La vicenda dell’attuale, e ancora in corso, querelle legale tra lo Stato della California e la lobby americana delle Internet Companies, sorta intorno al nuovo provvedimento a tutela dei minori on line, oltre l’indiscutibile interesse nel merito della vicenda e del provvedimento stesso, offre la possibilità di compiere alcune riflessioni.
La la regolamentazione delle attività online negli Usa
Negli USA la regolamentazione delle attività online è un tema di costituzionalismo e, se vogliamo, di costituzionalizzazione dei diritti tanto delle “piattaforme”, quanto degli “users”.
Negli USA il “lawmakers”, procure e agenzie (FTC[1] in primis[2]), oltre ai problemi di compliance a regole di concorrenza e protezione dati, hanno sollevato un problema di “nocività” vera e propria dell’uso di internet, particolarmente dei c.d. “social media” e specificatamente per la salute dei minori.
Ambedue questi temi sottesi alla vicenda, che si svolge secondo il “collaudato” rituale americano di sperequazione-bilanciamento tra gli interessi della “libera impresa” e quelli della “collettività”, elevando la questione dei “servizi e mercati digitali” ben oltre i confini a cui siamo soliti attenerci da “questa parte dell’Atlantico”. Ciò non dimeno, appare quasi pleonastico sottolineare come gli effetti delle decisioni assunte dalle corti americane, che potremmo definire la Giurisdizione Naturale di questi protagonisti della digital economy, definisca anche per noi quale sia “la postura” che le VLOPs[3] dovranno mantenere sul mercato, cosa potranno o non potranno fare e cosa invece dovranno o non dovranno fare ed anche come gli utenti dovranno quindi porsi verso tali servizi, prodotti o funzioni. Non solo, le diverse recenti vicende di cui fa parte anche quella in esame, in ultima analisi, definiranno i contorni delle fondamenta della società “onlife” prossima ventura[4].
Oltre a un esame delle disposizioni del provvedimento e la ricostruzione del “background” della vicenda con una sommaria ricognizione delle ragioni della controversia, esaminiamo quindi il tema del rapporto tra la regolamentazione delle rete e il primo emendamento secondo la lettura americana
La vexata quaestio: il provvedimento
Il 15 Luglio del 2022 il Governatore della California, promulga il provvedimento AB2273[5], approvato all’unanimità dalla assemblea legislativa, con il nome di The California Age-Appropriate Design Code Act- ( in breve CAADCA o semplicemente il Codice), La legge sul codice di progettazione adeguato all’età in California, introduce il titolo 1.81.47, part.4 div.3, al Codice Civile della California, con una nuova sezione nella parte relativa alla privacy dei consumatori.
In 7 molto densi “articoli” (che nella tassonomia statunitense sono “Sections”-“sezioni”), dalla §1798.99.28 alla §1798.9940[6] del Codice Civile della California, il legislatore introduce una serie di adempimenti e divieti rivolti agli operatori economici della rete con l’obiettivo espresso di garantire ai ‘bambini’ (child) «protezione non solo da prodotti e servizi online specificatamente rivolti a loro, ma da tutti i prodotti e servizi online a cui potrebbero accedere»[7], intendo, però, a cui possono essere “esposti”.
Oltre a chiarire in apertura l’obiettivo dell’intervento normativo, stabilisce anche, allo stesso articolo alle lett. a e b, che «Le aziende che sviluppano e forniscono servizi, prodotti o funzioni online a cui è probabile che i bambini accedano devono considerare il miglior interesse dei bambini durante la progettazione, lo sviluppo e la fornitura di tali servizi, prodotti o funzioni online». Pone poi un principio di salvaguardia per il quale «Se si verifica un conflitto tra gli interessi commerciali e l’interesse dei bambini, le aziende devono dare priorità alla privacy, alla sicurezza e al benessere dei bambini rispetto agli interessi commerciali.»[8].
Gli elementi dirompenti della norma
Appaiono qui, in esordio della norma, alcuni elementi dirompenti. In primis, che l’obiettivo è proteggere i “bambini” nella loro esposizione su internet tout court da “tutti i prodotti o servizi “ a cui potrebbero accedere”, anche solo in potenza. Inoltre introduce, come parametro, la tutela del “miglior interesse dei bambini”, un concetto la cui possibile estensione non mancherà di venir notato (e impugnato) dal ricorrente, come si vedrà poi. Infine, “impone” che la priorità debba essere data alla privacy, alla sicurezza e al benessere dei bambini, ogni qualvolta che nella “progettazione, lo sviluppo e la fornitura di tali servizi, prodotti o funzioni online” a cui i bambini potrebbero accedere, si ponga un conflitto tra detti interessi “superiori” e quelli commerciali.
Ai commentatori allenati al GDPR, come noi, non sfugge che tali valutazioni (che vanno ben oltre la mera ‘privacy’), debbano essere compiute dalle aziende in fase di “progettazione” e divenire per le stesse una impostazione predefinita. Ritroviamo quindi i concetti familiari di “by design /by default” dell’art. 25 del GDPR, solo che definirli con l’anteposizione dell’attributo “privacy” appare qui limitante rispetto alla reale portata. La “protezione dei dati” è, infatti, lo strumento (non il fine) attraverso il quale “by design/by default” le aziende dovranno garantire l’interesse superiore dei bambini. Ben più che un passo oltre il GDPR.
Questo, dopo il primo “articolo” che ‘battezza’ il codice, è solo il primo articolo dispositivo. La traiettoria dei seguenti 7 articoli non è da meno, tutt’altro.
Analizzarli nel dettaglio tutti in questa sede, richiederebbe uno spazio che l’economia del presente lavoro non consente, per cui si cercherà di evidenziarne gli elementi principali anche alla luce delle ragioni della controversia in corso e qui in esame.
Le definizioni
L’articolo seguente, la §1798.99.30, fornisce le definizioni dei termini a cui si riferisce il codice.
La prima, sia per esposizione ma anche per “immediatezza” dell’interesse che solleva, è la definizione di Child[9], ‘bambini’. Per il Codice, per tali si intendono “uno o più consumatori di età inferiore ai 18 anni”.
Questa definizione può apparire ai non anglofoni quantomeno “imprecisa”, ancora di più se posta poi in relazione ad altre normative di protezione dei diritti della “infanzia”, come il federale COPPA (Children’s Online Privacy Protection Act)[10], che fissano il limite di età a 13 anni, o se posto in correlazione con l’età del consenso privacy ex GDPR, in cui è 16 anni[11] o di quello digitale fissata ad anni 14[12].
Questa (apparente) imprecisione non mancherà di esser rilevata dal ricorrente (NetChoice) non senza qualche ironia[13]. In realtà il termine child /children non indica il bambino-infante, in età pre puberale. Stando al Cambridge Dictionary, il temine child, indica chiunque nell’età compresa tra la nascita e quella adulta, o più ingenerale, anche chiunque che possa essere particolarmente influenzabile da una particolare situazione o in un particolare periodo.
Rifacendosi alla Convenzione dei diritti dell’Infanzia, poi, il termine child/children va letto proprio come “bambini e adolescenti” intendendo individuo di età inferiore ai 18 anni (v. all’art.1.Convenzione)[14].
Forse, a scanso di ogni equivoco, il legislatore californiano avrebbe potuto “cavarsela” in modo più elegante, riferendosi proprio alla convenzione, che ha anche esplicitamente richiamato nei “considerando” della legge alla SEC.1. Infatti, “il miglior interesse del bambino”, del Codice, ricorda molto da vicino “ il miglior interesse del bambino” dell’art.3 della Convenzione, utilizzando la medesima espressione in ambedue i testi “ the best interesse of the child”. Inoltre, leggendo la convenzione delle Nazioni Unite e cogliendone “lo spirito”, il Codice ne potrebbe apparire anche un’attuazione dei principi, attualizzati e rivolti ai rischi della società digitale.
Chiarita quella che appare la corretta portata del termine, per maggior chiarezza di esposizione nel corso del proseguio dell’analisi ci si riferirà a “child/children” come “minore/minori”.
Proseguendo la rapida disamina dei temini ‘notevoli’ adottati dal codice, rileva quella che definisce i servizi di probabile accesso da parte dei ‘bambini’– Likely to be accessed by children[15]. Il codice intende con tale dicitura, che è ragionevole aspettarsi, sulla base dei seguenti indicatori, che il servizio, il prodotto o la funzione online siano accessibili ai minori (se):
(A) Il servizio, il prodotto o la funzionalità online sono rivolti ai minori secondo la definizione del Children’s Online Privacy Protection Act (15 U.S.C. Sec. 6501 e segg.)[16].
