L'approccio normativo di Europa, Cina e Stati Uniti alla cessione dei dati personali e alla loro monetizzazione

GDPR, PIPL e CCPA

Nell'ottobre 2020, la Cina ha presentato la Personal Information Protection Law ("PIPL"), la bozza di una normativa finalizzata alla regolamentazione delle tematiche privacy. La PIPL si propone di completare il quadro normativo già predisposto dalla Cybersecurity Law del 2016. La Cina, come peraltro le altre grandi potenze mondiali, è pienamente consapevole che "informazione è potere": essere al corrente dell'evolversi delle situazioni pone una parte non solo in grado di reagire più rapidamente ma di controllare anche il tenore delle informazioni. La PIPL si presenta come una "sorella minore" del Regolamento UE 2016/679 ("GDPR"). Emerge il dubbio se la Cina sia corsa ai ripari, dopo la sentenza Schrems II: la decisione del giudice comunitario, infatti, non preoccupa solamente per i più immediati effetti sulla circolazione di dati con gli Stati Uniti, ma per le ripercussioni sulla circolazione di dati in altri paesi "terzi". Al fine di valutare se la Cina sia un paese che presenta sufficienti garanzie di adeguatezza, si chiede essenzialmente agli operatori di svolgere un'analisi di adeguatezza che spetterebbe all'Autorità competente. L'assenza di una normativa ad hoc per la privacy, può costituire un deterrente per i trasferimenti verso la Cina; viene quindi da domandarsi se questa "corsa al GDPR mandarino" non sia più che altro volta ad allontanare il rischio di un blocco nei trasferimenti.

Il CCPA, o California Consumer Privacy Act, è un atto normativo adottato dallo Stato della California nel 2018. Similmente a quanto previsto dal GDPR, anche il CCPA trova applicazione oltre i limiti territoriali del Golden State. Tuttavia, determinare se le informazioni raccolte rientrino nel perimetro di applicazione potrebbe risultare tutt'altro che agevole per le imprese, posto che la definizione di residente richiamata dalla normativa è molto ampia e ricomprende: ogni individuo che si trova nello Stato per scopi diversi da quelli temporanei o transitori, e ogni individuo domiciliato nello Stato che si trova fuori dallo Stato per uno scopo temporaneo o transitorio. Se il CCPA rappresenta un primo tassello nel processo di avvicinamento della normativa californiana a quella di matrice europea, il quadro legislativo sulla protezione dei dati personali della California è destinato a rafforzarsi ulteriormente con l'entrata in vigore del California Privacy Rights Act of 2020 (CPRA), prevista per gennaio 2023.

Cessione e monetizzazione dei dati per il legislatore: Europa, Cina e Stati Uniti a confronto

Vi è un profilo che, in particolare, fa trasparire quali possano essere gli interessi economici dietro al trattamento di dati personali, ed è quello della loro cessione a fini di monetizzazione (i.e. la possibilità di condividere dati inerenti agli interessati, quale asset cui sia associato un valore economico). In linea di principio, la presenza di limiti allo sfruttamento di dati personali per fini economici fa sì che un mercato sia più o meno incline a valorizzare gli interessi economici dei propri operatori, anche a rischio di comprimere diritti fondamentali come quello alla privacy. Ma quanto sono inclini le normative menzionate a consentire lo sfruttamento economico dei dati personali?

Il GDPR: un approccio restrittivo

L'uso normalmente più frequente di dati personali per fini di monetizzazione è collegato alla finalità del marketing (eventualmente profilato): in tal caso è di norma necessario il consenso dell'interessato.

Detto ciò, ci si chiede se sia possibile porre in essere trattamenti di dati personali che comportano la loro monetizzazione. Fra le interpretazioni, si possono isolare due orientamenti opposti: secondo alcuni, il diritto alla protezione dei dati personali non potrebbe essere concepito come asset cedibile a fronte di una controprestazione, data la sua natura di diritto fondamentale. Secondo altri, invece, il dato ben potrebbe assumere un valore economico, ricordando peraltro che l'art. 1(3) GDPR prevede che "La libera circolazione dei dati personali nell'Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento dei dati personali". Tuttavia, non sembra che il Garante italiano sia particolarmente incline a sposare una tesi tanto liberale come pure l'EDPB, che nelle Guidelines 2/2019 ha evidenziato come "[…] personal data cannot be considered as a tradeable commodity".

Alla luce di tali considerazioni, anche volendo aderire all'approccio più restrittivo, occorre fare una distinzione. Un conto è, infatti, il caso in cui venga offerta all'interessato una controprestazione economica alla fornitura di dati personali: in tal caso, essendo quello alla privacy un diritto fondamentale, parrebbe logico aspettarsi che l'interessato sia limitato nella disponibilità dello stesso alle sole casistiche consentite dal legislatore, non potendo liberamente disporne. Un altro conto è, invece, il caso in cui il dato personale (purché immesso nel mercato lecitamente) possa assumere un valore economico e possa circolare.

La PIPL: un approccio ancora da delineare

All'art. 24, la PIPL sembra evidenziare che la cessione di dati a terze parti richieda normalmente il consenso dell'interessato. Viene da chiedersi se la cessione possa basarsi anche su altre basi giuridiche. Se da un lato, la PIPL pare molto tutelante e restrittiva in merito alla circolazione di dati; dall'altro, non è chiaro quale sia l'obiettivo cui tende. Dato che la Cina è una potenza economica, pare curioso che adotti un approccio tanto limitativo circa la circolazione dei dati personali, riducendo il margine di libertà di utilizzo di una simile risorsa economica.

Il CCPA: un meccanismo incentrato sull'opt-out

Tra gli aspetti più intricanti della normativa californiana sulla protezione dei dati vi è senz'altro quello connesso alla "vendita" di dati personali. Ma cosa si intende veramente con il termine "sale"? La definizione fornita dal CCPA include qualunque attività di "selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a consumer's personal information by the business to another business or a third party for monetary or other valuable consideration". È evidente che la portata del trattamento è molto ampia e giunge a ricomprendere la comunicazione di dati personali effettuata a fronte di qualunque tipo di "valuable consideration".

Se pensiamo al mondo del digital marketing, costituirà senz'altro una vendita di dati personali la loro condivisione finalizzata all'acquisto o alla vendita di un messaggio pubblicitario personalizzato.

L'approccio adottato dal CCPA sembra riflettere quello d'oltreoceano, tipicamente incentrato sul profitto derivante dalla tutela della proprietà privata.

Il CCPA adotta un'impostazione basata sul principio di opt-out, riconoscendo al consumatore il diritto di chiedere alle imprese di interrompere la vendita dei loro dati personali (in modo diametralmente opposto a quanto previsto dal GDPR). Al fine di consentire ai consumatori di esercitare tale diritto, in ogni caso le imprese sono tenute a rendere disponibile un "Do not sell my personal information" link. Inoltre, il CCPA circoscrive il periodo per cui l'impresa deve rispettare la scelta del consumatore a 12 mesi, decorsi i quali potrà chiedere all'interessato di fornire la propria autorizzazione alla vendita dei propri dati personali. Anche tale approccio diverge sostanzialmente dalla posizione sposata da diverse autorità di controllo europee, tra cui l'ICO e il Garante italiano, secondo le quali una comunicazione inviata all'interessato allo scopo di richiedere il consenso all'invio di comunicazioni commerciali viene solitamente considerata una comunicazione commerciale.

*a cura di Fabia Cairoli e Flavia Messina del team di TMT di Dentons

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più