Gli USA, più preoccupati di contrastare il terrorismo (accedendo a quanti più dati possibile dei sospettati) e di ascoltare le voci delle multinazionali tecnologiche, preoccupate delle conseguenze di un inasprimento della normativa privacy, hanno per molti anni lasciato da parte l’idea di una disciplina federale sul modello di quella europea, questo almeno fino a pochi giorni fa.
Il 10 marzo scorso è stata infatti presentato al Congresso un disegno di legge, denominato Information Transparency and Personal Data Control Act, una normativa tesa alla protezione dei dati personali che per alcuni aspetti richiama il GDPR nostrano e che propone una tutela rafforzata per i dati “più sensibili” dei cittadini statunitensi. L’iniziativa, promossa da una senatrice democratica, in realtà non è nuova ed era già stata presentata nella scorsa legislatura.
Se però durante la presidenza Trump era ben difficile pensare che il disegno di legge potesse essere approvato, ora la situazione è cambiata. Sono numerosi infatti gli elementi, oltre al cambio di legislatura, che portano a pensare che questa volta il disegno di legge possa evitare di arenarsi nella procedura parlamentare.
Il framework normativo in USA
In primo luogo sono numerosi gli stati USA che hanno adottato una normativa privacy. Dopo la California che ha fatto da apripista adottando la sua disciplina privacy nel 2018, il Nevada ha introdotto una (pur limitata) normativa in materia nel 2019, la Virginia ha adottato la propria legge privacy, il Consumer Data Protection Act, pochi giorni orsono, mentre lo stato di Washington tenterà per la terza volta concludere la procedura di approvazione della sua normativa sul tema proprio in questi giorni.
Oltre a ciò, va evidenziato che i precedenti tentativi (falliti) di far approvare la normativa hanno consentito ai democratici di individuarne i punti critici e più invisi ai repubblicani e così di “smussare” gli angoli più ostici prima di avanzare la nuova proposta, che infatti e ad esempio non propone più la possibilità di azione diretta da parte dei danneggiati per violazione della normativa privacy (che a detta di molti repubblicani metterebbe le grandi aziende tecnologiche di fronte a un potenziale fiume di azioni legali tese solo a monetizzare) lasciando il compito di far valere la normativa e di emanare sanzioni alla Federal Trade Commission.
Questa scelta, va segnalato, è in controtendenza rispetto a numerose altre normativa USA, che contano invece proprio sul private enforcement (che viene anche “premiato” in vari modi attraverso l’assegnazione di danni punitive in favore della vittima) per sgravare gli organi statali o federali (almeno in parte) della complessa opera di controllo.
Il caso dell’Illinois
Per fare un esempio, l’Illinois, dove è da tempo in vigore una normativa privacy focalizzata sui dati biometrici (Biometric Information Privacy Act) premia le “parti lese” che agiscono per denunciare le violazioni con il riconoscimento di danni punitivi, che vengono riconosciuti anche in assenza di un danno risarcibile. La stessa normativa è stata peraltro dichiarata legittima dalla Corte Suprema dello stato.
www.agendadigitale.eu/sicurezza/privacy/privacy-biometrica-lapproccio-usa-e-la-lezione-per-leuropa/
Le regole federali per la protezione dei dati
La normativa proposta nei giorni scorsi sarebbe la prima legge statunitense destinata alla protezione dei dati personali. Ci sono però altre normative statunitensi che incidentalmente si occupano della protezione dei dati personali in particolari circostanze, come l’Electronic Communications Privacy Act del 1986 (ECPA) che prevede sanzioni penali in caso di intercettazione di telecomunicazioni, la Health Insurance Portability and Accountability Act del 1996 (HIPAA), il Children’s Online Privacy Protection Act del 1998 (COPPA), e il Fair and Accurate Credit Transactions Act del 2003 (FACTA).