(B) Il servizio, il prodotto o la funzione online, sulla base di prove competenti e affidabili relative alla composizione del pubblico, è determinato che un numero significativo di minori vi accede abitualmente.
(C) Un servizio, un prodotto o una funzione online con annunci pubblicitari rivolti ai minori.
(D) Un servizio, un prodotto o una funzione online sostanzialmente simili o uguali a un servizio, un prodotto o una funzione online soggetti alla lettera (B).
(E) Un servizio, un prodotto o una funzione online che presenta elementi di design che sono noti per essere di interesse per i minori, tra cui, ma non solo, giochi, cartoni animati, musica e personaggi famosi che attraggono i minori.
(F) Una parte significativa del pubblico del servizio, prodotto o funzione online è determinata, sulla base di ricerche interne all’azienda, come costituita da minori.
Il servizio, il prodotto o la funzione online, così definite, ai sensi e per gli effetti del codice, si possono dire “probabilmente” utilizzati dai bambini. Si nota che quanto alle lettere (A), (B),(C) riguardi esclusivamente i ‘bambini’ come utenti, mentre le lettere (D), (E),(F), invece, riguardano ipotesi in cui “anche” (non solo e non esclusivamente) i minori possano essere utenti in circostanze che riguardano, in pratica, tutte le piattaforme on-line, anche se non dedicate ai “minori” e che per questo costituiscono le ipotesi più pregnanti. Ponendo un esempio, Netflix, non è specificamente rivolta ai “minori” ma indubbiamente ha elementi di design di interesse per questi (ex lett. E), ed anche, si pensi, alle tesate giornalistiche on line o di informazione, che ad esempio, hanno advertising di contenuti di interesse per minori (nell’estensione 0-18 del codice) . La maggior parte dei social, poi, risulta avere come parte significativa del pubblico proprio i minori (e in particolare, come noto, Tik Tok).
Il codice, comunque, precisa che per servizio, prodotto o funzione online non si deve intendere:
A) Un servizio di accesso a Internet a banda larga, come definito nella Sezione 3100;
B) Un servizio di telecomunicazione, come definito nella Sezione 153 del Titolo 47 del Codice degli Stati Uniti.;
C) La consegna o l’utilizzo di un prodotto fisico.
La lettera C ‘salva’ (curiosamente) le piattaforme di “shopping”, come Amazon, che invece, rimane nelle maglie per il servizio Prime Video. La lettera B, per l’ampiezza del riferimento alla Sez. 153, Tit. 47 dello USC, sembra salvi Whatsapp e in generale i servizi di “messaggistica elettronica”, nonché quelli di video conferenza”, in quanto ambedue disciplinati dal titolo richiamato alla sezione 24.
Oltre, nell’esposizione, in ragione dei motivi di impugnazione per incostituzionalità del Codice, si potrà cogliere meglio la ragione per cui il Legislatore si è “guardato” di includere i servizi di connessione a banda larga, le piattaforme di messaggistica e di video conferenza, nonché “la consegna o utilizzo fisico” di prodotti.
Quanti dati, messaggi potenzialmente ingannevoli o pericoli comunque “generici” possono essere veicolati da questi “prodotti, servizi o funzioni” on line?. È infatti indubbio, che stando alla ratio stessa del codice, dovrebbero rientrare quantomeno anche gli e-shop, le piattaforme di messaggistica e quelli di video conferenza, ma in tal modo avrebbe colpito frontalmente il “commercio” e “le telecomunicazioni”, ed il bilanciamento di contrapposti interessi, sarebbe stato un inutile pericolo da affrontare. Con l’esito, scontato, di venir censurato.
L’ultima definizione che si prende qui in esame è quello di “profilazione“, per la quale si intende qualsiasi forma di trattamento automatizzato dei dati personali che utilizza i dati personali per valutare determinati aspetti relativi a una persona fisica, tra cui l’analisi o la previsione di aspetti riguardanti il rendimento sul lavoro, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di una persona fisica[17].
Il codice, poi al molto lungo articolo seguente[18], apre alle prescrizioni a cui si deve attenere chi offre a scopo commerciale (definiti “business”) servizi, prodotti o finzioni on line probabilmente accessibili ai ‘minori’, fornendo un articolato elenco di cosa deve fare e cosa non può fare azienda che fornisce un servizio, un prodotto o una funzione online a cui possano accedere i minori.
Gli adempimenti
L’articolo appare diviso in 4 parti, (a), (b), (c) e (d), ciascuno contenente diverse disposizioni.
Gli adempimenti sono previsti nella parte (a) dal paragrafo n.1 al n. 10.(§1798.99.31, (a),(1)-(10) )
I divieti sono elencati nella parte (b) da (1) a (8). La parte (c) prevede due articoli di compatibilità e la parte (d) prevede un solo articolo indicante la data entro il quale la sezione entrerà in vigore, il 01.07.2024.
L’adempimento di maggior rilievo è (anche qui) la DPIA che è previsto debba essere completata “prima di offrire al pubblico qualsiasi servizio, prodotto o funzione on line a cui possano acceder i minori.”
La documentazione di detta DPIA dovrà essere conservata per tutto il tempo in cui il servizi, prodotto o funzioni, saranno accessibili ai minori e dovrà essere rivista con cadenza biennale (§1798.99.31., (a), (1), (A) ).
Il paragrafo seguente, dal (i) al (vii), dispone quale debba essere il contenuto oggetto della valutazione di impatto. Il documento dovrà prendere in considerazione per ciascun prodotto, servizio o funzione
- se la progettazione
- possa danneggiare i minori, anche esponendoli a contenuti dannosi o potenzialmente dannosi;
- possa portare i minori a sperimentare o a essere presi di mira da contatti dannosi o potenzialmente dannosi;
- possa consentire ai minori di essere coinvolti o sfruttati da un contatto dannoso o potenzialmente dannoso;
- possa consentire ai minori di essere coinvolti o sfruttati da un contatto dannoso o potenzialmente dannoso;
- se gli algoritmi utilizzati dal prodotto, servizio o funzionalità online possano danneggiare i minori
- se i sistemi di pubblicità mirata utilizzati possano danneggiare i minori.
- Se e come utilizzi caratteristiche di progettazione del sistema per aumentare, sostenere o estendere l’uso del prodotto, del servizio o della funzione online da parte dei bambini, tra cui la riproduzione automatica dei media, i ‘premi’ per il tempo trascorso e le notifiche.
- Se, come e per quale scopo raccolga o elabori informazioni personali sensibili dei bambini.
Ogni eventuale rischio di “danno materiale” (material deteriment) indentificato nella DPIA deve essere documentato e deve essere creato un piano tempestivo per mitigare o eliminare il rischio prima che il prodotto, servizio o funzione venga reso accessibile ai minori (§1798.99.31,(a),(2) ).
L’elenco delle DPIA svolte può essere richiesto dal Procuratore Generale, a mezzo comunicazione scritta, e deve essere esibito entro tre giorni lavorativi. La valutazione di Impatto deve invece essere resa disponile entro 5 giorni lavorativi dalla ricezione della richiesta scritta, sempre da parte del Procuratore Generale.(§1798.99.31,(a),(3)-(4) ).
Al paragrafo 5, il Codice introduce un ulteriore adempimento “incisivo”, che imporrebbe di stimare l’età degli utenti minorenni con un ragionevole livello di certezza adeguato ai rischi derivanti dalle pratiche di gestione dei dati dell’azienda, o, nel caso in cui non siano in grado di farlo, di applicare a tutti i consumatori le protezioni della privacy e dei dati previste per i minori. (§1798.99.31.,(a),(5) ). Ragionevolmente, anche solo in ragione della applicazione di un banale principio di precauzione, risultando tanto difficile quanto rischioso un giudizio prognostico in questi termini, le aziende tenderanno prevedibilmente a tutelarsi applicando a tutti i consumatori lo stesso livello di protezione idoneo a soddisfare i criteri di protezione per i minori.
