parzialmente (entrambi sono qualificate dal potere di prendere le decisioni sulle fina- lità e sulle modalità del trattamento), in quanto nella definizione della legge americana sono esclusi – a differenza del GDPR - i soggetti pubblici, i datori di lavoro (visto che i dati dei lavoratori non sono soggetti alla legge), organizzazioni simili alle cooperative; inoltre, l’ADPPA individua anche sotto-categorie particolari di titolari del trattamento/ covered entities , come ad esempio i “ Large data holder ” i detentori di grandi quantità di dati, figura sconosciuta al GDPR; • i “contitolari del trattamento” sono previsti in entrambe le normative; • il “responsabile del trattamento” del GDPR e il “Service provider” dell’ADPPA coin- cidono perfettamente (ivi incluso l’obbligo di contrattualizzazione e di rispettare le istruzioni), anche se è evidente il carattere commerciale della definizione dell’ADP- PA: il Service Provider non è qualificato dal trattare i dati per conto di un titolare, ma dall’esistenza di un rapporto commerciale di servizi tra la covered entity e il suo forni- tore che riceve i dati “per adempiere a una funzione o a un servizio”; • le “persone autorizzate” di cui agli articoli 29 e 32.4 del GDPR non trovano un preciso riscontro nell’ADPPA; • l’“interessato” è sempre la persona fisica a cui si riferiscono i dati personali ma men- tre nel GDPR non c’è alcun vincolo (e la persona fisica i cui dati sono protetti è sem- plice-mente quella che di fatto si trova nel territorio della UE, indipendentemente da cittadinanza, residenza o domicilio), nell’ADPPA l’interessato è la sola persona fisica residente ufficialmente negli USA; • la figura del “terzo” coincide parzialmente: se il GDPR lo qualifica “in negativo” (“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone au- torizzate al trattamento dei dati personali”), l’ADPPA lo distingue solo dal “ service provi- der ” e sembra avvicinarlo ad una sorta di responsabile esterno che non è soggetto a istru- zioni o contratti nel momento in cui riceve e i dati dalla covered entity . Inoltre, la ulteriore definizione di “ third party collecting entity ” – sopra vista – è sconosciuta al GDPR. L’ADPPA definisce infine alcuni concetti di cui non troviamo la corrispondente definizio- ne nel GDPR (si pensi alle definizioni di “dato de-identificato”, - sostanzialmente il “dato anonimo” - “rischio sostanziale per la privacy”, “finalità del trattamento”, “geolocalizza- zione precisa”, “algoritmo”, “informazioni pubblicamente disponibili”, “pubblicità mira- ta” e “ricerca di mercato”), mentre, al contrario, non reca definizioni che nel GDPR hanno grande rilevanza (come ad esempio quelle di “profilazione”, “violazione dei dati personali”.
28
Made with FlippingBook Online newsletter maker