IL LIVELLO DI PROTEZIONE DELLA PRIVACY NEGLI U.S.A. É DAVVERO ADEGUATO?

di
Marco Bellabarba

Nell’ottobre del 1995 veniva approvata l’importante direttiva comunitaria n. 46, in materia di protezione degli individui rispetto al trattamento dei loro dati personali.

Le istituzioni europee riuscirono, dunque, ad introdurre un documento normativo in grado finalmente di dare una necessaria armonia per la protezione dei dati personali a livello comunitario (prevedendo un livello di tutela dell’individuo, sotto questo aspetto, di grado "equivalente" in ogni stato membro) cercando anche di operare un importante bilanciamento di interessi i quali, prima della definitiva approvazione della direttiva, difficilmente ricevevano una adeguata considerazione da parte delle normative nazionali.

D’altronde, sappiamo bene che la circolazione dei dati personali è diventata di stretta necessità per finalità sensibilmente diverse. Si pensi ai motivi di carattere politico-sociale (la stessa formazione dell’Unione Europea è stata preceduta dalla Convenzione di applicazione di Schengen — gli Accordi sono del 1985, la Convenzione è del 1990 — che, nei suoi articoli, prevedeva anche la necessità di adottare una legislazione interna in materia di dati personali per poter aderire agli accordi), oppure per ragioni legate alla sicurezza delle persone (soprattutto dopo i terrificanti eventi del settembre 2001 in U.S.A.), nonché per garantire lo sviluppo del commercio, elettronico e non, in modo che si possano soddisfare le esigenze del consumatore-cliente.

La necessità di ottenere un sempre maggior numero di informazioni di carattere personale non poteva quindi andare esente da una regolamentazione in grado, perciò, di armonizzare la normativa a livello europeo (prevedendo anche i vari meccanismi di controllo), ma anche di risolvere le eventuali questioni che si aprivano a fronte dello sviluppo delle quattro libertà fondamentali comunitarie (circolazione, servizi, merci e capitali) e di una più generale libertà di espansione di attività economiche che avevano la loro fonte in territori extracomunitari.

Di sicuro nulla si può dire riguardo la circolazione dei dati personali per la tutela della pubblica incolumità. La salvaguardia di un interesse pubblico rilevante rappresenta una delle deroghe "intoccabili" della disciplina della circolazione transfrontaliera delle informazioni personali, a cui risulta (giustamente) difficile porre dei "paletti", ma che (altrettanto giustamente) deve sempre risultare più che giustificata. É normale che quanto accaduto nei cieli americani nel settembre ’01 abbia contribuito ad alzare il "livello" di guardia, da parte del Governo statunitense, per impedire che tragedie del genere accadano nuovamente. É anche vero, però, che l’individuo comunitario ha bisogno di una adeguata tutela della propria vita privata e familiare, ed è anche per questo motivo che le deroghe previste al trasferimento transfrontaliero del dato personale (art. 26) sono scritte in modo preciso e spiegate in modo dettagliato dai documenti del Gruppo di lavoro sulla tutela dei dati personali.

Sotto il profilo della circolazione dei dati personali per finalità economiche (il che vuol dire una circolazione mirata a riempire i database delle imprese, sia comunitarie che extracomunitarie) le istituzioni europee hanno dovuto lavorare con altrettante cautele, per una serie di ragioni. Può non sembrare, ma attualmente questo genere di trasmissione dei dati rappresenta una tipologia delicatissima di trattamento delle informazioni, da cui possono derivare conseguenze spesso spiacevoli (si pensi allo spamming, ma anche ai messaggi pubblicitari mediante telefonate a casa o sms). Inoltre, a differenza di una circolazione per motivi legati alla pubblica sicurezza, la richiesta di trasferimento transfrontaliero del dato personale può passare in secondo piano rispetto alla raccolta (avvenuta in territorio comunitario, quindi secondo la direttiva 95/46 e, di conseguenza, secondo la legge interna dello stato membro) delle proprie informazioni, senza che il soggetto interessato si fermi a pensare se, effettivamente, i dati divulgati raggiungono territori che garantiscono un livello adeguato di tutela rispetto al trattamento delle sue informazioni ex direttiva 95/46.