Gli adempimenti proseguono poi prescrivendo che tutte le impostazioni predefinite per la privacy fornite ai bambini siano configurate con impostazioni che offrano un elevato livello di privacy, a meno che l’azienda non possa dimostrare che un’impostazione diversa è nell’interesse del minore (par.6). Questa previsione introduce come criterio quello di “elevato livello”, senza però porre la possibilità di valutazioni sul rapporto tra rischio e onerosità dell’adempimento, in applicazione dei principi di proporzionalità e del linite di impossibilità che si vede applicato nell’ordinamento comunitario[19]
Inoltre, il codice introduce in modo perentorio un principio di “Legal design” per il quale le informazioni sulla privacy, i termini di servizio, le politiche e gli standard della comunità devono essere fornite in modo conciso, evidente e utilizzando un linguaggio chiaro adatto all’età dei minori che potrebbero accedere a quel servizio, prodotto o funzione online (par.7). Appare potenzialmente di elevato interesse ma anche di difficile applicazione. Considerando infatti che per minore si intende una audience che include individui da 0 a 18 anni, quale possa essere un linguaggio e adeguato a tutte o per ciascuno delle possibili fasce di età, non né semplice né scontato.
Il Codice introduce tra gli adempimenti un’ulteriore prescrizione, al par.8, che appare particolarmente rilevante. Se il servizio, il prodotto o la funzione online consente al genitore, al tutore o a qualsiasi altro consumatore di monitorare l’attività online del minore o di tracciarne la posizione, chi gestisce detto servizio, il prodotto o la funzione online deve fornire un segnale evidente al minore quando viene monitorato o tracciato. La corretta implementazione tecnica di un tale “alert service”, ha le caratteristiche per diventare un vero incubo tecnico (e, non meno, legale, visti i potenziali conflitti normativi che sorgerebbero per poterlo implementare).
I due successivi adempimenti previsti prevedono al n.(9) che vengano applicati i termini pubblicati, le politiche e gli standard della comunità stabiliti dall’azienda, comprese, ma non solo, le politiche sulla privacy e quelle riguardanti i bambini e al (10) che debbano essere forniti strumenti evidenti, accessibili e reattivi per aiutare i bambini, o se del caso i loro genitori o tutori, a esercitare i loro diritti alla privacy e a segnalare i loro dubbi.
I divieti
Il Codice, oltre agli adempimenti visti al paragrafo precedente, introduce una serie di divieti. Prevede, infatti, che un’azienda che fornisce un servizio, un prodotto o una funzione online a cui possono accedere i bambini (nei termini visti) non debba intraprendere nessuna delle seguenti azioni:
(1) utilizzare le informazioni personali di un minore in un modo che l’azienda sa, o ha motivo di sapere, essere materialmente dannoso per la salute fisica, mentale o il benessere di un minore.
(2) Profilare un minore by default, a meno che non siano soddisfatti entrambi i seguenti criteri:
(A) L’azienda può dimostrare di aver adottato misure di tutela adeguate a proteggere i minori.
(B) È vera una delle due seguenti condizioni:
(i) la profilazione è necessaria per fornire il servizio, il prodotto o la funzione online richiesti e solo per quanto riguarda gli aspetti del servizio, del prodotto o della funzione online con cui il minore è attivamente e consapevolmente impegnato.
(ii) L’azienda può dimostrare che la profilazione è nell’interesse dei minori.
(3) Raccogliere, vendere, condividere o conservare qualsiasi informazione personale che non sia necessaria per fornire un servizio, un prodotto o una funzionalità online con cui un minore è attivamente e consapevolmente impegnato, o come descritto nei paragrafi da (1) a (4), inclusi, della sottodivisione (a) della Sezione 1798.145[20], a meno che l’azienda non sia in grado di dimostrare un motivo convincente per cui la raccolta, la vendita, la condivisione o la conservazione delle informazioni personali sia nell’interesse dei minori che potrebbero accedere al servizio, prodotto o funzionalità online.
(4) Se l’utente finale è un minore, utilizzare le informazioni personali per un motivo diverso da quello per cui sono state raccolte, a meno che l’azienda non possa dimostrare che l’uso delle informazioni personali è nell’interesse dei minori.
(5) Raccogliere, vendere o condividere informazioni precise di geolocalizzazione dei bambini per impostazione predefinita (by default), a meno che la raccolta di tali informazioni precise di geolocalizzazione non sia strettamente necessaria all’azienda per fornire il servizio, il prodotto o la funzione richiesta e solo per il tempo limitato in cui la raccolta di informazioni precise di geolocalizzazione è necessaria per fornire il servizio, il prodotto o la funzione.
(6) Raccogliere informazioni precise di geolocalizzazione di un bambino senza fornire al bambino un segnale evidente, per tutta la durata della raccolta, del fatto che si stanno raccogliendo informazioni precise di geolocalizzazione.
(7) Utilizzare dark patterns per indurre o incoraggiare i bambini a fornire informazioni personali al di là di quanto ragionevolmente previsto per fornire il servizio, il prodotto o la funzione online in questione, a rinunciare alle protezioni della privacy o a intraprendere qualsiasi azione che l’azienda sa, o ha motivo di sapere, essere materialmente dannosa per la salute fisica, mentale o il benessere del bambino.
(8) Utilizzare le informazioni personali raccolte per stimare l’età o l’intervallo di età per qualsiasi altro scopo o conservare tali informazioni personali più a lungo di quanto necessario per stimare l’età. La garanzia dell’età deve essere proporzionata ai rischi e alla pratica dei dati di un servizio, prodotto o funzione online.
Risalta che in tali divieti, si pone in carico all’entità che offre servizi, prodotto o finzioni on line accessibili ai minori, che compiano una valutazione se le operazioni compiute questi possano essere materialmente dannoso per la salute fisica, mentale o il benessere di un minore. Non solo se lo siano “per certo”, ma anche se sussiste un “sospetto” che lo siano (“se ha motivo di sapere che”). Determinare come un trattamento dati, un contenuto o, in generale, un operazione possa essere materialmente dannosa per la salute fisica e mentale appare di non facile soluzione, cosa poi integri in modo oggettivo il “benessere”, appare invece tutt’altro che chiaro.
Appare poi di interesse l’esplicito divieto relativo al trattamento di dati di geolocalizzazione del minore, che qualora fossero (dimostrandolo) strettamente necessari per “l’esecuzione del contratto” (fruizione del prodotto, servizio o funzione on line), non potrebbero essere conservati se non per il tempo di durata dell’utilizzo di detti “servizi”, cos’ come anche i dati necessari alla verifica dell’età del minore. Anche qui, come già visto in caso di tracciamento negli adempimenti, è previsto che sia fornito un alert nel caso il minore stia fornendo informazioni di geolocalizzazione. Nella sua opposizione, il Procuratore, si sofferma diverse volte sulla sottovalutazione del rischio di raccolta e conservazione dei dati di geolocalizzazione. Oltre agli (ahinoi) intuitivi esempi in cui tali dati finiscano in mano della pedo-criminalità, rileva tra i rischi anche quello che possano essere appositamente raccolti da investigazioni da parte di genitori non affidatari per sapere dove sia il minore e, sempre in ipotesi, sottrarlo alla custodia del genitore o tutore affidatario. A quanto pare, vista l’insistenza del Legislatore, un rischio non solo ipotetico.
Nei divieti vengono anche espressamente menzionati i “dark patterns”, quelle pratiche ingannevoli appositamente progettate per manipolare il comportamento degli utenti on line[21]. Nel divieto di utilizzarli per indurre a fornire dati personali “eccedenti” o per rinunciare alla privacy, il criterio della “ragionevolezza” non appare fornire un riferimento “oggettivo”. Quello che infatti può apparire ragionevole per l’azienda potrebbe non esserlo per il procuratore.
Il ‘Comitato di esperti’
Alla sezione seguente[22], è prevista la formazione di un comitato di esperti definito The California Children’s Data Protection Working Group, composto da 10 membri (lett.c), i quali dovranno essere esperti almeno in due aree tra (1) Privacy dei dati dei minori, (2) Salute fisica (3) Salute mentale e benessere (4) Informatica (5) Diritti dei bambini..
Il comitato è stato istituito il 10 Luglio del 2023, attraverso una legge firmata dal Governatore della California[23] e avrebbe dovuto produrre il suo primo report entro il 01.01.2024, ma, a causa della litispendenza in corso, la scadenza è stata rinviata al 01.07.2024.
