Nell’economia digitale di oggi, in cui i dati sono il bene più prezioso, il luogo in cui vengono archiviati, e la legislazione a cui sono soggetti, è diventato tanto importante quanto il modo in cui vengono protetti. In un contesto di crescenti preoccupazioni legate alla sorveglianza, all’invadenza normativa e agli standard globali incoerenti, il contrasto tra le leggi statunitensi e svizzere in materia di protezione dei dati appare più netto che mai. Ecco perché la giurisdizione applicabile é oggi sempre più rilevante.

Stati Uniti: leggi frammentate e sorveglianza globale

Gli Stati Uniti non dispongono di una legge federale unica e completa che copra tutti i tipi di dati personali. Al contrario, è in vigore un mosaico di regolamentazioni settoriali, come HIPAA (per la salute), GLBA (per la finanza) e COPPA (per la privacy dei minori), insieme ai poteri di intervento conferiti alla Federal Trade Commission (FTC) dalle leggi statunitensi sulla protezione dei consumatori.

Ancora più preoccupante, per le imprese e gli individui a livello internazionale, è il Cloud Act statunitense (2018), che concede alle autorità statunitensi il potere di accedere ai dati detenuti da società americane a determinate condizioni legali, anche se tali dati sono conservati al di fuori degli Stati Uniti.

Pur essendo rivolto principalmente alla raccolta di informazioni di intelligence estera, il Foreign Intelligence Surveillance Act (FISA) consente alle agenzie di intelligence statunitensi di accedere a dati relativi a cittadini stranieri per scopi di sicurezza nazionale, senza obbligo di informare gli interessati né di offrire loro un ricorso legale. La Sezione 702 del FISA, in particolare, è stata ampiamente criticata per consentire programmi di sorveglianza di massa che operano al di fuori delle tutele offerte dalla Costituzione statunitense.

L’assenza di uno standard federale in materia di protezione dei dati, unita a potenti meccanismi di accesso governativi come il Cloud Act e il FISA, ha portato la Corte di giustizia dell’Unione Europea a invalidare accordi di trasferimento dati transatlantici come il Privacy Shield tra UE e Stati Uniti, minando ulteriormente la fiducia dei cittadini europei nei servizi basati negli USA. Tuttavia, nel 2023 è stato istituito un nuovo quadro normativo, il Data Privacy Framework (DPF), con l’obiettivo di affrontare alcune delle criticità sollevate nei confronti del suo predecessore. Va però osservato che anche il DPF è attualmente oggetto di scrutinio.

Svizzera: neutrale, indipendente e allineata al GDPR

A differenza degli Stati Uniti, la Svizzera ha codificato la protezione dei dati nella legislazione nazionale, la Legge federale sulla protezione dei dati (LPD), che è stata completamente revisionata nel 2023 per rispecchiare il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione europea.

La Svizzera applica regole severe sui trasferimenti transfrontalieri di dati, autorizzandoli solo verso paesi considerati dotati di una protezione giuridica “adeguata”. Gli Stati Uniti figurano in questo elenco di paesi sicuri, ma solo per le aziende statunitensi con certificazione DPF. Ciò rende illegale per le aziende svizzere trasferire dati personali a fornitori statunitensi privi di certificazione DPF, di altre garanzie supplementari o del consenso individuale delle persone interessate.

La protezione dei dati è supervisionata dall’Incaricato federale della protezione dei dati e della trasparenza (IFPDT), un’autorità federale indipendente autorizzata a vigilare sul rispetto delle normative sulla protezione dei dati e a intervenire in caso di violazioni. Questa indipendenza istituzionale è una delle principali ragioni per cui la Svizzera continua a essere riconosciuta per la sua affidabilità digitale e neutralità giuridica.

Perché oggi conta più che mai

Quando affidate i vostri dati a un fornitore di servizi, li sottoponete anche al sistema giuridico al quale è soggetto tale fornitore. In Svizzera, i dati personali beneficiano di diritti costituzionali in materia di privacy e della supervisione di un’autorità federale indipendente.

Per le persone e le organizzazioni attente alla riservatezza, la scelta della giurisdizione non è quindi una questione astratta, è una decisione strategica. Scegliere un fornitore cloud non soggetto al diritto statunitense è tutt’altro che un dettaglio.