Il panorama della sicurezza informatica e della protezione dei dati negli Stati Uniti si arricchisce di un nuovo capitolo controverso: lo studio legale Almeida Law Group, specializzato in cause collettive, ha citato in giudizio Lenovo accusando il colosso tecnologico di aver trasferito ingenti quantità di dati sensibili verso la Cina, violando il Data Security Program del Dipartimento di Giustizia americano. Il regolamento federale, entrato in vigore per proteggere i cittadini statunitensi dal rischio di sorveglianza digitale da parte di nazioni considerate ostili, vieta esplicitamente il trasferimento massivo di informazioni personali verso "paesi di interesse" o "persone coperte" dal provvedimento. L'azienda ha respinto con fermezza ogni accusa.
La causa legale, consultabile in formato PDF, identifica come attore principale Spencer Christy, residente a San Francisco, California, che rappresenta potenzialmente milioni di altri consumatori americani nella medesima situazione. Secondo la documentazione depositata, Lenovo avrebbe sfruttato la propria infrastruttura pubblicitaria automatizzata e i database associati per collegare l'attività di navigazione di Christy alla sua identità personale, tracciando comportamenti online e costruendo profili dettagliati che riflettono interessi, posizioni geografiche, abitudini e altri attributi privati. Il tutto in apparente connessione con la casa madre cinese del gruppo.
La questione assume contorni particolarmente delicati quando si considerano le implicazioni per la sicurezza nazionale. Come sottolineato nel documento legale, "il regolamento del Dipartimento di Giustizia è stato implementato per impedire a paesi avversari di acquisire grandi quantità di dati comportamentali che potrebbero essere utilizzati per sorvegliare, analizzare o sfruttare il comportamento dei cittadini americani". La causa sostiene che questi dati rappresentino molto più di una semplice invasione della privacy individuale, configurandosi invece come una minaccia diretta alla sicurezza nazionale per il loro potenziale utilizzo in operazioni di coercizione, danno reputazionale o ricatto.
Dal punto di vista normativo, la posizione di Lenovo appare particolarmente esposta. Oltre a essere basata in uno dei "paesi di interesse" identificati dalla normativa americana, l'azienda ricade sotto la categoria delle "persone coperte" che comprende individui residenti in tali paesi o controllati da entità locali, nonché organizzazioni costituite secondo le leggi di questi stati o con sede principale al loro interno. La causa evidenzia inoltre come Lenovo Group sia soggetta a diverse normative cinesi, tra cui la Legge sull'Intelligence Nazionale, la Legge sulla Sicurezza Informatica e la Legge sulla Sicurezza dei Dati, che impongono a individui e istituzioni l'obbligo di cooperare con le autorità quando richiesto per la trasmissione di dati.
Questo intreccio di giurisdizioni solleva interrogativi cruciali sulla gestione della privacy nell'ecosistema tecnologico globale. I produttori hardware con presenza internazionale si trovano spesso a navigare tra normative contrastanti: da un lato il GDPR europeo e le regolamentazioni americane sulla protezione dei dati, dall'altro gli obblighi imposti dai governi nei paesi di origine.
