Dunque, rispetto al GDPR, tutta la sfera - diciamo - “pubblicistica” e dei soggetti pubblici USA, a qualsiasi livello, non è soggetta all’applicazione dell’ADPPA, che nasce specificata- mente per fornire tutela in un’ottica consumeristica (tanto che gli interessati sono anche formalmente i “consumatori”) e solo nel contesto dei rapporti privatistico-commerciali, con il grave vulnus rappresentato dal fatto che resta fuori dal perimetro dei “ foundational data privacy rights ” il diritto a non subire interferenze nella vita privata da parte di agenzie pubbliche, come ad esempio la National Security Agency o le agenzie per la sicurezza inter- na: esattamente i casi che hanno portato al divieto di trasferimento dei dati personali dalla UE verso gli USA, con i progressivi annullamenti da parte della Corte di Giustizia UE dei vari accordi USA-UE in materia (dal Safe Harbor al Privacy Shield ). Tornando alla definizione di entità soggette all’ADPPA, merita anche ricordare che l’articolo 2(7) prevede anche la specifica definizione di “Controllo” che con riferimento a una entità indica: a. la proprietà di, o il potere di votare, più del 50% delle azioni in circolazione di qualsiasi classe di titoli con diritto di voto dell’entità; b. il controllo sull’elezione della maggioranza degli amministratori dell’entità (o di per- sone che esercitano funzioni analoghe); oppure c. il potere di esercitare un’influenza sostanziale che porti al controllo sulla gestione dell’entità. > LE ALTRE FIGURE SOGGETTIVE DEFINITE O RICHIAMATE DALL’ADPPA Accanto alle “ covered entities ” l’ADPPA [cfr. artt. 2(25) e 2(26)] definisce nello specifico il “Service Provider” (“Fornitore di servizi”) e i “Service Provider Data” (“Dati del forni- tore di servizi”). Il primo è la persona fisica o un’entità che raccoglie, tratta o trasferisce dati soggetti alla normativa in esame per conto e sotto la direzione di un’entità soggetta all’ADPPA e che riceve dati da o per conto di un’entità in base a un contratto scritto, a con- dizione che il contratto soddisfi i requisiti – che esamineremo – dell’articolo 302 ADPPA. Per “dati del fornitore di servizi” si intendono i dati raccolti o trattati da un’entità soggetta all’ADPPA o ad essa trasferiti allo scopo di consentire al fornitore di servizi di svolgere un servizio o una funzione per conto e sotto la direzione di tale entità. Inoltre, come nel GDPR, anche l’ADPPA [cfr. art. 2(31)] definisce la figura del “terzo” e cioè: a. qualsiasi persona o entità che: • raccoglie, tratta o trasferisce dati di terzi (i “dati di terzi” sono definiti all’art. 2(33) come “i dati che l’entità-titolare del trattamento ha trasferito al terzo”]; e • non è un fornitore di servizi in relazione a tali dati; e
10
Made with FlippingBook Online newsletter maker