Il territorio statunitense è stato, da sempre, uno dei maggiori stati importatori di dati personali. D’altronde, gli Stati Uniti sono considerati il centro dello sviluppo della new economy e dell’e-commerce, senza dimenticare che, comunque, molte imprese statunitensi hanno poche difficoltà (sia dal punto di vista della forza economica che da quello della "spinta emotiva") ad espandersi verso territori UE, con l’offerta di nuovi prodotti e di nuove soluzioni tecnologiche (si pensi alla creazione di software e hardware utili all’attività di imprese europee), e a "piazzare" eventuali filiali in territorio UE, con la conseguenza anche di un notevole flusso di dati riguardanti i dipendenti verso le imprese "madri".

Fino al 2000 l’Europa rappresentava, dal punto di vista della trasmissione dei dati, una miniera d’oro per le imprese statunitensi, e cioè fin quando non si è arrivati alla formulazione di un documento, chiamato "I principi di approdo sicuro" ("The safe harbor principles"), in cui venivano dettati i 7 principi a cui le imprese statunitensi importatrici di informazioni personali si dovevano attenere per poter garantire al soggetto interessato un’adeguata tutela.

Affinché possa avvenire il trasferimento transfrontaliero di informazioni personali dall’Unione europea, salvo i casi di deroga previsti dall’art. 26 della direttiva comunitaria, è necessario che il paese importatore offra una protezione quantomeno adeguata del soggetto interessato rispetto al trattamento dei suoi dati personali (si veda l’art. 25 della 95/46). Sarà proprio la Commissione europea a decretare il livello di adeguatezza di un determinato paese con una sua decisione formale.

La Commissione europea, dunque, vedendo ormai aumentare il flusso transfrontaliero dei dati fuori dall’UE, cominciò (soprattutto dal 1998, anno in cui si fece un primo bilancio dell’applicazione delle disposizioni della 95/46) ad analizzare alcuni paesi importatori di dati, tra cui Svizzera, Ungheria, Canada e, ovviamente, U.S.A.

Dal punto di vista procedurale, non è complicato analizzare il livello di adeguatezza offerto da un determinato paese terzo. Basta verificare se la legge sui dati personali in vigore nello stato in esame rispetta quanto scritto nella direttiva europea, valutando sia il contenuto delle norme applicabili (in riferimento ad alcuni principi fondamentali come la finalità limitata del trattamento, la sua trasparenza, la qualità e la proporzionalità della raccolta, insieme con la predisposizione di ulteriori misure per il trattamento dei dati sensibili o per finalità di direct marketing) sia gli strumenti per assicurare un’efficace applicazione della legge in vigore, soprattutto in caso di applicazione di sanzioni.

Sotto il profilo contenutistico, invece, l’analisi si faceva senza dubbio più complicata anche se, a parte la situazione del Canada (la cui nuova legge sui dati personali presentava un’applicazione "graduale" e, di conseguenza, anche un livello di adeguatezza "graduale"), per la Svizzera e l’Ungheria la Commissione europea, sempre assistita dal Gruppo dei Garanti europei, non trovava difficoltà nel decidere verso l’adeguatezza offerta dai paesi appena indicati.

Nel momento in cui si stabiliva l’adeguatezza di un determinato paese terzo, nessuno stato comunitario (o meglio, nessuna Autorità statale di protezione dei dati) poteva opporsi ad un trasferimento verso i paesi che, di sicuro, non rientravano tra quelli che costituivano i cosiddetti "paradisi dei dati" e, quindi, un pericolo per il soggetto interessato.

L’analisi dell’ordinamento giuridico presente negli U.S.A. fu altrettanto semplice ma, a differenza di quelli appena ricordati, presentava determinate lacune dal punto di vista della protezione dei dati personali del soggetto privato, che avrebbero comportato una decisione negativa da parte della Commissione europea. I motivi erano molteplici: anzitutto l’approccio molto più liberale al diritto alla privacy, il quale non era visto come un diritto fondamentale come, invece, la Convenzione europea per la salvaguardia dei diritti dell’uomo precisava all’art. 8. Inoltre, il sistema legislativo settoriale presentava, sotto il profilo della tutela del settore privato (il privacy Act del 1974 riguardava solo il trattamento dei dati da parte di uffici governativi), una protezione della riservatezza individuale non generale, ma unita alla previsione di disposizioni dedicate a specifici settori che, inevitabilmente, incideva nella vita privata di un individuo, come le leggi sugli investimenti finanziari o sulle patenti di guida. La mancanza non solo di un sistema legislativo come quello comunitario (il cosiddetto sistema "one size fits all") ma proprio di una legge che fosse in grado di tutelare il soggetto privato (non solo statunitense, ma anche comunitario, nel caso di trasferimento dei suoi dati oltreoceano) faceva sì che la Commissione, insieme con il Governo degli U.S.A., trovasse una soluzione legislativa a questo vuoto legislativo.

