Il 3 giugno al Congresso USA è stata presentata l’American Data Privacy and Protection Act (ADPPA), una proposta bipartisan per una normativa federale in tema di protezione dei dati personali.
Da tempo oltreoceano si sentiva la necessità di un’armonizzazione delle varie normative statali a tema privacy, in quanto ad oggi la normativa sul tema è oltremodo frammentata e affianca a balzi in avanti (rappresentati ad esempio dalle normative di California, Virginia e Colorado) approcci più conservativi se non addirittura quiescenti.
Dopo la presentazione della proposta la bozza di normativa è stata resa disponibile online consentendo così di esaminare l’atto e di individuarne punti di forza e di debolezza.
USA, come sta cambiando l’approccio alla privacy: la grande svolta
L’origine dell’American Data Privacy and Protection Act
Il progetto per una normativa federale sul tema della protezione dei dati personali nasce in realtà ancora nel 2019, ma la stesura del testo di legge si è presto arenata per conflitti di tipo politico.
Il dibattito si era infatti concentrato sul rapporto che questa normativa avrebbe avuto con le variegate discipline statali (con il rischio di sovrapposizioni e la preoccupazione di un’ingerenza eccessiva del livello federale) e sulla possibilità di ricorso diretto concessa ai cittadini.
Il cosiddetto private right of action desta preoccupazione negli USA per il timore (specie dei rappresentanti repubblicani) che il cosiddetto enforcement privato possa invogliare i cittadini e le associazioni rappresentative ad avviare numerosissime azioni legali (individuali o di classe) paralizzando così l’operato delle imprese.
Questo pericolo è particolarmente avvertito in USA vista l’istituzionalizzazione dei c.d. danni punitivi, che possono spingere alcuni soggetti a “scommettere” su una lite giudiziale nella speranza di portare a casa grandi somme di denaro.
Proprio visti questi conflitti politici, il raggiungimento di un accordo bipartisan su una bozza è sicuramente una notizia positiva nel travagliato iter legislativo di questa normativa.
Chiaramente l’accordo politico ha inciso sul testo normativo, andando ad ampliare le possibilità di deroga alla normativa federale da parte delle normative statali e a limitare le possibilità di ricorso.
In ogni caso il percorso normativo è ancora irto di ostacoli che i promotori del disegno di legge dovranno superare per incontrare l’assenso dell’intero Congresso.
La bozza è stata infatti definita un ottimo punto di partenza, ma è evidente che contiene ancora dei punti da raffinare e che saranno oggetto di acceso dibattito.
Quel che è certo è che gli Stati Uniti beneficerebbero dall’approvazione di una norma unitaria in tema di tutela dei dati personali, in quanto l’attuale mosaico di leggi statali che si profila finisce per creare un percorso ad ostacoli per le stesse aziende USA (che devono faticare in un adeguamento frammentario) e per i consumatori (che faticano a comprendere fin dove si “estendono” i loro diritti), specie per la rilevanza sempre più preponderante del trattamento dati informatizzato e in cloud, rendendo anacronistica una normativa parcellizzata per un fenomeno sempre più globale.
Il testo della bozza: affinità e divergenze col Gdpr
Dalla lettura della bozza emerge con chiarezza il filo conduttore che lega la disciplina USA a quella europea, dalla quale il legislatore statunitense prende spesso spunto, fin dai principii fondamentali della “privacy by design” e della minimizzazione del dato, salvo poi introdurre discostamenti significativi e a tratti interessanti.
I “covered data”
Le prime “assonanze” fra GDPR e American Data Privacy and Protection Act (ADPPA) si colgono nella definizione di dato personale, che nella normativa statunitense viene definito come una sorta di sottoclasse di cui si occupa la normativa (i dati “coperti” dalla normativa ADPPA).
Secondo la bozza il termine ricomprende informazioni che identificano o sono collegate o ragionevolmente collegabili a un individuo o un dispositivo che identifica o è collegato o ragionevolmente collegabile ad una o più persone, inclusi i dati derivati e gli identificatori univoci.
La norma devia però rapidamente dal solco della disciplina comunitaria nell’escludere dall’applicazione del GDPR i dati oggetto di de-identificazione, i dati pubblicamente disponibili e soprattutto i dati di dipendenti.
Quest’ultima esclusione potrebbe apparire dirompente ma in realtà è limitata ai dati raccolti per una serie di finalità legittime dal datore di lavoro (connesse all’assunzione ed allo svolgimento del rapporto di lavoro). L’esclusione quindi (pur significativa e divergente dalla normativa UE) impone comunque al datore di lavoro una valutazione circa le finalità del trattamento e la necessità e proporzionalità dello stesso.
