Negli Stati Uniti è stato presentato il 7 aprile scorso il cosiddetto American Privacy Rights Act (APRA), la nuova bozza di legge federale in materia di privacy.
American Privacy Rights Act 2024: la nuova proposta di legge federale in materia di privacy
La proposta mira a definire i livelli minimi federali per la protezione dei dati personali attraverso un unico strumento normativo (norma quadro federale) valido per tutti gli Stati Uniti d’America, con compiti di vigilanza specifici affidati alla Federal Trade Commission.
Allo stato infatti è in vigore un sistema frammentato, per la presenza di normative che si presentano differenti da Stato a Stato, con diversi livelli di protezione, e altresì differenze settoriali (ad esempio relative alla sanità, al credito, ecc. )
L’approccio della bozza di legge richiama per certi versi l’architettura adottata in Europa con il Regolamento 2016/679: molte sono infatti le similitudini con la normativa europea.
In questo articolo dunque descriveremo in termini generici l’architettura della proposta di legge americana, evidenziandone le similitudini e le differenze con l’approccio europeo.
La proposta di legge: a chi si applica
Nella proposta, si legge che la normativa si applicherà alle “covered entities” (sec. 2 para. 10), ossia le organizzazioni che determinano le finalità e i mezzi della raccolta, elaborazione, conservazione o trasferimento dei dati (definiti “covered data”) e:
- siano soggette alla normativa contro le pratiche commerciali anticoncorrenziali, sleali e ingannevoli (Federal Trade Comission Act), oppure
- siano un operatore comune (“common carrier”), ossia un vettore per le telecomunicazioni ai sensi del Communications Act, oppure
- siano un’organizzazione non profit (con alcune eccezioni).
Alla luce della definizione fornita, è chiara la somiglianza con la figura del “titolare del trattamento” ai sensi del GDPR.
Norme particolari e più stringenti sono poi previste per i “large data holder” (sec. 2 para. 25), concetto non previsto espressamente dal GDPR e che identifica quella categoria di titolari che, al di là di alcune eccezioni:
- abbiano avuto un reddito annuale lordo di almeno $250,000,000 nell’ultimo anno di calendario;
- trattino grandi quantità di dati personali, oppure dati sensibili (con livelli definiti dalle norme).
Non si applica, invece, espressamente:
- ad alcuni soggetti pubblici, come enti govenativi federali o statali, oppure organizzazioni che raccolgono e trattano dati per loro conto;
- organizzazioni non profit con fine principale anti-frode;
- le piccole imprese, ossia quelle che cumulativamente:
- hanno ricavi annuali lordi inferiori a $40,000,000 per i 3 anni solari precedenti,
- hanno collezionato o trattato i dati personali di meno di 200.000 persone per scopi diversi dalla fornitura di un servizio, e
- non hanno trasferito dati personali a terzi in cambio di denaro o altra remunerazione.
Quali dati sono protetti
Analogamente al GDPR, anche la normativa americana vuole proteggere i dati personali (“covered data” sec. 2 para. 9), ossia quelli che identificano o possono identificare un individuo specifico.
La normativa però considera “covered data” anche quelli che relativi ad un dispositivo, che a sua volta identifichi o permetta l’identificazione di una persona fisica.
Come il GDPR, sono poi individuate tipologie di dati che meritano un più alto livello di protezione, quali:
- le “health information”, ossia i dati relativi alla salute (sec. 2 para. 23);
- i “sensitive data”, ossia in generale dati particolarmente sensibili, come le informazioni genetiche e biometriche, la geolocalizzazione, le comunicazioni private (mail e messaggi di vario genere), foto o filmati, informazioni su sesso, razza, religione, nonché sull’attività di un soggetto online (sec. 2 para. 34).
Interessanti anche le esclusioni, alcune non previste in Europa.