Il problema, infatti, nasceva nel momento in cui il dato veniva raccolto nell’UE e, materialmente, si trovava in territorio statunitense dopo il trasferimento (via fax, via e-mail, via telefono etc.).

Il soggetto interessato comunitario non correva nessun rischio al momento della raccolta del dato, perché necessariamente il titolare extracomunitario del trattamento avrebbe dovuto adeguarsi alle disposizioni della normativa europea per la raccolta dei dati nel territorio UE (ma è bene ricordare che non pochi problemi possono esistere in sede di raccolta dei dati via internet e, quindi, in uno spazio fondamentalmente a-territoriale).

La necessità di tutelare il soggetto comunitario sorgeva, invece, al momento in cui i dati si trovavano in territorio statunitense, non soggetto agli articoli di garanzia previsti nella 95/46. Vi erano infatti non pochi problemi di tutela per i soggetti comunitari perché, come già si è potuto anticipare prima, una legge che protegge i privati nell’ambito della generale attività di trattamento delle informazioni personali non esiste, lasciando quindi i dati trasmessi in mano ai titolari che, naturalmente, godevano di una certa libertà di trattamento senza essere costretti, nella maggior parte dei casi, ad assicurare ai cittadini comunitari alcuni diritti fondamentali come l’accesso, il controllo, le precise informative riguardo le modifiche delle modalità del trattamento dei dati e l’integrità degli stessi.

Per ovviare a questa lacuna legislativa e poter quindi valutare in modo positivo la tutela offerta al soggetto interessato comunitario negli U.S.A. è stato raggiunto un accordo, nel maggio del 2000, tra il Governo statunitense e la Commissione europea per definire le modalità di trattamento dei dati che le imprese statunitensi ricevevano dall’Unione europea (a prescindere dal mittente, che può essere o il consumatore stesso, oppure filiali delle imprese madri statunitensi — c’è da sottolineare che la necessità di una regolamentazione di questo tipo era richiesta anche per via dell’enorme flusso di dati di dipendenti che lavoravano nelle imprese controllate o collegate ad altre che risiedevano in territorio statunitense —).

La Commissione ha dunque stabilito che qualsiasi trasferimento che avviene in base all’accordo chiamato "Principi di approdo sicuro" è un trasferimento sicuro, perché tutelato dal titolare statunitense in modo adeguato rispetto alla direttiva 95/46 (si veda proprio il § 6 dell’art. 25 della 95/46 che stabilisce che "La Commissione può constatare (…) che un paese terzo garantisce un livello di protezione adeguato (…) in considerazione della sua legislazione nazionale o dei suoi impegni internazionali (…)"; e di conseguenza spetterà poi a ciascun stato membro dare attuazione a questa decisione senza poter vietare alcun tipo di trasferimento che ha luogo dal proprio territorio verso gli U.S.A. in base ai "safe harbor principles".

I principi introdotti nel sistema legislativo statunitense non potevano non riprendere quelli fondamentali della direttiva comunitaria, precisando quindi la necessità di un’informativa al soggetto interessato (nel documento viene in realtà chiamata "notifica"), optando per una maggiore trasparenza da parte delle imprese statunitensi che devono sempre fornire tutte le informazioni necessarie riguardo il trattamento effettuato; le imprese, poi, devono garantire la possibilità al soggetto interessato di scegliere se le informazioni raccolte possono essere rivelate a terzi o utilizzate per fini incompatibili con quelli per cui le informazioni stesse erano state originariamente raccolte (attraverso, però, il sistema opt-out), a meno che non si tratti di dati con contenuto delicato (dati sensibili) per cui dovrà esserci il sistema opt-in.

Il terzo principio mira a tutelare il trasferimento successivo che, eventualmente, può avere luogo tra due società (una "safe harbor" e l’altra non necessariamente), il quarto richiama il principio fondamentale della sicurezza (ogni impresa dovrà adottare le dovute precauzioni per evitare perdite di dati, accessi, rivelazioni, alterazioni e distruzioni non autorizzate), il quinto richiama l’integrità dei dati, garantendo la pertinenza delle informazioni raccolte rispetto ai fini specificati.

