Si può concludere – in una prospettiva comparatistica con il GDPR – che il principio di privacy by design – per come concepito in USA e in Europa – presenta solo alcuni tratti in comune tra le due normative. Mentre difatti in Europa il fulcro è la incorporazione dei principi fondamentali del trattamento per come elencati all’articolo 5, che devono essere fin dalla progettazione inclusi in sistemi, mezzi o servizi di trattamento, nella prospettiva USA l’interesse è spostato più verso quelle che il GDPR menziona come “misure tecniche e organizzative”. In altri termini: vi è un rapporto più stretto tra la section 103 (che preve- de anche l’obbligo di misure di sicurezza e di formazione degli addetti) e l’articolo 24 del GDPR che non con l’articolo 25 GDPR. > IL PRINCIPIO DI LEALTÀ La section 104 dell’ADPPA introduce il cosiddetto principio di “lealtà verso le persone fisi- che in materia di fissazione dei prezzi”. Si tratta – sostanzialmente – di una “traduzione” del tutto consumeristica e commerciale (tipica della cultura statunitense) di un principio già noto – in materia di consenso – al GDPR, che prescrive (art. 7) che nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventua- lità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto. L’ADPPA va oltre e alla disposizione rubricata “Divieto di sottoporre a condizione la pre- stazione di servizi o la fissazione del prezzo” prescrive che il titolare del trattamento non può negare o condizionare oppure determinare come conseguenza un condizionamento di fatto nella fornitura di un servizio o di un prodotto imponendo a una persona fisica di accettare – per ricevere il prodotto o il servizio - di rinunciare alle tutele e ai principi di protezione previsti dall’ADDPA o da qualsiasi norma attuativa o regolamento esecutivo del medesimo. Tale divieto si applica anche all’eventuale imposizione alla persona fisica di rinunciare al suo diritto di rifiuto (come in alcuni casi di opt-out marketing previsti dall’A- DPPA) o di accettare l’interruzione nella prestazione di un servizio o il rifiuto in altro modo da parte del titolare di fornire un servizio o un prodotto alla persona in conseguenza del rifiuto di quest’ultima di rinunciare ai suoi diritti. Quindi la libertà e l’assenza di condizionamento – che nel GDPR sono specifici requisiti del consenso (ovviamente non contrattuale) dell’interessato – assurgono nell’ADPPA a valori più generali: non solo il consenso, ma tutte le tutele e i principi sul trattamento non posso- no essere negati o coartati subordinandoli alla prestazione di un servizio o di un prodotto.
37
Made with FlippingBook Online newsletter maker