato si sviluppi secondo regole corrette. Alla luce delle suddette caratteristiche della FTC, più che un’autorità garante essa sarebbe un’autorità di enforcement628.
Quanto sopra potrebbe comunque non rappresentare un fattore negativo rispetto al quadro legislativo e attuativo dell’UE, nel senso che, ad avviso di Tene, l’assetto strutturale di tutela della privacy negli Stati Uniti presenterebbe comunque alcuni lati positivi. Ai sensi di detta tesi, alcune parti della legislazione americana in materia di privacy sarebbero state predittive ed innovative già al momento della loro adozione, malgrado fossero state adottate in tempi in cui la tecnologia non costituiva ancora il contrappeso dell’attività di bilanciamento. Nel 1974, invero, con il Privacy Act, gli Stati Uniti avrebbero introdotto per la prima volta una delle prime versioni mai legificate di FIPPs. Inoltre, le attività di sorveglianza e di repressione delle violazioni di dati personali sarebbero più efficaci negli Stati Uniti che in Europa, poiché la FTC avrebbe, in quanto autorità prettamente di
enforcement, potere impositivo più incisivo rispetto alle autorità garanti europee.
Oltre al fatto che, sempre nella prospettiva di Tene, l’UE sarebbe ferma ad una burocrazia lenta e macchinosa, che non è invece propria del sistema americano più orientato alla rapidità nella risposta ai cittadini, anche perché, secondo l’autore, la privacy negli Stati Uniti (almeno sotto l’amministrazione Obama da poco terminata) avrebbe rappresentato un argomento di elevato interesse nell’opinione pubblica.
Tuttavia, siffatta tesi non sembra propriamente condivisibile giacché lo stesso autore tende a smentirsi confermando che il sistema americano presenta comunque svantaggi e lacune. Innanzitutto, perché la FTC agirebbe sulla base di un mandato (doppio, come più sopra chiarito, sia per la tutela del consumatore, che per la sorveglianza in materia antitrust) a cui si atterrebbe in modo scrupoloso, non considerando però che il suo atto costitutivo629 si limita a proibire alle imprese di
628
O. Tene, Reforming data protection in Europe and beyond: a critical assessment of the second
wave of global privacy laws, cit., pagg. 155 segg.
tenere pratiche scorrette o sleali630, il che non garantirebbe una tutela dei dati
personali né sufficiente, né tantomeno adeguata, neppure nel solo settore della tutela dei consumatori, poiché la scorrettezza e la slealtà di tali atti o pratiche protegge i consumatori dal travisamento dell’interpretazione della realtà, ma non dalle violazioni della loro privacy. E, inoltre, perché sempre a detta dello stesso autore, gli Stati Uniti non saranno in grado di tutelare adeguatamente la privacy dei consumatori fino a quando non riusciranno a trasformare i principi delle FIPPs da
soft law a hard law631. In tal senso, se alcuni sforzi sembravano essere stati fatti con l’amministrazione Obama nel corso dei suoi due mandati presidenziali (che hanno portato, in particolare, alla redazione del cosiddetto FTC Report)632, enormi passi indietro sono stati percorsi in pochi mesi dalla recentemente insediata amministrazione Trump633. Se la stessa FTC aveva iniziato a spostarsi verso un approccio più restrittivo a favore della protezione della privacy, adottando una più ampia nozione di riservatezza fondata sulle “aspettative dei consumatori”634, ora si dovranno attendere ulteriori sviluppi poiché essa è un’agenzia governativa, dunque influenzabile del potere di governo e, quindi, dal cambio di rotta presidenziale. Ciò consentirà di comprendere se il livello di privacy dei consumatori raggiunto in precedenza verrà almeno mantenuto o addirittura diminuito635, magari utilizzando il noto modello del “notice and choice” che non sembra tuttavia essere stato
630 L’articolo 5(1) prevede che «[u]nfair methods of competition in or affecting commerce, and
unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful».
631 O. Tene, Reforming data protection in Europe and beyond: a critical assessment of the second
wave of global privacy laws, cit., pag. 158.
632 Per un approfondimento si v. O. Tene, Reforming data protection in Europe and beyond: a
critical assessment of the second wave of global privacy laws, cit., pagg. 164 segg.
633 In questo senso, si v., da ultima, la risoluzione firmata dal Presidente Trump per l’abrogazione
delle tutele online previste per gli utenti di Internet, con la conseguenza che i fornitori di servizi Internet e le società che gestiscono gli internet providers potranno raccogliere informazioni degli utenti, per poi combinarle ed eventualmente rivenderle. Si legga, ad esempio, l’articolo apparso sul New York Times il 3 aprile 2017, Trump Completes Repeal of Online Privacy Protections From
Obama Era, di S. Lohr.