Gli ultimi due principi si riferiscono a due aspetti fondamentali della data protection: affinché questa sia davvero adeguata, è scontato che si debba garantire nel modo più assoluto (e gratuito) l’accesso al soggetto interessato (su questo punto le due parti — Governo statunitense e Commissione europea — discussero molto, ma alla fine prevalse il buon senso ed il rispetto dell’individuo i cui dati vengono trattati oltreoceano). Poi, anche grazie a quanto indicato dai documenti del Gruppo di lavoro che individuavano, oltre che nei principi, anche nelle modalità di applicazione della legge una traccia importante del livello di adeguatezza offerto in un determinato paese, il principio n. 7 si chiama "garanzie di applicazione". In questo vengono spiegate, in modo generale, i sistemi con cui sarà effettuato un controllo sulle imprese che ricevono i dati e applicano i 7 principi di approdo sicuro.

Non basta, però, quanto approvato dalla Commissione nei 7 principi (insieme con la sua introduzione) per avere una complessiva idea su come i principi funzionano (e le sue norme vengono applicate). E’ necessario anche leggere attentamente le 15 "domande frequenti" (F.A.Q., frequently asked questions), che mirano a spiegare altri particolari della disciplina che non venivano compresi nei principi o che avevano bisogno di ulteriori approfondimenti (da notare, soprattutto, le FAQ n. 5, 6, 8, 9, 11 e 12), insieme con gli altri allegati che consistono nella spiegazione del ruolo della FTC (Federal Trade Commission) e delle modalità di risarcimento del danno nei tribunali statunitensi, e in uno scambio di lettere tra la FTC, il Dipartimento dei trasporti ed il Direttore Generale della DG XV che si è occupato dello sviluppo di queste problematiche.

E’ importante a questo punto spiegare, seppur brevemente, il complesso sistema dei principi di "approdo sicuro", evidenziando però le diverse lacune e contraddizioni che in questi sono presenti.

Anzitutto, i principi non sono obbligatori per tutte le imprese, ma solo per quelle che, attraverso una propria autocertificazione, dichiarano di aderire al protocollo internazionale, diffondendo anche determinate informazioni relative all’attività dell’impresa e alla politica di privacy che questa adotta. In questo senso, fortunatamente, si è scelto una via molto "trasparente" per le autocertificazioni, che sono pubblicate nel sito web del Dipartimento del commercio statunitense.

Lì è presente una lista che supera le 250 autocertificazioni (lista che, seppur in modo non troppo rapido, va allungandosi), e ciascuna di queste imprese ha scelto, dunque, la strada della "certezza giuridica", dimostrando (almeno apparentemente, come vedremo) di applicare i principi, "aprendosi" verso una cultura della privacy nel rispetto dell’individuo più che del libero mercato, e sostenendo i relativi costi di attuazione per ricevere un numero ancor maggiore di informazioni personali di soggetti che si trovano nell’UE.

Preferisco, però, non pensare alle imprese non hanno sposato i principi e quante, tra queste, ritengono ancora di essere nel giusto. Se dovessimo fare una lista delle imprese commerciali che ricevono i dati dall’Unione europea ci potremmo trovare davanti a spiacevoli sorprese. D’altronde non è poi così difficile ottenere un consenso espresso dell’interessato (magari poco attento alle questioni di tutela dei propri dati personali), da parte di società filiali di imprese statunitensi. In questo modo si rientra in una delle eccezioni previste dall’art. 26 della 95/46 e, senza la minima difficoltà, il trasferimento transfrontaliero ha luogo e il dato si trova in territori dove non viene garantita la sufficiente tutela all’individuo che ha dato il consenso, magari grazie ad un’informativa poco dettagliata o, in certi casi, troppo complicata e che lo ha tratto in inganno.

I dubbi comunque non si arrestano qui, ma sono solo all’inizio. I principi di "approdo sicuro" non introducono la figura del Data protection Commissioner presente nella direttiva europea. Il massimo controllore del trattamento dei dati da parte di organizzazioni (così le imprese vengono chiamate nei documenti "safe harbor") è la FTC, la cui giurisdizione, però, si limita agli atti o pratiche sleali o ingannevoli in materia commerciale o collegata al commercio. Quindi, per quanto riguarda la raccolta di dati per fini non commerciali, oppure (e si entra nel campo delle eccezioni precisate nell’Allegato III) per pratiche sleali o ingannevoli delle banche, istituzioni finanziarie, e società di assicurazione che svolgono attività assicurative, vettori comuni di telecomunicazione e di trasporti interstatali e vettori aerei, la FTC non ha alcun potere.

