Nel bel mezzo del confronto a distanza fra Unione europea e Stati Uniti sulla data protection si registra un crescente interesse per questo tema anche in Oriente. Di per sé non si tratta di un fenomeno nuovo, posto che già diversi stati asiatici hanno adottato normative in materia, tuttavia l’identità dei Paesi coinvolti porta ad una maggior riflessione. India e Cina non solo rappresentano due economie in forte crescita (per giunta in un momento caratterizzato da tutt’altro segno in Occidente), non solo congiuntamente raccolgono più di un terzo della popolazione del pianeta (con i relativi dati personali), ma soprattutto costituiscono due zone geografiche in cui vengono de-localizzate in maniera crescente attività produttive e servizi, con i relativi database al seguito. Con specifico riferimento all’India, le competenze in campo informatico ivi presenti, ne fanno poi un’area molto appetibile per la realizzazione di data farm funzionali alla gestione dei servizi di cloud computing ad opera delle grandi multinazionali.
Proprio queste connotazioni di tipo economico sono però quelle che hanno ingenerato un approccio al tema dei dati personali da parte dei legislatori e dei governi di questi due Paesi che si distingue da quello dell’Unione Europea (e dei Paesi terzi che ne hanno adottato il modello) e degli Stati Uniti.
Nel Vecchio Continente la tutela dei dati personali trova infatti il suo fondamento originario nella tutela della persona, sebbene fin da subito non sia sfuggito ai legislatori il profilo economico-gestionale della circolazione delle informazioni personali, intuendo che il successo di un’economia delle informazioni si sarebbe basato anche sulla fiducia attribuita dai singoli ai titolari del trattamento in ragione delle garanzie offerte in termini di diritti di accesso e di legittimità dell’acquisizione e gestione dei dati. D’altra parte anche negli USA, dove è indubbiamente più marcata una visione del dato quale bene oggetto del mercato delle informazioni, è purtuttavia storicamente presente il legame con la sfera della persona di cui semmai si gestisce diversamente l’autodeterminazione informativa, seguendo un modello che facilita lo sfruttamento economico dei dati ad opera delle imprese. Va in proposito notato che questa impostazione, ovviamente benvista dalle lobby imprenditoriali e del marketing, basata su scelte di efficienza e di logica economica, è attualmente (almeno in parte) posta in discussione.
In maniera differente, tanto l’India quanto la Cina (pur con i dovuti distinguo) non paiono trarre la ragione delle loro recenti regolamentazioni (India) o progetti di regolamentazione (Cina) dall’interesse per la persona e la sua tutela (d’altra parte, specie nei confronti della Cina, un simile interesse parrebbe insolito alla luce delle pesanti critiche mosse ai poteri di tale Paese con riguardo alla tutela dei fondamentali diritti umani). In entrambi i casi la disciplina (presente o futura) dei dati personali è infatti solo uno strumento tecnico-legislativo per meglio definire un quadro normativo corrispondente ai desiderata degli “esportatori” di dati occidentali e rassicurare quest’ultimi circa la sicurezza ed il livello di tutela garantito alle informazioni.
Così l’India, che pure conosce il right to privacy, ha messo in campo un frettoloso intervento governativo rappresentato dall’Information Technology (Reasonable security practices and procedures and sensitive personal data or information) Rules dell’aprile 2011 (di seguito abbreviato ITR 2011), adottato sotto la spinta di chiari interessi lobbistici da parte delle imprese del settore informatico che miravano a fare dell’India e delle sue imprese un interlocutore affidabile per i partner occidentali sotto il profilo della tutela e sicurezza dei dati in relazione ai processi di outsourcing. Il movente chiaramente economico ha fatto sì che poca attenzione sia stata prestata a definire un completo e coerente quadro di garanzia per l’individuo, mentre si sia posta maggior attenzione ai profili inerenti la sicurezza e la tutela delle informazioni in un’ottica fornitore-cliente. Da qui diverse criticità e carenze della regolamentazione che non solo hanno indotto un ulteriore ancor più frettoloso chiarimento da parte del Governo, ma che soprattutto pongono molti dubbi circa l’adeguatezza (ai sensi dell’art. 25 dir. 96/46/CE) della normativa indiana e, conseguentemente, circa la capacità della stessa di agevolare i flussi transfrontalieri di dati verso tale Paese.
Queste le maggiori criticità:
- la nozione di “sensitive personal data or information” definisce un ambito differente da quello individuato dal legislatore comunitario, così sono dati sensibili le password e le “financial information”, ma non l’origine etnica o razziale, le opinioni politiche, religiose o filosofiche, l’appartenenza ad associazioni sindacali o le informazioni “freely available or accessible in public domain” o comunque raccolte in virtù di una legge;
- è richiesto il consenso scritto limitatamente al solo trattamento dati sensibili, mentre la dir. 95/46/CE ha adottato la più ampia nozione di “explicit consent”;
- è riconosciuta la possibilità di accesso ai dati ad opera dei poteri pubblici a fini investigativi, senza coinvolgimento alcuno del provider of information, sulla base di una semplice richiesta scritta “to the body corporate possessing the sensitive personal data or information stating clearly the purpose of seeking such information”;
- la comunicazione dei dati a terze parti ad opera dell’autore del trattamento situato in India potrà avvenire solamente se viene assicurato “the same level of data protection that is adhered to by the body corporate as provided for under these Rules”, con conseguente accentuazione delle differenze esistenti fra quest’ultime e le normative comunitarie e statunitensi;
- con riguardo alla sicurezza dei dati si prevede il ricorso ai processi di standardizzazione promuovendo nella sostanza l’adozione dello standard IS/ISO/IEC 27001, che dovrà risultare da certificazioni o da procedure di audit ad opera di soggetti indipendenti e qualificati, definendo così un livello di sicurezza sicuramente difforme, in quanto più elevato, da quelli comunemente adottati nelle prassi dei titolari del trattamento comunitari.