I dati de-identificati sono definiti quali dati che non identificano e non sono ragionevolmente connessi ad un individuo o a un dispositivo di identificazione (sia che siano in forma aggregata che non lo siano).
La normativa statunitense sembra qui attenuare il concetto di dato anonimo implicitamente definito dal GDPR, in quanto non si parla di impossibilità di riconnettere i dati ad un individuo quanto piuttosto di “ragionevole” impossibilità di riconnessione.
La norma, evidentemente tesa a semplificare il lavoro delle aziende che trattano dati anonimi, altrimenti costrette ad un lavoro certosino di “bonifica” dei database per scongiurare re-identificazioni di cui sarebbero comunque responsabili, finisce però per smorzare le responsabilità del soggetto che gestisce i dati e per introdurre un concetto (di ragionevolezza) necessariamente generico e che dovrà verosimilmente essere declinato dalla giurisprudenza, alimentando così il contenzioso.
I “sensitive covered data”
La normativa USA e quella UE sono affini anche nella categorizzazione dei dati, con la bozza di ADDPA che prevede norme di tutela più incisive nel caso di dati sensibili.
La definizione di dati sensibili accorpa, con prospettiva meno garantista rispetto a quella comunitaria, i seguenti dati:
- gli identificativi governativi (SSN, numero di patente, etc.) che non sia obbligatorio per legge esporre pubblicamente;
- i dati sanitari;
- i dati biometrici;
- i dati genetici;
- I dati di geolocalizzazione precisi connessi ad uno o più individui o a un device;
- I dati di corrispondenza privata;
- le credenziali di accesso ad account o device;
- i dati relativi a razza, etnia, nazionalità, religione, affiliazione a sindacati, orientamento sessuale se trattati “in una maniera non conforme rispetto alle legittime aspettative di un individuo riguardo alla diffusione di tali dati”;
- i dati relativi all’orientamento sessuale;
- le informazioni che rivelano l’attività online di un individuo;
- le informazioni personali private come calendari, rubriche, fotografie, registrazioni audio, video mantenute su un device personale (anche se conservate sul cloud);
- le fotografie o video che ritraggono nudità;
- le informazioni relative all’utilizzo di servizi televisivi (via cavo o in streaming);
- Le informazioni relative ai minori di anni 17;
- altre informazioni che possano essere utilizzate per identificare dati di cui alle categorie precedenti.
Le scelte statunitensi si discostano da quelle comunitarie soprattutto con riferimento ai dati relativi a razza, etnia, nazionalità, religione, affiliazione a sindacati, orientamento sessuale che ricadono nel novero dei dati sensibili solo se sono trattati in maniera non conforme rispetto alle legittime (nel testo inglese ricorre l’aggettivo “reasonable”) aspettative dell’interessato.
Di nuovo viene qui introdotto un elemento di incertezza che renderà senz’altro più complessa l’individuazione dei dati che ricadono nel novero di quelli sensibili.
Interessanti sono invece le scelte di tutelare in forma rafforzata le credenziali di accesso (viste più come misure di sicurezza nella normativa UE) e gli identificativi governativi (anche se questa tutela rafforzata si scontra inevitabilmente con la necessità di esibire tali identificativi in molteplici situazioni legittime e ad una pluralità di soggetti).
La scelta sembra giustificata dalla frequenza delle frodi basate proprio sulla conoscenza di identificativi come il Social Security Number, ed è quindi coerente con il rischio che deriva dalla perdita di controllo del dato la scelta di sottoporre a maggior rigore il trattamento di questi identificativi.
Poco comprensibili invece sembrano le scelte relative alla tutela rafforzata della corrispondenza, dei contenuti di device privati, per la evidente sovrapposizione della normativa privacy con altre discipline (es. penali) e per il fatto che la tutela non si concentra sul dato, ma piuttosto sul contenitore del dato con ciò rendendo più complessa la categorizzazione e rischiando di rafforzare la sicurezza di dati in realtà davvero poco significativi per un individuo.
Anche la tutela rivolta a foto e video osé sembra sovrapposta ad altre forme di tutela più incisive o che comunque avrebbe trovato più adeguata collocazione in altre normative (specie per la difficoltà da parte del soggetto che gestisce il dato (pensiamo ad un archivio informatico) di “individuare” i contenuti che ricadono nelle categorie protette modulando così conseguentemente la tutela.
Interessante è anche la scelta di includere i dati di geolocalizzazione, se questi riguardano la posizione precisa di un individuo o di un device che lo potrebbe identificare, tra i dati sensibili.