Per quanto riguarda le eccezioni, è vero che esiste un complesso sistema legislativo in U.S.A. dove è possibile trovare delle disposizioni federali e statali in grado di assicurare una giusta tutela al soggetto interessato che trasferisce i propri dati nell’ambito, per esempio, di un’operazione strettamente finanziaria; è inoltre vero che per ciascuna di queste eccezioni è presente una figura istituzionale con poteri di giurisdizione; ma è altrettanto vero che è già stato un grande risultato ottenere un sistema abbastanza "garantista" per i trasferimenti "commerciali" di dati dall’UE agli U.S.A., toccherebbe adesso chiedersi quanto sono "garantisti" gli altri sistemi previsti per le trasmissioni di informazioni che non rientrano nelle competenze della FTC, e che quantità di trasferimenti di questo tipo si verificano ogni anno (penso ai rapporti bancari che esistono tra, per esempio, i Lloyd’s di Londra, e gli uffici finanziari statunitensi).

Una volta precisati i limiti di attività della FTC, è importante far notare che, comunque, la Commissione in questione non espleta i suoi poteri grazie ad una norma specifica che mira a proteggere il trattamento dei dati personali degli interessati in UE, ma grazie ad una disposizione (la Sezione n. 5 dello FTC Act) che giudica le pratiche ingannevoli o sleali delle imprese. In effetti è più che giusto il riferimento a questo tipo di repressione, le imprese infatti decidono di applicare i principi mediante una loro pubblica dichiarazione e, nel caso in cui non lo facessero, indubbiamente starebbero svolgendo una pratica ingannevole. Ma resta un dubbio di fondo: quanto potrà essere neutra la posizione di un ente nello svolgere un lavoro di protezione di soggetti non statunitensi (quindi diversi da quelli che effettivamente lo finanziano) e, per di più, in grado di poter anche eliminare un’impresa dalla lista (c.d. "safe harbor list") di quelle che hanno dichiarato di seguire i principi? Bisognerà vedere quanto la FTC sarà in grado di optare, come hanno ben fatto le società della lista, per una politica di privacy che rispetti il diritto alla riservatezza come una risorsa (mondiale) e non come un costo da soffrire (o come un "tradimento" a favore dei cittadini comunitari).

La FTC ha comunque più volte dichiarato ufficialmente che avrebbe considerato in modo prioritario le problematiche nascenti alla tutela dei consumatori e dei soggetti interessati europei. Effettivamente, però, il sistema di applicazione dei principi, così come spiegato nel principio n. 7, nelle FAQ n. 5 ed 11, non garantisce che ogni tipo di reclamo giunga in ogni caso alla FTC.

La Federal Trade Commission è infatti un organo di controllo di secondo grado che viene chiamata in causa soltanto dopo che il reclamo del consumatore comunitario è arrivato negli organismi di "risoluzione delle dispute", che vengono scelti dalle stesse imprese nella propria autocertificazione, e che hanno il compito di "conciliare" le parti affinché si possa ovviare alla violazione di privacy subita dall’interessato ad opera dell’organizzazione statunitense. Se quest’ultima non rispetta quanto deciso dagli organismi e non si ferma nella sua condotta sleale, allora sarà possibile informare la FTC che applicherà sanzioni più gravi in caso di "inosservanza persistente" dell’impresa.

Il meccanismo è leggermente diverso nel caso in cui il trasferimento dei dati abbia ad oggetto i cosiddetti "dati occupazionali", cioè tutte quelle informazioni che riguardano i dipendenti di filiali di imprese comunitarie che hanno, però, la loro sede centrale negli U.S.A.. Per questo tipo di trasmissione l’organo a cui rivolgersi in prima istanza è un comitato (chiamato "panel") composto da rappresentanti delle autorità comunitarie di controllo dei dati. In ogni autocertificazione, le imprese che ricevono dati di dipendenti (gli "human resource data") dovranno specificare che intendono cooperare con le autorità comunitarie. Queste, una volta ricevuto il reclamo, si dovranno mettere in contatto con l’impresa in questione e comportarsi nello stesso modo in cui lavorerebbe anche un organismo di risoluzione delle dispute in territorio U.S.A., notificando il caso alla FTC se l’organizzazione non intende rispettare i richiami del panel.