I punti in comune con il GDPR
L’Information Transparency and Personal Data Control Act interviene invece in maniera diretta e globale sulla materia della protezione dei dati personali, prescrivendo il rispetto di alcune delle norme che riecheggiano quelle del GDPR. Innanzitutto, la proposta di legge si propone di creare uno standard federale unificato superando l’attuale mosaico di normative statali spesso in conflitto fra loro.
Quanto alla disciplina, la normativa richiede che le aziende forniscano un’informativa privacy in un inglese semplice (similmente a quanto accade con il GDPR). Altro punto di contatto con il GDPR è quello per cui la normativa si propone di aumentare la trasparenza richiedendo alle aziende di rivelare se e con chi saranno condivise le informazioni personali acquisite e lo scopo della condivisione delle stesse.
Quindi la proposta dedica particolare attenzione ai cosiddetti “dati più sensibili”, che includono quelli finanziari, sanitari, genetici, biometrici, di geolocalizzazione, relativi all’orientamento sessuale e religioso, alla cittadinanza e allo stato di immigrazione, i numeri di previdenza sociale e i dati personali relativi a bambini sotto i tredici anni di età. L’elencazione è parzialmente sovrapponibile con quella di cui all’art. 9 del Regolamento n. 679/2016, anche se l’elenco dei dati appartenenti a categorie particolari nella normativa europea non include ad esempio i dati finanziari e quelli relativi alla cittadinanza e allo stato di immigrazione, mentre include i dati relativi alle opinioni politiche e all’appartenenza sindacale, che non vengono invece presi in considerazione dalla disciplina USA.
Inoltre, la normativa GDPR tratta in maniera distinta i dati dei minorenni e pone la “soglia” sotto la quale i dati devono essere trattati con particolari cautele ai sedici anni (con possibilità però per gli stati membri di abbassare tale soglia fino a 13 anni, come accade nella normativa USA). Per questa tipologia di dati è previsto un meccanismo di opt-in che impedisca alle aziende, salvo consenso esplicito o altre eccezioni, di trattarli, Viene inoltre prevista la necessità per alcuni titolari di sottoporsi ad audit ogni due anni condotto da una società terza e imparziale.
Quanto all’applicazione della normativa, la proposta di legge conferisce alla Federal Trade Commission (FTC) autorità di regolamentazione e controllo, con facoltà di imporre le sanzioni. Dall’esame della normativa si nota la mancanza di alcuni diritti invece centrali nella normativa GDPR, come quello di accesso, di rettifica e di cancellazione dei dati.
L’esempio californiano
La proposta di legge deve molto all’esempio californiano, primo stato ad adottare una normativa completa in tema privacy ed esempio particolarmente significativo perché molte delle aziende tech della Silicon Valley sono interessate da questa normativa. La California in realtà aveva già una precedente normativa in tema privacy, destinata però a disciplinare unicamente la privacy dei californiani online. Il California Online Privacy Protection Act (OPPA) risale infatti al 2003 ed è stata una delle prima leggi a dettare una disciplina specifica in questo particolare settore.
Nel 2018 invece è stato adottato il California Consumer Privacy Act, che ha previsto (come il GDPR) un periodo cuscinetto prima della sua entrata in vigore, avvenuta il primo gennaio 2020. La normativa garantisce ai consumatori una serie di diritti tra cui quello di accesso e di cancellazione dei dati, ma si applica unicamente a quelle aziende che superano alcune soglie prescritte dalla legge. Il CCPA si applica infatti a qualsiasi azienda che, alternativamente, produce un fatturato lordo annuo superiore a 25 milioni di dollari, acquista, riceve o vende informazioni personali di 50.000 o più consumatori o famiglie, oppure infine guadagna più della metà delle sue entrate annuali dalla vendita di informazioni personali dei consumatori.
Il CCPA non si applica però ad alcune tipologie di dati tra cui, in particolare, quelli sanitari che secondo la normativa sono regolati unicamente sulla base della disciplina federale HIPAA (Health Insurance Portability and Accountability Act). Nel 2020 è stata inoltre approvata una revisione della misura che estende i diritti in capo ai consumatori, che entrerà in vigore nel 2023, prevedendo in particolare il diritto di rettifica dei dati personali, il diritto di limitazione del trattamento, il diritto ad opporsi ad una decisione automatizzata, oltre a una disciplina specifica tesa a contrastare discriminazioni nel trattamento dei dati.