É pur vero che molto spesso questi dati sono rivelatori di dati sensibili (recte “appartenenti a categorie particolari”) anche secondo la normativa UE (pensiamo ad esempio al tragitto domenicale casa/chiesa di un fedele tracciato dal sistema di geolocalizzazione presente sul suo smartphone), ma la scelta della bozza di normativa USA amplia sensibilmente l’area di tutela rafforzata sol per il fatto che i dati individuano la posizione.
Ad esempio, un sito web che richieda l’accesso alla posizione precisa del dispositivo per mostrare i punti vendita nelle vicinanze ricade nell’area di tutela rafforzata prevista per i dati sensibili.
Questa categorizzazione erratica dei dati “sensibili” è però in parte “compensata” dal fatto che le conseguenze del loro trattamento non sono poi così incisive come nella normativa UE.
Il trattamento di dati sensibili, infatti, richiede un consenso espresso (“affirmative consent”) e serve più che altro per “qualificare” il titolare del trattamento ed i suoi obblighi (ad esempio la definizione di “Large Data Holder”, che impone maggiori oneri in capo al titolare, scatta al raggiungimento di 100.000 individui di cui si trattano dati sensibili.
L’informativa
I punti di contatto fra la disciplina USA e quella UE ricorrono anche nel momento della definizione dei contenuti della privacy policy, che deve essere fornita (a differenza del GDPR però l’ADPPA prescrive che l’informativa sia resa pubblicamente disponibile e facilmente accessibile) agli interessati.
Secondo la sezione 202 della bozza di ADPPA l’informativa deve contenere:
- l’identità e i dati di contatto del titolare;
- le categorie di dati trattati;
- i trasferimenti di dati;
- la durata della conservazione dei dati suddivisa per categoria;
- le modalità per l’esercizio dei dati previsti dall’ADPPA;
- una descrizione delle pratiche adottate per garantire la sicurezza dei dati;
- la data di efficacia della privacy policy;
- se i dati sono trasferiti in Cina, Russia, Iraq e Corea del Nord.
Molti dei contenuti prescritti sono sovrapponibili a quelli prescritti dall’art. 13 GDPR, salvo alcune eccezioni.
Tra queste eccezioni la necessità di indicare la data di efficacia della privacy policy discende dalla possibilità di renderla disponibile online, senza bisogno di “fornirla” all’interessato, con la conseguenza che la policy sarà opponibile nella misura in cui il trattamento invocato è avvenuto dopo la data di sua efficacia pubblicizzata ad esempio sul sito web del titolare.
I cambiamenti alla privacy policy, inoltre, devono essere notificati ai soggetti interessati per poter continuare a trattare i dati legittimamente, consentendo agli stessi interessati di revocare il consenso in precedenza prestato.
Trasferimento dati in paesi terzi
Singolare è anche la declinazione dell’informativa circa il trasferimento di dati personali in “paesi terzi”. Mentre il GDPR introduce un meccanismo di approvazione dei singoli paesi verso cui è lecito trasferire i dati, l’ADPPA si preoccupa invece di far segnalare agli utenti tutti i casi in cui un trasferimento dei loro dati coinvolga Cina, Russia, Iraq e Corea del Nord.
La scelta è senz’altro singolare e poco comprensibile, in quanto la “selezione” di questi paesi (evidentemente considerati “sospetti” per il cittadino americano), potrebbe mutare nel tempo costringendo di volta in volta ad intervenire sulla disciplina legislativa.
Paradossalmente poi un trasferimento dati in Bielorussia, o in Iran, o ancora in Afghanistan, non deve essere segnalato al cittadino USA, mentre quello effettuato in Iraq (dove almeno formalmente è instaurato un regime “amico” degli Stati Uniti) va segnalato.
I diritti degli interessati
Anche con riferimento ai diritti in capo agli interessati le convergenze fra la disciplina USA e UE si fanno sentire, con il catalogo dei diritti di cui alla ADPPA che include:
- diritto di accesso
- diritto di rettifica
- diritto di cancellazione
- diritto di portabilità
L’esercizio dei diritti è gratuito fino a due “richieste” l’anno, dopodiché è possibile richiedere una fee.
Il Duty of Loyalty
Particolarmente interessante nella bozza di normativa USA a tema privacy è il titolo primo, rubricato “Duty of Loyalty”, che impone una serie di regole da rispettare in capo ai titolari del trattamento (aziende ma anche organizzazioni senza scopo di lucro), individuando le pratiche vietate ed un generale criterio di proporzionalità/necessità nel trattamento dei dati.
Tra le pratiche vietate rientrano i trasferimenti di password (salvo riguardino un password manager o strumenti che abbiano il solo scopo di verificare la sicurezza delle credenziali), il trasferimento di dati sull’attività fisica ottenuti da smartphone o dispositivi indossabili e il trasferimento di immagini intime senza il consenso del soggetto rappresentato (la norma parla di “known nonconsensual intimate images” con ciò introducendo un elemento soggettivo di difficile accertamento).