Si può affermare, dunque, che con il comitato delle autorità comunitarie il soggetto interessato è lievemente più protetto (quantomeno, dal punto di vista territoriale, il primo organo di controllo ha sede nell’Unione europea), è anche vero, d’altronde, che la maggior parte delle imprese che sono presenti nella lista partecipa al programma del "safe harbor" esclusivamente per ricevere dati occupazionali dalle proprie filiali comunitarie.

Diversi erano gli obiettivi che la Commissione europea si era data approvando, insieme col Governo degli Stati Uniti, il documento dell’"approdo sicuro": ottenere una maggiore trasparenza, considerare il diritto alla privacy come un diritto fondamentale, assicurare le modalità di repressione delle condotte illegittime delle imprese, trovare un’armonia legislativa, all’interno di uno stato federale, in grado di poter offrire una protezione adeguata al privato comunitario.

Il documento di revisione della Commissione europea del 13 febbraio 2002 stabilisce che tutti gli elementi del "safe harbor" sono attivi, il che vuol dire che sono stati previsti enti di risoluzione delle dispute (che, come vedremo, provvederanno anche all’adozione di proprie linee-guida sulla privacy recepite dalle imprese), sono stati pubblicati documenti via internet che rendono più semplice l’autocertificazione delle organizzazioni, e ciascuna impresa ha potuto scegliere di cooperare con le autorità comunitarie di protezione dei dati.

Se si guardano, però, le rispettive autocertificazioni delle imprese, qualche dubbio relativo alla volontà di adottare pienamente i 7 principi da parte delle imprese può sorgere.

Ciascuna delle imprese che vuole partecipare al programma "safe harbor" deve indicare, nella propria dichiarazione pubblica, oltre ai vari recapiti con cui il consumatore (ma anche gli organismi di controllo o il panel) si può mettere in contatto, la data in cui si è provveduto all’autocertificazione (che dura un anno), quali sono i paesi UE da cui si ricevono i dati, la tipologia di dati che si tratta (questo è un punto fondamentale se si considera che, nel caso di "dati occupazionali" è obbligatorio cooperare con le autorità comunitarie, specificandolo nell’autocertificazione), a quali programmi di privacy l’impresa aderisce e da che momento la politica di privacy è diventata effettiva nell’attività di trattamento delle informazioni personali da parte dell’organizzazione in questione.

Proprio rispetto a questi ultimi aspetti, c’è da notare una mancanza di trasparenza presente nelle autocertificazioni delle imprese.

In un campione di 150 autocertificazioni analizzato (più della metà), ben 55 imprese non dichiarano a quale politica di privacy aderiscono. Il fatto contiene anche una piccola contraddizione, perché alla voce "Privacy policy effective:" in tutte le dichiarazioni appare una data specifica, precisando quindi come, nonostante la non specificazione della propria politica di privacy adottata a partire da uno specifico momento (che a volte coincide proprio con la data dell’iscrizione alla lista) l’impresa rispetta comunque una politica di privacy in grado di applicare i "safe harbor principles" (farà fede la data indicata).

La maggior parte delle imprese che, invece, dichiarano il loro programma di privacy, adottano le linee-guida pubblicate dagli organismi di risoluzione delle dispute che lavorano per garantire un’adeguata tutela nel trattamento dei dati comunitari nelle modalità già viste, ma hanno anche disposto delle proprie politiche che, automaticamente, hanno un duplice fine: verso l’interessato, perché gli enti di risoluzione, se si sono organizzati per tutelarlo e per rispettare i principi di "approdo sicuro", non possono prevedere delle politiche di riservatezza individuale in contrasto con i suddetti principi (e quindi in contrasto con la 95/46); e verso l’impresa, perché questa avrebbe la certezza di applicare le giuste regole, seguendo le linee-guida adottate dagli organismi appena ricordati. Tra questi, i più importanti sono TRUSTe, BBBonline e DMA (Direct Marketing Association).

