Il nuovo regolamento privacy in vigore dal 25 maggio nei Paesi dell’Ue può avere come effetto virtuoso un Atlantico più stretto sul delicato tema della privacy degli utenti, ma rischia al contempo di costituire una forte penalizzazione per chi sperimenta e investe in tecnologie innovative nel vecchio continente. Nonostante giganti come Google e Facebook abbiano già provveduto (o lo stiano facendo in queste ore) ad adeguarsi al nuovo pacchetto di norme – ormai universalmente noto con l’acronimo Gdpr – a creare distonia tra Washington e Bruxelles è il diverso approccio culturale e aziendale all’utilizzo e alla gestione del dato, e delle opportunità che ne derivano.
COSA STA ACCADENDO
Bruxelles, pone in evidenza un approfondito report del think tank German Marshall Fund, ritiene di aver adottato l’approccio migliore per proteggere la privacy dei cittadini, che considera un diritto fondamentale. Di conseguenza, la legge proibisce il trasferimento di dati personali al di fuori dell’Ue, a meno che la Commissione non abbia stabilito che le leggi del Paese ricevente siano “adeguate” secondo i criteri previsti dalle norme o, in mancanza di ciò: se il trasferimento dei dati è protetto da contratto; se un la società abbia accettato regole vincolanti sul modo in cui gestirà i dati; o se l’individuo ha dato il proprio consenso “informato” al trasferimento.
Poiché gli Stati Uniti non hanno una legge generale che protegge i dati personali, il Paese non è una destinazione approvata, a meno che la società che trasferisce i dati abbia assunto una serie di impegni sulla gestione dei dati. Il programma iniziale, Safe Harbor, è stato giudicato carente dopo le rivelazioni sulla capacità del governo degli Stati Uniti di accedere ai dati detenuti dalle società. Il governo degli Stati Uniti ha poi lavorato ad un nuovo accordo, il Privacy Shield, ora in fase di revisione da parte della Corte di giustizia europea dell’Ue alla luce dei cambiamenti introdotti proprio dal Gdpr.
I POSSIBILI EFFETTI
Proprio il nuovo approccio adottato in Europa, rimarcano Susan Ness e Peter Chase nella loro analisi, potrebbe però spingere gli Usa a rivedere le proprie politiche sulla privacy degli utenti. Washington, come detto, non ha ad oggi una legge generale come il nuovo regolamento Ue. Negli Usa i dati personali si proteggono in contesti specifici: medico, finanziario, lavorativo e riguardante i minori.
Tuttavia, molti oltreatlantico stanno pensando a replicare l’esperienza europea e nuove regole federali o statali – ad esempio in California, che potrebbe rappresentare uno standard – potrebbero essere in vista, colmando un vuoto che finora il Congresso non è riuscito a riempire.
In alternativa, le norme complesse e di vasta portata presto in adozione nel blocco Ue potrebbero anche finire col contribuire alla regolamentazione del Paese se le multinazionali americane sceglieranno di estendere tutta o una parte significativa dei diritti alla riservatezza dei dati del Gdpr ai loro utenti al di fuori dell’Europa.
UNA SOLUZIONE INTERMEDIA
Ma è improbabile, prosegue il report che i titani del tech implementino il nuovo regolamento Ue per intero, se non obbligati. Facebook, ad esempio, è pronto a offrire una sorta di Gdpr-lite ai suoi utenti non domiciliati nel vecchio continento. Ciò consisterebbe in una sostanziale estensione di molti dei diritti sulla privacy introdotti con le norme europee, ma senza l’esposizione della società alle massicce multe previste dall’impianto voluto da Bruxelles. Si tratta comunque di un avvicinamento.
NON SOLO USA
Fa bene ricordare che gli Usa sono senza dubbio il Paese più importante, ma non l’unico preso in considerazione quando si parla di trasferimento di dati personali al di fuori dell’Ue, anzi. La Commissione ha rilevato che al momento solo cinque Stati al di fuori dell’Europa fornirebbero protezioni “adeguate”. Un problema che, secondo l’analisi, potrebbe risolversi legando i negoziati di natura commerciale alla gestione dei dati da parte dei servizi digitali, come accaduto col Giappone.
LE RIPERCUSSIONI SU INNOVAZIONE E TECNOLOGIA
Il Gdpr, sottolinea il report, potrebbe anche avere effetti non positivi per lo sviluppo e gli investimenti in campi innovativi come quelli dell’intelligenza artificiale, del machine learning, dell’internet of things, dei veicoli a guida autonoma, dell’assistenza sanitaria personalizzata o dell’efficienza energetica.
Secondo le regole presto in vigore nel vecchio continente, gli utenti hanno diritto a dare o, revocare in qualsiasi momento, il consenso all’utilizzo dei propri dati – finora utilizzati dai ricercatori delle aziende che li raccoglievano attraverso i loro servizi – per singoli o specifici fini.
Per questo esperti temono che le nuove norme possano rallentare o fermare del tutto in Ue le attività e gli avanzamenti nei settori citati, rappresentando un ostacolo per le imprese e i centri di ricerca europei, che non sarebbero in grado di competere con Stati Uniti e Cina, oltre ad avere ulteriori difficoltà nello scambio di dati.