La normativa privacy in Virginia
Il 2 marzo 2021 è entrato in vigore il Virginia Consumer Data Protection Act. La normativa prende spunto, nei suoi contenuti, dal testo della disciplina privacy che nello stato di Washington il governo locale ha cercato di far approvare per ben tre volte negli ultimi mesi, nonché dal precedente californiano.
La normativa, come quella vigente in California, si applica solo ad alcune aziende che conducono affari in Virginia e, precisamente, a quelle che controllano o elaborano dati di almeno 100.000 consumatori in ragione d’anno oppure che controllano o elaborano dati personali di almeno 25.000 consumatori e ricavano almeno il 50% dei ricavi lordi dalla vendita di dati personali. Manca, in questo caso, una soglia minima di fatturato, invece prevista nella normativa californiana, e inoltre le soglie previste sono più elevate (praticamente raddoppiate), questo perché la normativa è frutto di una complessa trattativa fra le parti sociali coinvolte, in particolare le varie aziende tecnologiche con sede nello stato.
La normativa adottata in Virginia introduce però alcuni diritti che non sono previsti nell’omologa legge californiana (fino a quando non entrerà in vigore la sua revisione), quale ad esempio il diritto di rettifica dei dati e quello di opporsi ad una decisione automatizzata. Particolarmente estesa è poi la definizione di “dati disponibili pubblicamente” (non sottoposti alle limitazioni previste dalla normativa) che potrebbe costituire una lacuna potenzialmente molto comoda per le aziende sottoposte al CDPA.
La definizione infatti include qualsiasi informazione che un’azienda può ragionevolmente ritenere sia stata legalmente resa disponibile dal consumatore al pubblico attraverso mezzi di comunicazione distribuiti. La stessa esenzione si applica anche se la “diffusione” del dato sia stata effettuata da una terza persona, salvo il caso che il consumatore titolare delle informazioni abbia richiesto che a condivisione fosse limitata a un pubblico specifico. Significativo è anche l’elenco dei soggetti esclusi dall’applicazione della normativa, che comprende ogni autorità pubblica, così come le organizzazioni non-profit e gli istituti scolastici.
La normativa, infine, ha un ulteriore punto di contatto con il GDPR nella parte in cui prescrive la stipula di contratti con i responsabili del trattamento, contenenti le condizioni e prescrizioni che questi ultimi devono rispettare.
Prospettive future
La proposta di normativa statunitense, ove approvata, rappresenterebbe un importante passo in avanti negli Stati Uniti per la protezione dei dati personali. Sarebbe importante infatti iniziare a stabilire una connessione e una competizione normativa in tema di protezione dei dati personali sull’asse dell’Atlantico, senza lasciare il GDPR, campione nella forma, a predicare nel deserto. In questo modo le tecnologie USA nascerebbero inoltre già adeguate a un mercato globale ormai sempre più attento alla privacy, con significativi esempi in molti mercati essenziali (ad esempio quello cinese) che impongono di non trascurare questi aspetti.
Non si può però fare a meno di evidenziare come l’Information Transparency and Personal Data Control Act non sia che un primo passo in tema di disciplina sulla protezione dei dati negli Stati Uniti e che non sia un testo normativo paragonabile al GDPR per completezza e per portata. Gli USA patiscono infatti l’intensa attività di lobbying di numerosi settori economici interessati (e ormai abituati) a gestire una enorme mole di dati sensibili, che probabilmente complicherà il processo di approvazione della proposta di legge e la sua futura evoluzione. Non resta che seguire lo sviluppo di questa iniziativa augurandosi che sia un primo passo per un’armonizzazione normativa fra USA e UE n tema di dati personali.