Ai sensi del codice, tutte le ‘entità commerciali’ che a tale data hanno già on line “prodotti , servizi e funzioni” a cui possono aver accesso i minori, nei termini descritti sopra, dovranno presentare la DPIA entro e non oltre quella scadenza (§1798.99.33).
Le sanzioni previste
La sezione 1798.99.35 del Codice Civile, raccoglie il settimo articolo del codice nel quale sono disciplinate le sanzioni. Viene prescritto che chiunque violi il codice è soggetto ad una “injuction”[24] ed ad una sanzione comminata per ciascun “child affected”, che, se compiuta per “negligenza-incolpevole”, è stabilità in massino $2.500, se invece compiuta intenzionalmente può arrivare siano a $7.500.
La determinazione dell’entità della sanzione e la sua riscossione avverrà attraverso un azione civile promossa in nome del Popolo della California dal Procuratore Generale. Le somme così raccolte verranno conferite in un fondo, il Consumer Privacy Fund, che ha lo scopo di coprire i costi connessi alla adozione del Codice.
In questa previsione alcuni punti meritano una considerazione aggiuntiva. La sanzione viene comminata per qualunque minore sia stato “affetto” della violazione del codice da parte del “business” sottoposto alle prescrizioni della norma. Indipendentemente dell’aver sofferto o meno un apprezzabile danno effettivamente dimostrabile. Questa disposizione poteva aprire le porte, in caso di violazione, a una sequela di “class actions”, per le quali, una volta ritenute responsabili di non aver ottemperato al codice, i “business” ( e in particolare la piattaforme on line) si sarebbero viste vocare in giudizio da milioni di genitori ( o tutori) per gli interessi del minore. Consapevole di questo, il legislatore ha espressamente inserito una “clausola” , alla lettera (d), per la quale “ Nothing in this title shall be interpreted to serve as the basis for a private right of action under this title or any other law”, arginando così conseguenze potenzialmente devastanti.
Ciò non dimeno, anche con questa salvaguardia (come fa notare NetChoice nel ricorso), potenzialmente le sanzioni possono raggiungere valori di miliardi di dollari per ciascun “violatore”. Attualmente negli Stati Uniti ci sono infatti 73 milioni di under diciotto, di cui, anche limitando l’applicabilità al solo stato in oggetto. 9 risiedono in californi. La “matematica” è presto fatta, ed in caso di violazione il Procuratore Generale avrebbe in mano un “titolo al portatore” di almeno “20 billions dollar”. Certamente un più che ragionevole motivo di preoccupazione per il ricorrente.
Si deve inoltre considerare che per il Codice, l’unico soggetto intitolato a rilevare le violazioni e a quantificare e comminare sanzioni è proprio il Procuratore Generale. Nessun privato, né in California, né negli Sati della Unione può, in ragione del codice, avviare una qualsivoglia azione. Insomma, è un “arma carica” in mano allo Stato, per dirla con le argomentazioni deli ricorrenti. Questo non esclude che i privati cittadini possano inviare la segnalazione alla procura generale dello Stato, ma poi spetta al potere discrezionale del Procuratore decidere se e come agire. Anche questa concentrazione di potere su di un “organo monocratico” ed in particole su di un singolo soggetto politico, desta legittime preoccupazioni in capo al ricorrente.
I Regulated Business
Sino a questo punto si è volutamente utilizzata la terminologia del Codice nell’indicare i soggetti obbligati dalle disposizioni del codice, definendoli talvolta entità commerciali, talvolta business. Ai c.d. Regualted Busines si fa riferimento alla lett.a) del primo articolo dispositivo, fornendo una definizione per relato ad un’altra sezione del codice civile, la §1798.140[25]), secondo la quale per “business” si intende
(1) Una ditta individuale, una società di persone, una società a responsabilità limitata, una società di capitali, un’associazione o un’altra entità giuridica organizzata o gestita per il profitto o il vantaggio finanziario dei suoi azionisti o altri proprietari, che raccoglie informazioni personali dei consumatori o per conto della quale tali informazioni vengono raccolte e che da sola, o insieme ad altri, determina gli scopi e i mezzi del trattamento delle informazioni personali dei consumatori, che opera nello Stato della California e che soddisfa una o più delle seguenti soglie:
(A) Al 1° gennaio dell’anno solare, ha avuto entrate lorde annuali superiori a venticinque milioni di dollari ($25.000.000) nell’anno solare precedente,
(B) Da solo o in combinazione, acquista, vende o condivide annualmente le informazioni personali di 100.000 o più consumatori o famiglie.
(C) ricava il 50% o più delle sue entrate annuali dalla vendita o dalla condivisione di informazioni personali dei consumatori.
(2) Qualsiasi entità che controlla o è controllata da un’azienda, come definita al paragrafo (1), e che condivide un marchio comune con l’azienda e con cui l’azienda condivide le informazioni personali dei consumatori.
(3) Una joint venture o una partnership composta da imprese in cui ciascuna impresa detiene almeno il 40% delle quote.
Ai fini del presente titolo, la joint venture o la partnership e ciascuna impresa che la compone saranno considerate separatamente come un’unica impresa, salvo che le informazioni personali in possesso di ciascuna impresa e comunicate alla joint venture o alla partnership non saranno condivise con l’altra impresa.
(4) Una persona che opera in California, che non rientra nei paragrafi (1), (2) o (3) e che certifica volontariamente all’Agenzia per la protezione della privacy della California di essere conforme e di accettare di essere vincolata da questo titolo.
Nonostante questa non sia la sede per approfondire questi rilievi, appare opportuno comunque evidenziare che, stando alla definizione data dal Codice, ritenterebbero sotto il suo enforcement, non solo le note VLOP, ma anche la maggior parte degli influencer, content creator, streamer e gamer, anche solo in ragione del criterio di “condividere “i dati di almeno 100.000 utenti in un anno.
Si deve anche annotare che, in combinato disposto con la sezione delle sanzioni, si riferisce a-geograficamente a “child” e a società che operano in California. La violazione deve risultare compiuta, dunque, non da chi ha sede in California, ma che ‘does business’ in California (sotto inteso wherever located) e che il soggetto affected non debba essere un child resident in California, ma è sufficiente che risulti sia child affected.. Per cui si ottiene, che, se l’entità opera IN California, anche se con sede altrove, è ovviamente soggetto alle regole del codice, così come ( e, mi si permetta, peggio) se il soggetto opera DALLA California. Non precisando questi termini, potenzialmente, la procura avrebbe titolo di richiedere una ingiunzione per qualsiasi compagnia, computando la sanzione sugli utenti della “piattaforma” minori di 18 anni, indipendentemente che siano Californiani o americani.
Non è poi detto che ottenga conferma a seguito della opposizione (magari su ‘eccezione’ fondata sul cd. FISA 702[26]), ma certamente nulla osta a che la possa promuovere, stando alla lettera della norma.
Nel caso portato ad ipotetico esempio, di una ‘piattaforma’ sita in Europa (o comunque non in USA) ma i cui servizi, prodotti o funzioni, raggiungono utenti minorenni in California, sarebbe poi interessante verificare le ipotesi di collaborazione tra DPA. Se, in ragione della injusction ricevuta dal Procuratore Generale della California, sempre in ipotesi, venga attivato l’omologo del Garante per la Protezione Dati competente, la CPPA- California Privacy Protection Agency, se questi, poi, possa richiedere alla DPA del “violatore”, di sanzionarlo in ragione, sempre in ipotesi, del DATA PRIVACY FRAMWORK EU-US[27].
Il codice, infatti, è inteso dal legislatore, espressamente, come parte della legislazione di protezione dati dei consumatori, come chiaramente esplicitato all SEC.3 del Codice.[28].Come tale, quindi, gode dell’estensione di tutto l’enforcement concesso al Privacy Right Act. e del CCPA.
Crono sintesi giudiziaria
A seguito della firma del provvedimento illustrato ai paragrafi precedenti, si è avviata una intensa vicenda processuale, iniziata con il ricorso (di 40 pagine) da parte di NetChoice[29] contro lo Stato della California, presentato il 14 Dicembre 2022, volto ad ottenere un provvedimento ingiuntivo e declaratorio di “rimozione”(relief) dell’intero Codice.
