Analizzando i vari casi elencati dal Legislatore USA come esemplificativi di trattamenti che – ove limitati a ciò che è ragionevolmente necessario e proporzionato – rispettano i principi di minimization, se ne può desumere – in una prospettiva comparata con il GDPR – che al- cune delle ipotesi elencate sembrano richiamare o essere collegate a basi di legittimità del tratta-mento rappresentate dall’adempimento di rapporti precontrattuali, contrattuali o comunque giuridici (si vedano i casi nn. 1, 2, 3, 4, nella parte relativa alla garanzia del pro- dotto o del servizio, e 10), dall’adempimento di obblighi legali (cfr. nn. 6 e 8), dal perse- guimento del legittimo interesse del titolare del trattamento, anche a scopi si sicurezza o antifrode (cfr. nn. 4, 5). In altri casi, (cfr. nn. 7 e 9 dell’elenco) riecheggiano le condizioni di deroga al divieto di trattamenti di dati di particolare natura del GDPR, mentre la propor- zionalità è correttamente richiamata come presidio fondamentale per i trattamenti mar- keting e profilazione (quest’ultima ovviamente implicata dalla pubblicità personalizzata o targeted advertising ). Tra l’altro, sempre la section 101 prevede che la Federal Trade Commission adotterà orien- tamenti in merito a ciò che è ragionevolmente necessario e proporzionato per conformarsi ai principi qui richiamati. Tali orientamenti e line guida prenderanno in considerazione: 1. le dimensioni e la natura, la portata e la complessità delle attività svolte dal titolare del trattamento, compreso il fatto che si tratti di un Large Data Holder, di un’organizzazio- ne senza scopo di lucro, di una piccola impresa, di un fornitore di servizi o di una terza parte; 2. il carattere sensibile dei dati raccolti, trattati o trasferiti; 3. il volume dei dati raccolti, elaborati o trasferiti (riecheggia il concetto di “larga scala” del GDPR); e 4. il numero di persone e dispositivi a cui si riferiscono i dati raccolti, elaborati o trasferiti. > GLI OBBLIGHI DI LEALTÀ NEL TRATTAMENTO DEI DATI SENSIBILI La section 102 dell’ADPPA introduce i cosiddetti “obblighi di lealtà” che in realtà possono forse essere il corrispondente USA dell’articolo 9 del GDPR sul trattamento dei dati di par- ticolare natura. Anche l’ADPPA introduce come regola generale il divieto di trattamento. Derogabile in specifiche condizioni che sono in parte molto simili a quelle dell’articolo 9 del GDPR. Il Legislatore USA le chiama “Restrizione di alcune pratiche sui dati”, in base alle quali un titolare del trattamento ( covered entity ) non deve: 1. raccogliere, elaborare o trasferire il dato rappresentato dal numero di previdenza sociale di un cittadino americano (che per l’ADPPA è un “dato sensibile”), a meno che ciò non
32
Made with FlippingBook Online newsletter maker