Il dato personale, per la legge americana, è dunque una informazione comunque riferita alle persone fisiche residenti negli USA, essendo esclusi, come nel GDPR, i dati sulle perso- ne giuridiche, ed anche – al contrario del GDPR – altre persone fisiche non residenti. Come è noto, la definizione assai ampia di “interessato” nel GDPR è invece totalmente svincolata da requisiti giuridici come la residenza e/o il domicilio nel territorio UE o la cittadinanza, estendendosi le tutele a qualsiasi persona fisica che – di fatto – si trova nel territorio della UE e i cui dati sono oggetto di trattamento (anche da parte di Titolare con sede all’estero e privi di una presenza in UE, che a quale punto dovranno nominare un rappresentante nella UE ai sensi dell’art. 27 del GDPR). Non rientrano invece nella definizione di “ covered data ” [cfr. articolo 2.8 (B) ADPPA]: • i dati privati della loro capacità identificativa (“ de-identified data ”); • i dati dei lavoratori; • le informazioni disponibili pubblicamente; • le informazioni dedotte esclusivamente per inferenza da svariate fonti di informazio- ni pubblicamente disponibili che tuttavia non rivelino covered data sensibili relativa- mente a una persona fisica. Quanto ai dati privati della loro capacità identificativa (“ de-identified data ”), l’articolo 2.10 dell’ADPPA li definisce come le informazioni che non identificano né sono collegate o ra- gionevolmente collegabili a una persona fisica o a un suo dispositivo, indipendentemente dalla circostanza se l’informazione sia aggregata, purchè l’entità interessata e soggetta all’ADPPA (“ covered entity ”): a. prenda ragionevoli misure di tipo tecnico, amministrativo e fisico per assicurare che l’informazione non possa, in nessun modo e in nessun momento, essere utilizzata per
re-identificare una persona fisica o un dispositivo; b. si impegni pubblicamente in modo chiaro e idoneo:
• a trattare e trasferire l’informazione esclusivamente in forma di dati privati della capacità identificativa senza alcun mezzo che ragionevolmente possa implicare la re-identificazione della persona fisica o del dispositivo; e • non tenti di rendere l’informazione nuovamente identificativa associandola a una persona fisica o a un dispositivo c. obblighi contrattualmente ogni persona fisica o giuridica che riceve l’informazione a rispettare tutte le prescrizioni legali e tecniche che precedono.
14
Made with FlippingBook Online newsletter maker