Al ricorso è seguita opposizione (42pp), presentata il 12 aprile del 2023[30] che però non ha convinto il Giudice che il 18 settembre del 2023 ha concesso[31] l’ingiunzione accogliendo le doglianze del ricorrente e fornendo in 45 pagine motivazione della sua decisione.
Il 13 Dicembre 2023, il procuratore generale ha presentato in 63 pagine (esclusi allegati) appello contro l’ordine di accoglimento della ingiunzione la cui udienza di discussione è fissata al 28 Marzo del 2024[32].
Si è voluto dar conto delle pagine di ciascun atto, non per “artimomania”[33] ma per sottolineare che nelle 190 pagine complessive, che andrebbero commentate una ad una, atto per atto, si sono sposte argomentazioni e controargomentazioni, tutt’altro che banali e “frivole” ma di altissimo interesse e spessore. A queste poi devono aggiungersi le oltre 1000 pagine delle dichiarazioni raccolte da parte degli esperti chiamati da entrambe le parte in ben sette “set” di c.d. amicus brief[34], ovvero di udienze di “amici della curia”(esperti chiamati a deporre). E l’appello non è ancora cominciato.
NetChoice ha chiesto un’ingiunzione preliminare sulla base delle sue affermazioni secondo cui il CAADCA viola il Primo Emendamento e la dormant Commerce Clause (Clausola del Commercio dormiente) della Costituzione degli Stati Uniti, ed è pretermesso sia dal Children’s Online Privacy Protection Act (“COPPA”), 15 U.S.C. §§ 6501-6506, che dalla Sezione 230 del Communications Decency Act, 47 U.S.C. § 230.
Lo Stato si è opposto alla mozione, sostenendo che il CAADCA regolamenta una condotta – la raccolta e l’uso di informazioni personali dei minori – che non implica il Primo Emendamento. Lo Stato sostiene inoltre che il CAADCA non viola la Clausola del Commercio dormiente e non è pretermesso né dal COPPA né dalla Sezione 230.
La Corte ha ritenuto che, sebbene lo scopo dichiarato della legge – proteggere i bambini quando sono online – sia chiaramente importante, NetChoice ha dimostrato che è probabile che abbia successo nel merito della sua argomentazione secondo cui le disposizioni del CAADCA volte a raggiungere tale scopo non superano il vaglio costituzionale.
In particolare, la Corte ha ritenuto che il CAADCA violi probabilmente il Primo Emendamento.
La richiesta di ingiunzione preliminare è stata accolta su questa base.
Un’analisi sommaria delle argomentazioni
I tribunali americani prendono in considerazione quattro fattori per decidere se concedere un’ingiunzione preliminare per incostituzionalità, noti anche come i “Winter.s Factors” o come il “Test di Winter” (dal caso in cui sono stati elaborati[35]): 1)la probabilità di successo del ricorrente nel merito; 2) la probabilità di subire un danno irreparabile in assenza di un provvedimento preliminare; 3) se la bilancia delle equità (balance of equities)[36] pende a suo favore; 4) se un’ingiunzione è nell’interesse pubblico”[37].
Secondo la Corte, NetChoice ha “dimostrato con forza” la probabilità di successo e gli altri fattori Winter.
Il ricordo di NetChoice presentava sei “claims”, sei motivi di doglianza diremmo ‘noi’:
1. Violazione del primo e del quattordicesimo emendamento della costituzione degli stati uniti, ai sensi del 42 u.s.c. § 1983, e dell’articolo i, sezione 2(a) della costituzione della California
2. Violazione del quarto emendamento della costituzione degli stati uniti, ai sensi del 42 u.s.c. § 1983
3. Nullità per vaghezza ai sensi del primo emendamento e della clausola del giusto processo della costituzione degli stati uniti, ai sensi del 42 u.s.c. § 1983, e dell’articolo i, sezione 7(a) della costituzione della California
4. Violazione della clausola del commercio della costituzione degli stati uniti, ai sensi del 42 u.s.c. § 1983
5. Prelazione della sezione 230, 47 u.s.c. § 230
Va da sé che meriterebbero tutti un doveroso approfondimento e commento separato, ma in questa sede quello che desta, se non il maggior interesse, la maggiore curiosità per un giurista contintale, è il primo.
La violazione del primo emendamento, che garantisce la ben nota ( e celebrata) libertà di espressione, connessa ad un provvedimento di regolamentazione, non della “espressione” ma delle modalità di gestione dei dati dei minori da parte degli operatori della digital economy, non piò non destare interesse
Il Primo Emendamento generalmente impedisce al governo di proibire il discorso, o persino la condotta espressiva a causa della disapprovazione delle idee espresse[38]. Una legge che obbliga a parlare (il c.d compel speech) non è meno soggetta al controllo del Primo Emendamento di una legge che proibisce di parlare[39] (chill speech).
La questione principale, quello che viene definito il threshold, in un’analisi sulla libertà di parola è se la legge contestata consenta di invocare il Primo Emendamento[40]. Il solo fumus, rende legittimo l’applicazione del sindacato.
“Tutti i tipi di discorso – da “immagini, film, dipinti, disegni e incisioni” a “enunciazioni orali e parole stampate” – possono essere protetti dal Primo Emendamento; ciò non può non valere anche per “i discorsi … trasmessi su Internet”[41].
In altre parole, le protezioni del Primo Emendamento si applicano non solo ai discorsi scritti o verbali, ma a qualsiasi condotta espressiva[42], includendo nelle valutazioni anche ciò che non direttamente avrebbe come effetto quello di impedire la libera espressione.
La norma costituzionale americana, infatti, non copre solo l’espressione in quanto tale, ma , a seconda della linea interpretativa, la sua copertura si estende anche a tutto ciò che in un qualche modo può limitare o forzare la libertà di espressione ( chill or compel the speech).
Per chiarire, il caso di scuola (oggi certamente reso obsoleto dalle tecnologie) è quello dalla “ink and paper tax”. Se le aziende che producono l’inchiostro o la carta fossero colpite da provvedimenti fiscali “mirati”, in grado di creare, ad esempio, un significativo aumento dei prezzi del prodotto o una altrettanto significativa riduzione della produzione, questo si ripercuoterebbe su editori di libri, riviste e quotidiani e vedrebbe la “stampa colpita da un trattamento speciale” e, quindi, influenzerebbe l’esercizio della libertà di espressione. Per tanto, una “ink and paper tax” risulterebbe incostituzionale al vaglio del Primo Emendamento, mentre l’applicazione di un’imposta generale sulle vendite ai giornali no[43]
Una normativa che limita una condotta priva di un “elemento espressivo significativo” non è soggetta ad alcun livello di scrutinio del Primo Emendamento[44]. Infatti, “Il Primo Emendamento non impedisce che restrizioni dirette al commercio o alla condotta impongano oneri incidentali sulla parola”[45].
Pur senza potersi inoltrare eccessivamente nel dibattito dottrinario sul tema, è sul filo di queste argomentazioni che si gioca la partita tra NetChoice e lo Stato della California, in relazione alla declaratoria di incostituzionale del Codice, che, come stato detto, è la ragione principale per cui il Giudice ha concesso l’ingiunzione, non valutando nemmeno la sussistenza degli altri 3 claims.
La questione costituzionale si radica, però, su un contenuto sostanziale di estremo rilievo, la tutela della salute dei minori (oltre che della loro sicurezza).
In opposizione alla mozione della querelante, il Procuratore Generale ha presentato le dichiarazioni di due esperti e di un commissario del Regno Unito.
Jenny S. Radesky, M.D., professoressa di pediatria e direttore della divisione di pediatria comportamentale dell’Università del Michigan e dell’ospedale pediatrico C.D. Mott, che si occupa da quindici anni di ricerca sullo sviluppo socio-emotivo dei bambini e sui media digitali.. Il medico ha spiegato come i minori interagiscono con la tecnologia; come le aziende sono incentivate a monetizzare le esperienze digitali dei bambini; perché i minori siano particolarmente vulnerabili negli spazi online; come le piattaforme online progettate per gli adulti comportino rischi per i minori a causa, tra l’altro, di un design manipolativo, di contatti senza “filtri”, di pubblicità mirata, di un’applicazione algoritmica di contenuti estremi e della mancanza di applicazione delle politiche; e come la Legge affronti i rischi associati a questi fattori.