Infatti, l’APRA non si applica ad esempio:
- ai dati de-identificati – concetto molto simile ai “dati anonimi” del GDPR – che il titolare del trattamento deve proteggere con misure tecniche e organizzative adeguate;
- alle informazioni relative a un dipendente, ossia dati sensibili che sono raccolti durante il rapporto di lavoro e trattati a tale fine;
- alle informazioni disponibili pubblicamente, concetto che include anche le informazioni rese disponibili dai media a larga diffusione (esclusi dati particolarmente senbili, e anche immagini intime generate dall’IA senza consenso).
Quale attività è normata
Come accade nel GDPR, sono soggette alla normativa sulla privacy alcune attività specifiche effettuate con i dati, quali la raccolta, il trattamento, la conservazione e il trasferimento.
Da segnalare sul punto che nella definizione di “raccolta” viene inclusa l’attività di “acquisto” e “noleggio” di dati personali (sec. 2 para. 3). In questa definizione risiede uno degli elementi che più differenzia l’approccio dell’APRA dal GDPR.
Infatti la normativa americana adotta un approccio anche economico e considera valutabili i dati personali anche sotto il profilo economico come beni giuridici, e come dati possibili oggetti di compravendita, e attorno a questo aspetto ruotano varie norme (definizione di “raccolta” e “trasferimento” di dati (sec. 2 para. 42), di “data broker” (sec. 2 para. 13 e sec. 12), ecc).
In Europea, al contrario, la protezione dei dati personali è tradizionalmente affrontata dal punto di vista dei diritti fondamentali della persona, e anche per questo motivo è fortemente dibattuta la possibilità di considerarli da un punto di vista economico e dunque renderli oggetto di compravendita.
In questo senso, si veda anche la recentissima opinione del EDPB sull’adozione del modello “Pay or Consent”.
Quali sono i principi che regolano la proposta
Relativamente ai principi, la proposta si avvicina molto all’impianto europeo del GDPR. Infatti, sono enunciati espressamente due principi fondamentali del trattamento:
- Principio di minimizzazione dei dati (sec. 3), ossia il dovere di trattare i dati soltanto per le finalità specifiche individuate dalla norma, e non oltre quella scelta. Sono poi previste protezioni ulteriori per particolari tipologie di dati (come quelli sensibili o genetici). A titolo di esempio, è richiesto in generale il consenso per il trasferimento di tali dati a terzi;
- Principio di trasparenza (sec. 4), che richiede che le “covered entities” rendano pubblica (facilmente leggibile e accessibile) la propria politica sulla privacy relativamente alle attività di raccolta, trattamento e trasferimento dati. Tale concetto non può non ricordare l’informativa privacy richiesta dal GDPR.
Altri elementi di interesse
L’APRA contiene poi molte altre norme.
Analogamente al GDPR, dedica una sezione ai diritti dei consumatori, in particolare quello di accesso, rettificazione, cancellazione e portabilità. Particolare attenzione merita il diritto di opt-out dal trasferimento dei propri dati e dalla pubblicità mirata (targeted marketing) (sec. 5).
Viene richiesta alle covered entities la nomina di un “privacy or data security officer” (sec. 10), figura simile al DPO del GDPR, e, per i soli “large data holders”, la conduzione di una valutazione d’impatto.
Specifiche norme sono infine previste per i fornitori di servizi, che devono attenersi alle indicazioni sul trattamento fornite dalle covered entities, e che quindi diventano figure analoghe ai responsabili del trattamento europei (sec. 11).
Conclusioni
Affinché la proposta legislativa diventi legge, il percorso è ancora lungo: il draft deve essere introdotto al Congresso, revisionato da parte delle commissioni competenti, votato da Camera e Senato e infine approvato dal Presidente degli Stati Uniti d’America
Tuttavia, è facile notare fin da subito che l’APRA è una proposta di legge ambiziosa, che adotta un approccio innovativo per il sistema americano. Pare infatti che punti a trovare un equilibrio tra la protezione dei diritti fondamentali delle persone e degli interessi economici dei soggetti coinvolti nel trattamento dei dati personali.
