Più che una norma direi che ci sono varie norme che portano a tale considerazione.
Semplificando, un sito Usa è soggetto alla legislazione in materia di privacy per gli Usa, in quanto il trattamento è realizzato negli Usa su dati di cittadini Usa.
Ovviamente, se il sito in questione si rivolge anche a soggetti stranieri (ad esempio italiani), è evidente che tratterà anche dati di cittadini italiani. Il codice per la privay, all'art. 5 precisa:
"*1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all?estero, effettuato da chiunque è **stabilito **nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all?Unione europea e i
mpiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici,
salvo che essi siano utilizzati solo ai fini di transito nel territorio dell?Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell?applicazione della disciplina sul trattamento dei dati personali*."
Questo vuol dire che se il trattamento è effettuato nell'ambito del territorio italiano, oppure da soggetti stabiliti nel territorio italiano, oppure da soggetti che impiegano strumenti situati nel territorio italiano (salvo che siano utilizzati solo a fini di transito....), il titolare del sito web dovrà adeguarsi anche alla legislazione italiana in materia.
L'analisi del trattamento effettuato dal soggetto in questione non è semplice e sicuramente non può essere oggetto di questo forum, per cui in sintesi sostenevo che il rivolgersi ad un pubblico italiano comporta l'assoggettamento del sito alla normativa privacy italiana.
Se vogliamo entrare nello specifico (con tutte le riserve del caso e precisando che comunque sto semplificando l'argomento), possiamo dire che la presenza di una filiale in Italia comporta l'applicazione della legge italiana, la presenza di server in Italia anche, e così via.
Il punto è che la prima fase del trattamento è la **raccolta dei dati **che generalmente avviene su territorio italiano. Questo è un punto squisitamente tecnico per il quale lascerei ai tecnici ulteriori considerazioni. Mi limito a dire che di recente Google Italia è stata condannata per violazioni in materia di privay in Italia proprio sulla base di considerazioni di tal fatta, pur tenendo presente che in realtà gli utenti italiani di Google non si connettono ai server di Google Italia (che non ne possiede) bensì a quelli di Google Inc che sono stanziati negli Usa, per cui in teoria Google utilizzarebbe strumenti presenti in territorio italiano solo a fini di transito verso l'estero (Usa) e, sempre in teoria, non dovrebbe soggiacere alla normativa privacy italiana ma solo a quella Usa. Ma un giudice italiano ha ritenuto diversamente è al momento conviene tener presente questo stato di cose e regolarsi di conseguenza.
Spero di essere stato chiaro e comunque invito a ritenere quanto da me scritto solo quale consiglio/parere personale e non certamente come una consulenza legale a tutti gli effetti.