Lo scorso giovedì 28 aprile il Connecticut ha approvato il Bill n. 6, il Connecticut Data Privacy Act (CDPA). Dunque, con l’approvazione del Governatore Ned Lamont, il Connecticut diventerà, dopo California, Virginia, Colorado e Utah, il quinto Stato americano ad aver approvato una legge sulla privacy a tutela dei consumatori. La legge entrerà in vigore il 1 Luglio 2023.
Legge federale USA sulla privacy: gli ostacoli nell’approvazione di una normativa unitaria
Indice degli argomenti
Come si è arrivati al Connecticut Data Pivacy Act
Il Connecticut ha iniziato a lavorare su una legge privacy fin dal 2017. Dopo le prime fasi iniziali, il Senatore James Maroney è diventato il principale promotore e sostenitore del disegno di legge, che però nel 2021 ha subito una battuta di arresto alla Camera, non riuscendo a passare.
Il Senatore non si è scoraggiato e si è rimesso al lavoro, rivedendo l’approccio iniziale: in particolare, ha speso l’ultimo anno in interminabili riunioni, dedicandosi ad ascoltare le diverse parti interessate e cercando compromessi accettabili, nel tentativo di affrontare molte delle questioni spinose relative alla privacy dei dati, e dedicandosi al miglioramento di alcune parti specifiche del progetto di legge.
Tutto ciò gli ha permesso di guadagnare quel consenso che, nella serata di Giovedì, ha portato all’approvazione della legge.
L’attuale panorama privacy americano
In mancanza di una legge federale, i singoli Stati americani stanno provvedendo a colmare il vuoto legislativo con proprie leggi statali. Al momento, come detto, sono quattro gli Stati che hanno una legge privacy completa:
- la California (California Consumer Privacy Act – CCPA e California Privacy Rights Act – CPRA);
- la Virginia (Virginia Data Privacy Act – VCDPA);
- il Colorado (Colorado Privacy Act – CPA);
- lo Utah (Utah Consumer Privacy Act – UCPA);
a cui si aggiungerà a breve il Connecticut. In generale, però, sono più di 30 gli Stati che hanno introdotto, o stanno per farlo, progetti di legge sulla privacy.
Due sono i modelli a cui i singoli Stati si stanno ispirando: il Washington Privacy Act (WPA), proposto nel 2019 e non ancora diventato legge, e il California Consumer Privacy Act (CCPA) del 2018, entrato in vigore il 1 Gennaio 2020. I due modelli hanno diversi punti in comune e sebbene non riescano a raggiungere l’ampiezza e la portata del General Data Protection Regulation (GDPR) europeo, che è oggi il modello più avanzato a cui ispirarsi, rappresentano un buon punto di partenza nella tutela dei consumatori e nell’attribuzione di obblighi per le aziende che trattano dati personali.
Il WPA si ispira al CCPA Californiano e adotta all’incirca le medesime protezioni, ma ha una portata più ampia del California Consumer Privacy Act per quanto riguarda le aziende a cui si applicherà (ad es. comprende anche le associazioni senza scopo di lucro che trattano dati personali), gli obblighi che tali aziende dovranno soddisfare e i diritti dei consumatori (ad es. prevede il diritto di rettifica).
Il Colorado Privacy Act (CPA), il Virginia Consumer Data Protection Act (VCDPA), e ora anche il Connecticut Data Privacy Act (CDPA) si ispirano tutti al WPA, pur con importanti differenze. La legge della Virginia, sostenuta dalle aziende tecnologiche, soprattutto Amazon, che ha una sede ad Arlington, sembra fornire una tutela minore ai consumatori ed essere maggiormente business-oriented. Lo Utah Consumer Privacy Act (UCPA), anch’esso basato sul WPA, rappresenta ancora una ulteriore variante, in quanto spiccatamente più orientata più al business che al consumatore, variante che ha trovato il supporto dei lobbisti del settore che vorrebbero promuovere proprio il modello UCPA come lo standard per la futura legge federale sulla privacy.
Il Connecticut Data Privacy Act (CDPA) in dettaglio
Pur ispirandosi al WPA, il CDPA è molto più simile al Colorado Privacy Act rispetto al Virginia Data Privacy Act, ed è chiaramente piuttosto distante dall’approccio business oriented dello Utah Consumer Privacy Act.
Del resto l’obiettivo del CDPA è quello di proteggere i “consumatori” del Connecticut che vengono definiti come coloro che agiscono unicamente in un contesto individuale o familiare (e quindi non in un contesto commerciale, lavorativo, per conto di aziende no profit o agenzie governative).