Nel caso di trattamento di dati di dipendenti di filiali in Europa, come si è più spesso ricordato, sarà obbligatorio cooperare con il panel comunitario. Delle 150 imprese studiate, ben 101 hanno deciso di sottoporsi al controllo del panel (più volte si è ricordato che l’adesione ai principi veniva fatta specialmente per ricevere questa tipologia particolare di informazioni). Di queste 101 imprese, però, 24 non ricevono "dati occupazionali", ma altri generi di dati. Verrebbe da chiedersi il motivo di questa scelta, perché se un’impresa non ha bisogno dei dati appena ricordati, perché non ha scelto un ente di risoluzione delle dispute territorialmente "interno"? Forse perché il panel è meno "penetrante" rispetto agli enti statunitensi?

Tornando poi al problema delle politiche di privacy non rese note, è possibile che i programmi di riservatezza adottati dalle imprese non siano necessariamente disposti dagli enti di risoluzione delle controversie, ma possono anche essere decisi autonomamente, basta che si rispettino i principi dell’"approdo sicuro" e che si scelga l’ente di risoluzione. Spesso, politiche di privacy "interne" vengono decise da imprese che si associano e che, svolgendo attività simili tra loro, hanno anche la necessità di trattare lo stesso tipo di informazioni e di conferire loro la stessa (ma sempre adeguata) tipologia di tutela (tipico è il caso delle imprese farmaceutiche iscritte alla lista).

Anche se esiste una politica di privacy effettiva in ogni impresa (decisa o da enti indipendenti di risoluzione o in modo autonomo), rimane dubbioso il fatto che, per 55 delle 150 imprese, si è fatta la scelta di non specificare comunque l’origine dei propri programmi di privacy. Forse per non subire un facile controllo da parte degli enti di risoluzione delle dispute?

Delle 24 imprese che non ricevono i dati di dipendenti ma che hanno scelto il panel come ente di risoluzione, sono 10 quelle che non precisano il proprio programma di privacy e in un caso (Kirk-Whitney Co. Inc.), addirittura, non viene scritto il programma di privacy adottato (che comunque è effettivo dal 12 giugno 2002), viene precisato che non si ottengono dall’Unione europea dati di "risorse umane" e, al momento di selezionare l’ente di risoluzione delle dispute, c’è scritto: "Select appropriate response"…

Da ciò non si impiega molto a pensare che il panel, in caso di reclamo da parte di un soggetto comunitario, dovrà fare più di una semplice ricerca per capire bene come l’impresa in questione tratta i dati raccolti nell’Unione europea (in tutti gli altri casi, almeno, la situazione è decisamente più trasparente), senza pensare che, delle 150 organizzazioni, solo 14 hanno scelto di operare un’attività di verifica, prevista dai documenti "safe harbor", da parte di terzi, le altre, invece, procedono con una verifica "in-house", che indubbiamente presenta minori garanzie rispetto a quella svolta da un soggetto indipendente ma che, magari, presenta costi maggiori… Ma se dovessimo finire col discutere il valore della privacy — ammesso che ne abbia — e il costo del suo rispetto, è probabile che finiremmo col criticare sia le autocertificazioni di qualche impresa che prima dichiara di aderire ai principi, e poi non lo fa in modo trasparente, sia l’attività di quelle altre imprese che scelgono di "mandare avanti le altre" e di continuare a ricevere i dati solo attraverso le eccezioni previste nell’art. 26 della direttiva, senza garantire comunque un adeguato livello di tutela all’interessato (escluse le cosiddette standard contractual clauses, ma quante organizzazioni le hanno utilizzate dal 2001?).

Da ultimo, c’è solo da ricordare che, tra le imprese analizzate, 3 non dovrebbero far parte della lista, perché la loro autocertificazione è scaduta, ma queste ancora non si sono adoperate per rinnovarla. Da ciò ne consegue che, nonostante sia scritto "not current" a lato di queste 3 organizzazioni, un consumatore poco attento potrebbe considerarle come attualmente sicure, ed essendo ancora nel periodo in cui le prime autocertificazioni spiegano la loro effettività, è possibile che una situazione analoga si abbia in futuro ma con un numero di imprese sensibilmente più elevato.

Credo che da quanto scritto finora, in special modo considerando questa piccola indagine compiuta (che richiama anche quanto scritto, in via però più generale, dalla Commissione europea nel documento del febbraio scorso), ancora ci sia abbastanza da lavorare sull’approccio alla privacy negli U.S.A. Non bisogna tanto rivendicare il fatto che nella lista siano presenti quasi 300 imprese, ma quanto ancora troppe di esse non hanno la volontà di aderire al sistema e di mettere la tutela della persona davanti a quella delle loro libere attività commerciali.