L’elenco delle pratiche vietate (che include ad esempio il trasferimento di dati di geolocalizzazione precisa senza consenso esplicito) appare però in alcuni casi inutilmente sovrapposto con la disciplina in tema di dati sensibili.
In questi punti l’ADPPA sembra frutto di un lavoro ancora acerbo che necessita di un notevole affinamento e coordinamento fra le varie sezioni che a volte sembrano “dimenticare” le scelte di principio e di categoria inserite nella disciplina.
La disciplina parla anche di un dovere di “lealtà” anche nel momento dell’individuazione di un prezzo per i servizi offerti. Secondo l’ADPPA non è possibile offrire un prezzo più vantaggioso a fronte di una più ampia condivisione dei dati o di una minor tutela.
Le eccezioni a questa disciplina riguardano i programmi fedeltà e le informazioni necessarie per la gestione di pagamenti.
Il private right of action
A causa della forte opposizione repubblicana il diritto di azione giudiziale in capo al singolo individuo in forza dell’ADPPA è stato di fatto “depotenziato”.
Mentre l’attività di enforcement da parte dell’autorità pubblica sarà immediata (verrà anche creato un apposito dipartimento in seno alla Federal Trade Commission – FTC incaricata di verificare il rispetto della normativa) quella da parte dei privati sarà congelata per ben quattro anni dalla data di entrata in vigore della normativa.
Anche una volta che sarà possibile agire contro le aziende che avranno violato la nuova disciplina privacy, questa attività sarà comunque subordinata ad una notifica rivolta alla FTC ed al competente procuratore generale, che potranno decidere di avocare a sé il caso entro 60 giorni.
Altre disposizioni
Il plesso normativo include numerose altre disposizioni di sicuro interesse ad esempio in tema di algoritmi (prescrivendo obblighi in tema di non discriminazione ed una valutazione di impatto da effettuarsi annualmente nel caso di un large data holder che utilizzi algoritmi per trattare dati), nonché criticate disposizioni in tema di prevalenza della disciplina federale su quella statale (con un lungo elenco di discipline che non verranno toccate dall’entrata in vigore della normativa federale).
Alla suddivisione fra titolari del trattamento e “grandi titolari” (“large data holder”) si accompagna poi una parziale esenzione da alcuni requisiti per aziende con un fatturato inferiore ai 41 milioni di dollari nel triennio precedente, che abbiano trattato dati di meno di 100.000 persone e che abbiano ottenuto meno del 50% del loro fatturato dall’attività di trasferimento di dati personali (ad esempio queste aziende non saranno tenute alla rettifica dei dati ma potranno procedere a loro discrezione alla cancellazione degli stessi).
Inoltre, in seno alla FTC verrà anche creata una Youth Privacy and Marketing Division dedicata alla privacy dei minori.
Il futuro dell’ADPPA
Non è detto che quella esaminata sarà davvero la normativa privacy degli USA, in quanto la bozza diffusa dovrà sottoporsi alle “forche caudine” di un Congresso, peraltro, vicino alle elezioni di midterm che potrebbero scompaginare le fila dei parlamentari che hanno raggiunto l’accordo da cui è scaturito l’ADPPA.
Le critiche alla normativa sono poi state molteplici, specie per la scelta conservativa in tema di private right of action (una norma in vigore ma non “azionabile” per ben quattro anni sembra davvero anomala) e per alcune problematiche di stesura e difetti di coordinamento (la stessa suddivisione dei titolari in “data holder”, “large data holder” e “small data holder” non sembra correttamente modulata ed implementata lungo tutto l’asse normativo), nonché relative al fatto che il lungo elenco di discipline statali non incise dall’ADPPA comporterà per gli operatori di non raggiungere l’obiettivo di uniformare adempimenti e informative a livello federale, con conseguente oggettiva semplificazione delle procedure per le imprese e anche per gli utenti.
Alle critiche si sono anche affiancati i rumors relativi ad una proposta alternativa rispetto a quella appena diffusa (si tratterebbe di una rivisitazione ed aggiornamento del COPRA, il Consumer Online Privacy Rights Act, una delle due proposte emerse ancora nel 2019) da parte della presidente della Commissione Commercio del Senato, Maria Cantwell, che ha duramente criticato l’ADPPA.
Insomma, il percorso è ancora lungo, ma sicuramente l’ADPPA ha riacceso il dibattito su una questione che mette tutti d’accordo su un punto: gli USA hanno bisogno di una legge federale in tema privacy, parcellizzare in 50 diverse declinazioni un fenomeno globale non ha alcun senso e mette in difficoltà inutilmente operatori e cittadini.