Serge Egelman, Ph.D., direttore di ricerca presso l’Usable Security and Privacy Group e ricercatore presso il Dipartimento di Ingegneria Elettrica e Scienze Informatiche della UC Berkeley, si occupa di ricerca sulla privacy online da quasi vent’anni. Ha spiegato come le piattaforme online siano progettate per rendere difficile il controllo dei propri dati da parte dei consumatori, come le violazioni della privacy dei minori persistano nonostante le leggi federali e come la legge operi per aumentare la protezione della privacy dei minori..
Emily Keaney, vice-commissario per le politiche normative dell’Information Commissioner’s Office del Regno Unito, ha spiegato le ragioni per cui il Regno Unito ha adottato il suo analogo Codice per i minori, le modalità di attuazione pratica del Codice e l’impatto positivo che l’attuazione ha avuto nel Regno Unito.
Inoltre, il Procuratore Generale, nella sua opposizione, ha rilevato che il codice prevede che “Una DPIA condotta per la conformità a qualsiasi altra legge simile”, come il Codice dei minori del Regno Unito[46], “sarà considerata conforme a questa disposizione della Legge. §1798.99.31(c)(1)”. Sebbene non sia stato riconosciuto nelle osservazioni del querelante, molti dei membri del querelante operano nel Regno Unito e presumibilmente hanno completato le DPIA del Codice dell’infanzia del Regno Unito che sarebbe sufficiente per adempiere anche ai loro obblighi ai sensi della legge della California.. Riportando che i membri di Net Choice, come Google, Meta, Snap, TikTok e Twitter (ora noto come X), hanno tutti annunciato cambiamenti in conformità con il Codice dei minori britannico, contro il quale non hanno sollevato “mozioni di rigetto”..
La vicenda è tutt’altro che conclusa, come detto, l’appello si discuterà in prima udienza a fine Marzo 2024 e ci sarà da aspettarsi che Net Choice presenti a sua volta un’opposizione all’appello (se avrà argomenti devolutivi da proporre). Una vicenda che merita certamente di essere seguita da vicino.
Possibili esiti del braccio di ferro tra VLOPs e ordinamento giuridico Usa
Arrivando alle conclusioni di questa prima analisi della complessa vicenda, risulta difficile già per un commentatore americano fare una previsione dell’esito dello scrutinio di costituzionalità nel merito, legato ad non solo a valutazioni prettamente di logica giuridica. Per un commentatore “europeo”, sarebbe non molto diverso da “tirare i dadi”.
Facendo uno sforzo prognostico, oltre “Il merito”, è certo che la questione non si esaurirà nel giudizio di appello della Corte Distrettuale del “Nono Circuito” della California, ma indipendentemente da chi ne uscirà vincitore o soccombente, percorrerà tutti i gradini che conducono alla ‘ venerabile’ SCOTUS, la Corte Suprema degli Stati Uniti. Alla quale spetterà non già solo decidere se il Codice potrà entrare in vigore o dovrà essere “gettato via” (throw out), ma stabilire un principio di applicazione del primo (e del quarto) emendamento nella regolamentazione delle piattaforme di contenuti on line e dei palyers che le “animano”, influencer, content creator, e gamer inclusi (purché abbiamo almeno 100,000 interazioni univoche all’anno con utenti registrati…ovvio).
Mentre da questa parte dell’Atlantico, siamo estremamente concentrati sulle vicende europee (e per buone ragioni vista la combinazione tra la produzione normativa della UE, l’attività del EDPB, le decisioni della CJEU e delle DPAs) nella “culla” delle VLOPs si sta assistendo ad un braccio di ferro tra queste e l’ordinamento giuridico.
Sarebbe forse meglio, anche se rischioso, definirlo per quello che è: “uno scontro tra ordinamenti”. Da un lato gli ordinamenti pubblici (e democratici) rappresentati dalle Procure Generali di Stati e Governo Federale statunitense, dall’altra, invece, quello che sempre di più assume i contorni di un “meta-ordinamento” rappresentano dalle Piattaforme e dagli “enti esponenziali” in cui aggregano i lori interessi (come ad es. NetChoice).
Come forse è noto, negli Stati Uniti la California ha assunto un ruolo di “Leading State” nella protezione dei dati personali, dotandosi di un arsenale normativo particolarmente incisivo (in particolare il California Privacy Right Act -CPRA -del 2020, il nuovo Californian Consumer Privacy Act – CCPA del 2023, che è stato addirittura salutato come ‘l’alba di una nuova era della data privacy negli Stati Uniti).’
Dopo la promulgazione del CCPA 2023, altri 12 stati (Florida, Virginia, Colorado, Connecticut, Delaware, Iowa, Indiana, Montana, Oregon, Texas, Tennessee, and Utah) hanno implementato o approvato una loro legge sulla privacy dei dati. Diversi altri Stati, hanno ad oggi proposte di legge attive, tra cui Massachusetts, New Jersey, North Carolina e Pennsylvania, decisamente più vicine al “nostro” GDPR che alla “loro” tradizione giuridica. A questo deve aggiungersi il citato provvedimento federale noto come COPPA. È evidente che nella “Terra dei Liberi” sia in pieno corso una fase di riassetto di equilibri normativi costituzionali con al centro la protezione dati personali, la privacy, i diritti dei consumatori e quelli delle imprese.
In California hanno poi sede Alphabet (prima Google), Meta(già Facebook) , X (giàTwitter). Già solo queste renderebbero lo stato americano il “social media land” per eccellenza. Se non fosse poi sufficiente per cogliere l’importanza delle azioni intraprese dal Golden state, si consideri che vi hanno sede anche PayPal, Netflix, Dropbox. Adobe, eBay, Airbnb, Pinterest, Docusign, Craigslist, nonché diverse software house and produttori di giochi, tra cui la ultra nota Electronic Arts, quella di EA sports, EA games, ecc. il cui netowrk conta (a marzo 2023)700 milioni di giocatori registrati[47] dei quali 13 milioni paganti[48]
Vale la pena qui sollevare un rapido inciso sulla considerazione che alcuni giochi che oramai sono di natura collaborativa, hanno un numero tale di utenti che interagiscano, utilizzando sia chat interne al gioco stesso e sia esportando le loro interinazioni in altre piattaforme, da costituire a loro volta i connotati di Piattaforme On line, e di piattaforme “Very Large”, ma che ad oggi non compaiono nel novero di queste[49].
Non si può evitare di domandarsi, quanti “nostri dati” finiscono quindi, di fatto, in California e quanti di questi dati, riguardano minori europei, che per il “Trans-Atlantic Data Privacy Framework” possono si legittimamente esservi trasferiti (anche se occorrerebbe ii consenso espresso del genitore/tutore a tale trasferimento) ma che per il FISA 702, legittimamente, le entità US possono anche non fornire a un soggetto non US una “reasonable privacy protection”.
NetChoice LLC (NC) è un’organizzazione not-for-profit , che ha come membri 35 VLOPs, e che si prefigge di “make the Internet safe for free enterprise and free expression”, rendere internet sicuro per la libertà di impresa e di espressione. Nella piena tradizione del capitalismo americano, il mercato deve essere lasciato di auto-regolarsi, e per NC il consumatori sanno quale sia il meglio in termini di prodotti e servizi di cui necessitano, internet ha prosperato grazie ad una regolamentazione “light-touch” (quindi il Governo va limitato) la “proliferazione” di servizi e imprese deve essere tutelato in quanto garantisce e, come in questo caso, ogni intervento regolamentare che pone direttamente indirettamente limitazioni a questi principi deve essere oggetto di impugnazione.
Primo emendamento e regolamentazione della rete
Chiaramente non includendo tra le finalità, quella di rendere sicura internet per i consumatori, ed in particolare per i minori. E qui sta il vulnus.
La norma, le cui disposizioni ‘potrebbero’ diventare effettive dal 1° luglio 2024, come visto, introduce una serie di adempimenti e divieti allo scopo di proteggere i minori dai pericoli di internet.
L’ambito di applicazione del Primo emendamento, che rischia di essere “la nuclear option”[50] per disattivare la regolamentazione della rete, è al centro di un dibattito di grande rilievo che perdura da almeno 60 anni la cui alterne vicende hanno conseguenze che non si sono limitate alle sola querelle domestiche.
Il dibattito è quello che viene definito da alcuni “First Amendment Expansionism[51]” o” Imperialism” e da altri, decisamente più critici, “First Amendement Opportunism[52]”. Come visto, la prescrizione citata, protegge la c.d. “lberta di espressione”, ma con una portata decisamente “differente” da quella immaginabile, ad esempio, per il nostro “omologo” art.21 della Cost.ne.