634 Si v. Solove e Hartzog, The FTC and the New Common Law of Privacy, in Columbia Law Review,
2014, 114, pag. 62. V. anche K.A. Bamberger, D.K. Mulligan, Privacy on the books and on the
ground, cit., pag. 270.
635
Per la verità, negli anni più recenti di attività, la FTC ha condotto azioni di enforcement della privacy tentando di utilizzare uno strumento programmatico risultato della trasformazione dei FIPPs in CIPPs (vale a dire in Comprehensive Information Privacy Principles), tra i quali vi sarebbe anche il principio sulla necessità di una valutazione dei rischi circa la riservatezza e la sicurezza dei dati. V. A. Principato, Verso nuovi approcci alla tutela della privacy: privacy by design e privacy by
default settings, cit., pag. 221; si v. anche K.A. Bamberger, D.K. Mulligan, Privacy on the books and on the ground, cit., pagg. 255 segg.
sufficientemente adeguato negli scorsi anni636. Detto meccanismo sembra avere
praticamente surclassato e ricompreso tutti gli altri principi di corretta informazione sulla privacy, e di averlo fatto con insuccesso, in quanto si basa su un regime in cui piuttosto che l’utilizzo di modelli di opt-in (vale a dire di scelta attiva da parte del consumatore), si predilige offrire un apparato informativo (più o meno dettagliato) al consumatore, offrendogli contestualmente la facoltà di revocare scelte già operate di default e non dalla propria persona (secondo i meccanismi cosiddetti di
opt-out)637. Tuttavia, recentemente, la FTC ha percepito le ragioni di insuccesso di detto meccanismo di protezione, cercando di aggiustare il tiro, rafforzandolo mediante l’uso di una maggiore trasparenza nella scelta del consumatore sulle proprie opzioni da selezionare in materia di privacy638. In ogni caso, non sembra
difficile poter desumere dalla dottrina maggioritaria che i metodi utilizzati dalla FTC per tutelare la riservatezza dei dati personali abbiano avuto scarso successo o, per dirla giuridicamente, siano stati scarsamente garantisti, determinando così una salvaguardia della privacy certamente esistente sulla carta (poiché la FTC ha comunque un mandato ufficiale per la tutela dei dati dei consumatori), ma inevitabilmente più debole e nota ai più come «FIPPs-lite protection»639.
636 O. Tene, Reforming data protection in Europe and beyond: a critical assessment of the second
wave of global privacy laws, cit., pag. 172. Si tratta di un meccanismo che avrebbe potuto dare
risultati soddisfacenti se la raccolta e il trattamento dei dati personali fossero stati meno frequenti e diffusi, come lo era inizialmente, ma attualmente non risulta parametrato alle esigenze dettate dallo sviluppo delle nuove tecnologie e dalla gestione automatizzata quotidiana delle informazioni personali. V., in tal senso, A. Principato, Verso nuovi approcci alla tutela della privacy: privacy by
design e privacy by default settings, cit., pag. 205.
637 Si v. Nefh, The FTC’s proposed framework for privacy protection online: a move towards
substantive controls or just more notice and choice), in William Mitchell Law Review, 2010-2011,
37, pag. 1727, cit. in A. Principato, Verso nuovi approcci alla tutela della privacy: privacy by design
e privacy by default settings, cit., pag. 218.; v. altresì cap. III.VII. infra.
638 Principato la identifica come una sorta di simplified consumer choice. Oltre al meccanismo di
tutela della privacy del notice&choice, l’autore rileva come un secondo approccio di tutela utilizzato dall’ordinamento americano, sarebbe il modello harm-based, vale a dire la considerazione della violazione della privacy come rientrante nella categoria dei torts (v. supra cap. II.II.). Anche tale approccio non sarebbe però completamente efficiente nella tutela della privacy, poiché si limiterebbe ad esserlo quando vi sia in gioco un danno fisico o economico o una intrusione con riguardo al noto
right to be let alone e solo una volta che la fattispecie illegittima già si sia verificata. Così facendo,
si ometterebbe però di tutelare tutte quelle fattispecie che non portano alla verificazione di un danno come inteso dal sistema americano di common law, o dove il nesso di causalità sia difficilmente dimostrabile (come nel caso in cui sia necessario individuare la tracciabilità dell’evento, risalendo alla causa e al soggetto che ne ha dato origine). Alla luce di ciò, l’autore tende ad escludere che il modello di tutela della privacy basato sul concetto di danno (e dunque di danno già verificato e non di prevenzione dello stesso) fallisca. A. Principato, Verso nuovi approcci alla tutela della privacy:
privacy by design e privacy by default settings, cit., pag. 218.