A complicare il quadro è poi intervenuta una recente nota del Department of Information Technology con cui si è precisato che le principali norme dell’ITR 2011 (concernenti le modalità di trattamento, l’informativa, il consenso dell’interessato, la sicurezza dei dati ed altri aspetti di rilievo) non troverebbero applicazione nel caso in cui l’autore del trattamento sia rappresentato da “any such body corporate providing services relating to collection, storage, dealing or handling of sensitive personal data or information under contractual obligation with any legal entity located within or outside India”. A prescindere dalla legittimità di un simile intervento interpretativo, è evidente come l’intento di dar con esso risposta alle critiche sollevate dalle multinazionali straniere raggiunga nei fatti un risultato contraddittorio: se ITR 2011 doveva essere lo strumento per fare dell’India, secondo i desiderata delle lobby imprenditoriali interessate, “a secure destination for outsourcing where privacy and protection of customer data are enshrined in the global best practices followed by the industry”, ad oggi il risultato è nuovamente un vuoto normativo proprio con riferimento ai flussi transfrontalieri correlati all’outsourcing. Non resta dunque che attendere i risultati della discussione in corso a livello parlamentare riguardante una più organica regolamentazione della materia.
In tale prospettiva le imprese stesse e le loro lobby dovrebbero però meglio valutare il rapporto costi/benefici correlati all’approvazione di una normativa di effettiva tutela dei dati personali. Come infatti emerge da valutazioni empiriche condotte sia in ambito comunitario che in singole nazioni, ritenere economicamente onerosa l’adozione di un modello simile a quello comunitario è recuperare una motivazione ormai anche empiricamente smentita. D’altro canto sovente, nella visione delle imprese, non vengono sufficientemente apprezzati i benefici delle norme in materia di data protection, sintetizzabili in un incremento dei livelli di sicurezza, in una più efficace organizzazione interna e, sopratutto, in una maggior fiducia dei consumatori. La crescente attenzione di quest’ultimi, ma anche delle imprese partner, per la tutela dei propri dati personali ha infatti indotto diversi operatori a fare della data protection un valore sfruttabile anche in chiave competitiva. Una visione più ampia ed a lungo termine non dovrebbe dunque tanto preoccuparsi degli oneri aggiuntivi in quanto tali, sollecitando un esonero dagli stessi, quando piuttosto puntare ad un’efficiente implementazione delle norme mediante un adeguato supporto istituzionale. È questo infatti ciò che spesso manca e che crea maggiori problemi. Ove vi fosse una normativa, il più possibile coordinata con i modelli esistenti a livello globale, affiancata da adeguati strumenti informativi ed organizzativi (dalle istruzioni legali ed operative disponibili direttamente on-line, alla modulistica, alle attività di consulenza ad opera degli organi di vigilanza), gli oneri per le imprese verrebbero ad essere decisamente contenuti ed i benefici indotti prevarrebbero.
Spostando lo sguardo verso la Cina, è invece ancora in fieri la Regolamentazione dei servizi informativi a mezzo di Internet presentata in draft version dal Ministry of Communications & Information Technology a fine luglio ed aperta alla pubblica consultazione sino all’11 agosto. Il provvedimento, almeno stando alla bozza, costituisce in ogni caso un intervento decisamente meno organico rispetto a quello indiano, incentrato com’è su diversi aspetti della regolamentazione delle informazioni in internet, piuttosto che sulla data protection, a cui dedica tre soli articoli. In quest’ultimi si prevede che il fornitore del servizio non possa raccogliere dati personali senza il consenso dell’interessato, considerando come personale il dato che “– da solo o combinato con altri – è in grado di fornire informazioni sull’identità dell’utente”. Viene inoltre previsto l’obbligo di rendere edotti i soggetti cui i dati si riferiscono circa l’attività di raccolta ed i fini del trattamento; le informazioni così acquisite dovranno poi essere in ogni caso trattate in conformità con i principi di pertinenza e necessità e non potranno essere comunicate a terzi senza il consenso dell’interessato.
In maniera conforme all’esigenza di far fronte ai crescenti episodi di furti di dati si prevede, seguendo un indirizzo diffuso a livello globale, che in caso di accesso illegittimo, qualora ciò comporti serie conseguenze, l’autore del trattamento dovrà immediatamente darne notizia al Ministero.
A leggere queste disposizioni, seppur ancora in bozza, pare dunque di trovarsi di fronte ad un modello che ricalca, pur in maniera molto semplificata, quelli occidentali (informativa, consenso, sicurezza dei dati). Il numero esiguo di norme delinea comunque solamente un quadro sommario e, in quanto tale, ancora lontano dalle più analitiche discipline affermatesi nell’UE o in altre nazioni che quei modelli hanno seguito. Gli stessi documenti ufficiali statunitensi che indicano le prime linee guida di una revisione delle policies in materia di trattamento dei dati affrontano i vari aspetti in maniera ben più analitica.
Il limite più grande della proposta di regolamentazione non è tuttavia questo, bensì la collocazione della stessa nel contesto politico e normativo cinese. Come si può conciliare una tutela dei dati personali, seppur di massima, vicina al modello occidentale con i forti limiti ai diritti delle persone esistenti in tale nazione, sovente inerenti proprio l’autodeterminazione informativa? La risposta è nel progetto di regolamentazione medesimo che specifica come in ogni caso “queste norme fanno salve le differenti o contrastanti disposizioni contenute in altre leggi o regolamenti”.