Quello dell’espansionismo del primo emendamento è un tema estremamente interessante, soprattutto per noi commentatori “continentali”, la cui vera e propria dottrina non solo ha prodotto risultati notevoli, ma che è tornata in auge con decisione (e decisioni) negli ultimi tempi.
È, in effetti, l’argomento principe adottato dalla “industria” per opporsi a tentativi di regolamentazione ritenuti “troppo pregnanti” da perte sia del Governo Statale che da quello Federale.
La (giustificata) “venerazione” che di questo principio insiste nella cultura giuridica americana, a tutti i livelli, lo rende uno strumento estremamente efficace per il “favor” che un ricorso per una paventata violazione riceve da ogni corte. In passato è stata adottata per questo fine dalla industria petrolifera, del tabacco, dalle cd. Big Pharma ed oggi dalle Big Tech.
Qualche commentatore lo ha definito lo strumento di “evasione dalla regolamentazione” o il dispositivo di deregolamentazione” adottato dalla impresa per “anteporre gli interessi finanziari a quelli “pubblici”.
Oltre la vicenda sul primo emendamene, la cui soluzione costruirà una presa di posizione che sarà in ultimo certamente oggetto di attenzione della corte suprema degli Stati Uniti, che vada in un senso o nell’altro.Come è stato nel passato per analoghe pronunce per l’industria petrolifera, del tabacco, farmaceutica e delle telecomunicazioni.
Qui, però, la questione appare di estrema delicatezza per le possibili ripercussioni distorsive che ne potrebbero scaturire, in potenza capaci , come ammonisce un’autorevole commentatore, di “invalidare all’origine qualsiasi tentativo di regolamentazione di internet (e dei suoi attori)”. Se in fatti, passasse che i “dati” sono “speech”… e per tanto “sacralmente protetti” in quanto forma di espressione, le piattaforme diverrebbero intoccabili, solo suscettibili, in base alla loro discrezionale sensibilità, di decidere se aderire o meno alle istanze più etiche che giuridiche che gli stakeholder potrebbero sottoporli.
Inoltre, non potendo mancare la “buzz word” del momento (AI) in un commento che voglia dirsi attuale, se la protezione del primo emendamento venisse concessa alle entità non fisiche come le aziende e alle attività connesse dalla raccolta, condivisone, trasferimento, conservazione dei dati… sarebbe difficile non concedere ad esempio la stessa tutela ad un LLM nella usa libera espressione di “allucinazioni” potenzialmente anche diffamatorie o lesive della concorrenza.
Conclusioni
L’appello si discuterà nella primavera del 2024, indipendentemente da chi vedrà accolte le sue tesi, c’è da scommettersi che ne verrà interessata la Corte Suprema, vuoi per ricorso del procuratore Bonta vuoi per il legale di Netchoice. La corte suprema che attualmente vede 3 giudici nominati da W. Bush, 3 da Obama, 2 da Trump e 1 da Biden., tendenzialmente con un 4 a 5 tra conservatori e democratici. Il provvedimento californiano, colpirebbe sia roccaforti “dem”, come il NYT o WP, quanto interessi delle corporation vicine ai “cons” (come X o FOX), ancorché raccolga formalmente l’appoggio bipartisan degli uni e degli altri.
La decisione che ne scaturirà sarà molto importante e c’è da immaginarsi non semplice da prendere, in grado di aprire una “primavera” nel c.d. costituzionalismo digitale, o di condannarlo ad un inverno la cui durata (e rigore) saranno molto incerti.
Note
[1] https://www.ftc.gov/
[2] https://www.skadden.com/insights/publications/2023/12/2024-insights/enforcement-and-litigation/ftc-enforcement-trends.
[3] Le Very Large Online Platform, come designate anche dal Digital Service Act, a cui si aggiungono le VLOSEs, le Very Large Online Search Engine (i motori di ricerca), individuate tra gli operatori che raggiungono almeno i 45 milioni di utenti attivi mensili. V. https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2413
[4] Ci si riferisce alla “new wave litigation” in corso negli Stati Uniti, che vede le “piattaforme”, e in particolare Meta, soggetti a un “fuoco incrociato” di ricorsi giudiziari. La più nota è il “joint complaint” di 33 stati che hanno citato Meta perché le sue piattaforme sociale (Instagram e Facebook) sarebbero progettate per essere dannose per “la salute mentale” dei minori, per “ingannare il mercato”, “fornire una falsa rappresentazione” della realtà dei prodotti, servizi e compagnia e per violare il COPPA( rif. Case 4:23-cv-05448 del 24 ottobre 2023). Ricorso a cui si sono poi aggiunti, separatamente, altri 9 stati, portando a 42 (su 50) gli Stati ricorrenti.
[5] https://leginfo.legislature.ca.gov/faces/billCompareClient.xhtml?bill_id=202120220AB2273&showamends=false
[6] Alcune numerazioni sono state omesse nella versione promulgata, segnatamente la .34 e quelle dalla 36 alla .39 inclusa.
[7] 1798.99.29. The Legislature declares that children should be afforded protections not only by online products and services specifically directed at them but by all online products and services they are likely to acces
[8] Una disposizione “generale” che non può non ricordare il “balacing test” per la valutazione del legittimo interesse del titolare nel “nostro” GDPR. Quello proposto, appare fornire un criterio imperativo per il quel, quello commerciale, non può mai costituire un valido fondamento per essere posto a “legittimo interesse” per il titolare del trattamento dati, se l’interessato è un minore di 18 anni.
[9] §1798.99.30, (b), (1) del ‘Codice’.
[10] https://www.ftc.gov/legal-library/browse/rules/childrens-online-privacy-protection-rule-coppa
[11] Art. 8, par. 1 GDPR: (…) Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni.(…).
[12] L’art. 2-quinquies del novellato Codice Privacy ed introdotto dal D.Lgs. 101/2018
[13] Nel ricorso, infatti, si legge, che quelli che il governatore definisce “child”, sono individui che guidano, a pochi giorni da poter servire in una giuria, a poter vendere e comprare immobili e sposarsi senza il consenso dei genitori.
[14] https://www.ohchr.org/en/instruments-mechanisms/instruments/convention-rights-child
[15] §1798.99.30,(b),(4).
[16] Il COPPA si applica alle informazioni personali raccolte online sia da operatori di siti web che di servizi online. Il Termine “servizi on line”, per la disposizione, compre in senso ampio qualsiasi servizio disponibile attraverso internet, o che si connette a internet o ad una ‘rete geografica’ (wide-area network). Nella norma, a titolo di esempi, sono indicati i servizi che consentono agli utenti di giocare gioco on line, impegnarsi in attività di social networking, acquistare beni o servizi on line (invece esclusi dal Codice), ricevere pubblicità on line o interagire con altri contenuti o servizi online. Sotto la regolamentazione del COPPA ricadono poi anche le applicazioni mobili (le app dei telefoni) che si connettono a internet (praticamente tutte), i giocattoli connessi, gli altoparlanti intelligenti (leggi Alexa & Co.), gli assistenti vocali, i sevizi di protocollo VoIP e quelli internet-enabled-location-based. Per sito Web o servizio online rivolto ai bambini si intende un sito Web commerciale o un servizio online, o parte di esso, rivolto ai bambini. (1) Per determinare se un sito Web o un servizio online, o una parte di esso, è rivolto ai bambini, la Commissione prenderà in considerazione l’argomento, il contenuto visivo, l’uso di personaggi animati o di attività e incentivi orientati ai bambini, la musica o altri contenuti audio, l’età dei modelli, la presenza di celebrità infantili o di celebrità che attraggono i bambini, il linguaggio o altre caratteristiche del sito Web o del servizio online, nonché se la pubblicità che promuove o appare sul sito Web o sul servizio online è rivolta ai bambini. La Commissione prenderà in considerazione anche prove empiriche competenti e affidabili relative alla composizione del pubblico e prove relative al pubblico cui è destinato. (2) Un sito Web o un servizio online è considerato diretto ai minori quando è effettivamente a conoscenza del fatto che sta raccogliendo informazioni personali direttamente dagli utenti di un altro sito Web o servizio online diretto ai minori. (3) Un sito Web o un servizio online diretto ai bambini secondo i criteri di cui al paragrafo (1) della presente definizione, ma che non si rivolge ai bambini come pubblico primario, non sarà considerato diretto ai bambini se:
(i) non raccoglie informazioni personali da nessun visitatore prima di raccogliere informazioni sull’età; e (ii) impedisce la raccolta, l’uso o la divulgazione di informazioni personali da parte di visitatori che si identificano come minori di 13 anni senza aver prima ottemperato alle disposizioni di avviso e di consenso dei genitori di questa parte.