Nonostante la dottrina tenda generalmente a ritenere che il modello americano abbia fallito in più circostanze e secondo differenti approcci, parte della stessa giunge a riconoscere anche un certo avvicinamento tra i due sistemi di tutela della privacy qui in esame, dovuto per lo più ad un cambio di metodo di enforcement da parte della Federal Trade Commission, che avrebbe protetto la vita privata interpretandola in modo più ampio, sulla base delle menzionate aspettative del consumatore, le quali giustificano l’intervento dell’autorità quando l’impresa non offra adeguate garanzie. In tal senso, non vi sarebbe un compromesso di tipo convenzionale sulla definizione della privacy da proteggere, ma piuttosto su di una tutela della privacy in quanto tale, poiché – appunto – basata sulle aspettative della parte più debole del rapporto, ossia del consumatore, secondo un’interpretazione più congrua a quella che viene adottata nell’Unione europea640. Se si analizza il GDPR entrato in vigore nell’UE, si può osservare come alcune delle novità più rilevanti sarebbero state concepite prendendo spunto da soluzioni già adottate e applicate negli Stati Uniti. Ci si riferisce segnatamente alla presenza di compliance
officers nelle società e nelle agenzie pubbliche governative, all’attuazione di leggi
di notifica sulle violazioni della privacy e allo sviluppo della privacy by design641. Alla luce di ciò, l’affermazione per cui la tutela della privacy, almeno dal punto di vista formale, attualmente sarebbe meglio congetturata nell’UE che negli USA, non avrebbe senso, stante l’origine americana di alcune delle novità più importanti della riforma europea. Per poter essere in grado di formulare un giudizio sulla concreta attuazione del rispetto della privacy, sarà essenzialmente necessario attendere due eventi: in primo luogo la concreta attuazione della normativa adottata nell’UE che sarà applicata a partire da maggio 2018642 e, in secondo luogo, i futuri sviluppi delle normative statunitensi sulla privacy, a fronte del cambio di orientamento politico seguito alle elezioni del nuovo Presidente che ha assunto le proprie funzioni nel gennaio 2017.
Un altro interessante argomento su cui sarebbe interessante soffermarsi nello studio dei sistemi di tutela della privacy sulle due sponde dell’Atlantico settentrionale
640 A. Principato, Verso nuovi approcci alla tutela della privacy: privacy by design e privacy by
default settings, cit., pag. 205.
641 D. Bender, EU or US: which has more actual privacy?, cit., pag. 20.
riguarda, separando la tutela dei rispettivi cittadini, anche la protezione dei soggetti che, pur non essendo cittadini, restano individui.
Orbene, mentre è chiaro che nell’UE la tutela sulla privacy viene estesa a tutte le persone fisiche identificate o identificabili643, negli Stati Uniti sembra piuttosto che valga quella tesi del contratto sociale in base alla quale la cittadinanza è condizione per ricevere la tutela dello Stato in cui ci si trovi, nonostante la Costituzione americana generalmente non faccia differenza tra cittadini e non, poiché, di norma, fa generico rinvio a persone644. Mentre la politica statunitense cerca di dare una risposta alla domanda se sia giusto riconoscere i diritti fondamentali a prescindere dalla nazionalità, la dottrina ritiene comunque corretto che, la privacy, in quanto diritto fondamentale ammesso dalla giurisprudenza della Corte suprema, debba essere riconosciuta universalmente. E questo perché la tutela dei diritti fondamentali non può dipendere da criteri arbitrari basati su circostanze relative alla nascita, ma deve essere garantita a prescindere, perché è insita nello stesso concetto di dignità che merita tutela645.
Così dovrebbe essere negli Stati Uniti per la tutela della privacy e, allo stesso modo, dei dati personali, che rientrano nell’alveo dei diritti umani, il quale – come l’ha definito Dworkin – «non ha spazio per i passaporti»646.
Così non sembrerebbe, invece, una volta che si osservi che i dati personali sono oramai divenuti merce di scambio e che il rischio di violazione della loro riservatezza tenda ad essere sempre più elevato, in vista di superiori esigenze legate all’economia. Più ampie considerazioni in proposito verranno affrontate nel capitolo successivo.
643 Si v. articolo 4 del GDPR.
644 M. Milanovic, Human rights treaties and foreign surveillance: Privacy in the digital Age, cit.,
pag. 89.
645 Ibidem, pag. 98.