(4) Un sito Web o un servizio online non sarà considerato diretto ai bambini per il solo fatto che rimanda o si collega a un sito Web commerciale o a un servizio online diretto ai bambini utilizzando strumenti di localizzazione delle informazioni, compresi directory, indici, riferimenti, puntatori o collegamenti ipertestuali. Inoltre, ai sensi del COPPA, per informazioni personali si intendono le informazioni di identificazione individuale di una persona raccolte online, tra cui: (1) Nome e cognome; (2) l’indirizzo di casa o altro indirizzo fisico, compreso il nome della strada e il nome di una città o paese; (3) informazioni di contatto online come definite in questa sezione; (4) uno schermo o un nome utente che funzioni come le informazioni di contatto online, come definito in questa sezione; (5) Un numero di telefono; (6) un numero di previdenza sociale (7) un identificatore persistente che possa essere utilizzato per riconoscere un utente nel tempo e tra diversi siti Web o servizi online. Tale identificativo persistente comprende, a titolo esemplificativo, un numero di cliente contenuto in un cookie, un indirizzo IP (Internet Protocol), un numero di serie di un processore o di un dispositivo o un identificativo unico di un dispositivo; (8) Una fotografia, un video o un file audio se tale file contiene l’immagine o la voce di un bambino; (9) informazioni di geolocalizzazione sufficienti a identificare il nome della strada e il nome di una città o paese; o (10) informazioni relative al bambino o ai suoi genitori che l’operatore raccoglie online dal bambino e combina con un identificatore descritto in questa definizione. (https://www.ecfr.gov/current/title-16/chapter-I/subchapter-C/part-312).
[17] §1798.99.30,(B),(6).
[18] §1798.99.31
[19] Ad es. La considerazione dello ‘sforzo sproporzionato’ all’art. 19 del GDPR, o il principio di esenzione per eccessiva onerosità della sentenza CGUE C-70/10.
[20] https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.145.
[21] Sui dark patterns si veda il documento del GPDP al https://www.garanteprivacy.it/temi/internet-e-nuove-tecnologie/dark-pattern.
[22] §1798.99.32, (a)-(g).
[23] https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240AB127
[24] L’injuction, che tradurremmo ingiunzione, secondo il dir.proc.le statunitense è un rimedio equitativo emesso sottoforma di ordinana speciale da una corte, per obbligare qualcuno a cimpiere o astenersi dal compiere atti specificiti. In questo caso, ovviamente, rigiurda il pagmento della sanzione. Come provvedimento giudiziario, puà essere opposta. Per tanto, la sanzione prevista dal codice, ha la natura di una sorta di “condanna preventiva al pagamento di una somma” e non propriamente di una “sanzione amministrativa”. Appare quasi un provvedimento monitorio, promosso dalla procura generale dello Stato in nome del popolo della California.
[25] https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?sectionNum=1798.140.&lawCode=CIV. Si deve notare, che il rimando della definizione è all sezione nel suo complesso e non alla lettera d) della stessa che definisce cosa intendere Business per gli scopi del titolo del codice.
[26] Il FISA è l’acronimo del Foreign Intelligence Surveillance Act (FISA), 702 è la sezione approvata dal Congresso nel 2008, che consente di disapplicare le garanzie sulla protezione dati personali a individui non statunitensi o che si trovino ragionevolmente fuori degli stati uniti. Nata per “ragioni di sicurezza nazionale”, risulta sia applicata ben oltre il suo scopo originale, come hanno portato in evidenza le note vicende giudiziarie “Schrems I/II”, basate proprio sulla “sovra applicazione” di questa norma”,
[27] Il riferimento, che certo meriterebbe maggiore spazion di approfondimento, è all’art.5, lett.c), n.2. del DPF.
[28] SEC. 3. The Legislature finds and declares that this act furthers the purposes and intent of the California Privacy Rights Act of 2020. https://leginfo.legislature.ca.gov/faces/billCompareClient.xhtml?bill_id=202120220AB2273&showamends=false
[29] Case n. 5:22-cv-8861-doc.1.- COMPLAINT FOR DECLARATORY AND INJUNCTIVE RELIEF
[30] Case n. 5:22-cv-8861-doc.51. DEFENDANT’S OPPOSITION TO PLAINTIFF’S MOTION FOR PRELIMINARY INJUNCTION
[31] Case n. 5:22-cv-8861-doc.75 -. ORDER GRANTING MOTION FOR PRELIMINARY INJUNCTION
[32] https://oag.ca.gov/system/files/attachments/press-docs/NetChoice%20Ninth%20Cir.%20Opening%20Brief.pdf
[33] forma di disturbo ossessivo compulsivo che consiste nell’«impulso coatto a numerare oggetti, a eseguire calcoli matematici, e simili.» v. aritmomania, su Treccani.it – Enciclopedie on line, Istituto dell’Enciclopedia Italiana.
[34] Una memoria (brief) amicus curiae è una presentazione scritta a un tribunale in cui un amicus curiae (letteralmente “amico del tribunale”: una persona o un’organizzazione che non è parte del procedimento) può esporre argomentazioni e raccomandazioni legali in un determinato caso.
[35] Winter v. Nat. Res. Def. Council, Inc., 555 U.S. 7, 20 (2008)
[36] Un’analisi giudiziaria in base alla quale un tribunale soppesa fattori come l’interesse pubblico, il danno alle parti, l’equità, ecc. nel decidere su una questione.
[37] Garcia v. City of Los Angeles, 11 F.4th 1113, 1118 (9th Cir. 2021)
[38] R.A.V. v. City of St. Paul, 505 U.S. 377, 382 (1992)
[39] Frudden v. Pilling, 742 F.3d 1199, 1203 (9th Cir. 2014) (citando W. Va. State Bd. Of Educ. v. Barnette, 319 U.S. 624, 633-34 (1943)).
[40] Si veda Int’l Franchise Ass’n v. City of Seattle, 803 F.3d 389, 408 (9th Cir. 2015).
[41] 303 Creative LLC v. Elenis, 600 U.S. -, 143 S. Ct. 2298, 2312 (2023)
[42] Si veda, ad esempio, Ward v. Rock Against Racism, 491 U.S. 781, 790 (1989) (“La musica, in quanto forma di espressione e comunicazione, è protetta dal Primo Emendamento”).
[43] Si veda Minneapolis Star & Tribune Co. v. Minn. Comm’r of Revenue, 460 U.S. 575, 581-82 (1983).
[44] Cfr. HomeAway.com, Inc. v. City of Santa Monica, 918 F.3d 676, 684 (9° circ. 2019);
[45] cfr. Sorrell v. IMS Health Inc., 564 U.S. 552, 567 (2011)
[46] https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/childrens-information/childrens-code-guidance-and-resources/introduction-to-the-childrens-code/#:~:text=The%20Children’s%20code%20(or%20the,to%20protect%20children’s%20data%20online.
[47] https://www.statista.com/statistics/1344009/ea-player-network/
[48] https://www.statista.com/statistics/1202097/ea-play-user-reach/
[49] Tra le VLOPs attualmente designate come tale infatti, compaiono: Alibaba AliExpress; Amazon Store; Apple AppStore; Booking.com; Facebook; Google Play; Google Maps; Google Shopping, Instagram; LinkedIn; Pinterest; Snapchat; TikTok; Twitter; Wikipedia; YouTube e Zalando. Nessuna piattaforma di “Gaming”. Cfr. https://ec.europa.eu/commission/presscorner/detail/en/ip_23_2413
[50] Cfr, https://newrepublic.com/article/113294/how-corporations-hijacked-first-amendment-evade-regulation
[51] Kendrick, L. (2014). First Amendment Expansionism. Wm. & Mary L. Rev., 56, 1199.
[52] Schauer, F. (2000). First amendment opportunism. https://doi.org/10.7208/9780226484679-008.