Il CDPA si applicherà a tutti i Titolari del Trattamento che hanno attività nel paese o che forniscono prodotti e servizi destinati ai consumatori del Connecticut e che:
- trattano i dati di oltre 100.000 consumatori (da cui sono esclusi i dati che servono per il completamento delle operazioni di pagamento di una transazione), oppure
- ricavano il 25% del fatturato annuo dalla vendita di dati di oltre 25.000 consumatori.
Dato personale
Il “dato personale” viene definito come “qualsiasi informazione che è collegata, o è ragionevolmente collegabile, a una persona fisica identificata o identificabile”, e sono esclusi da questa definizione i dati de-identificati o le informazioni pubblicamente disponibili: ciò comprende sia le informazioni detenute da organi federali, statali o locali, ma anche tutte quelle informazioni che un’azienda ritenga, su base ragionevole, che siano legalmente rese disponibili pubblicamente o dallo stesso consumatore, o a una persona a cui il consumatore ha rivelato l’informazione (a meno che il consumatore non abbia limitato la diffusione dell’informazione a un pubblico specifico).
Ne consegue che tutti quei dati personali ricavati ad esempio da un profilo pubblico sui social media non rientreranno nella definizione di “dato personale” e pertanto non saranno soggetti al CDPA.
Trova invece ampio spazio anche nel CDPA la definizione di “vendita di dati personali” (“sale of personal data”), che viene definita nel testo in maniera analoga a quanto fatto da California, Colorado e Virginia, come “lo scambio di dati personali a titolo oneroso da parte del titolare a una terza parte” (“the exchange of personal data for monetary or other valuable consideration”).
Dati Sensibili
Nel CDPA i “dati sensibili” vengono definiti come quei dati che includono:
- l’origine razziale o etnica, le convinzioni religiose, lo stato mentale o fisico, lo stato di salute, l’orientamento sessuale, la cittadinanza o lo status di immigrazione;
- il trattamento di dati genetici o biometrici per identificare in maniera univoca una persona fisica;
- i dati personali di un bambino di 13 anni di età (“known child”);
- dati geolocalizzati.
Analogamente a Colorado e Virginia, anche il CDPA richiede che i titolari che vogliono trattare dati personali sensibili di un consumatore devono ottenere il consenso del consumatore. Diversamente però da Colorado e Virginia, il CDPA richiede espressamente che i titolari mettano “in atto un meccanismo per consentire ai consumatori di revocare il consenso con la stessa facilità con cui è stato accordato”.
Il titolare dovrà poi interrompere il trattamento entro i 15 gg successivi dal ricevimento della revoca del consenso, concetto questo ben noto nel GDPR europeo.
Dati di minori
Il CDPA, come Colorado e Virginia, richiede che i Titolari ottengano il consenso di coloro che esercitano la patria potestà (genitori o eventuali tutori) per la raccolta di dati personali da un minore di 13 anni di età (“known child”).
Tuttavia, il CDPA va oltre quando afferma che i Titolari “non devono trattare i dati personali di un consumatore a fini di pubblicità mirata, o vendere i dati personali del consumatore senza il consenso del consumatore, in circostanze in cui un Titolare è effettivamente a conoscenza, e deliberatamente ignora che il consumatore abbia almeno tredici anni ma meno di sedici”.
Il CDPA è quindi la prima variante WPA a fornire maggiori protezioni per i dati dei bambini, il che potrebbe essere preso a modello dalle future leggi privacy americane, sia statali che federali.
Una analoga misura è unicamente presente nel California Privacy Rights Act (CPRA) il quale prevede che “un’azienda non può vendere o condividere le informazioni personali dei consumatori se è a conoscenza che il consumatore ha meno di 16 anni di età, a meno che il consumatore, nel caso di consumatori di almeno 13 anni e di età inferiore a 16 anni, o il genitore o tutore del consumatore, nel caso di consumatori di età inferiore a 13 anni, abbia autorizzato la vendita o la condivisione di tali informazioni personali. Ignorare l’età del consumatore equivale a conoscerne l’età”.
Dati biometrici
Il CDPA definisce i “dati biometrici” come quei dati personali che “ottenuti attraverso la generazione di misure automatiche di caratteristiche biologiche di una persona fisica, come l’impronta digitale, vocale o l’immagine facciale, o altre caratteristiche fisiche univoche che permettono l’identificazione di uno specifico individuo”.
La novità, rispetto alle altre leggi privacy americane, riguarda che cosa il CDPA non ritiene sia un dato biometrico, ovvero “una fotografia fisica o digitale, una registrazione audio o video, qualsiasi dato generato da fotografie fisiche o digitali, o registrazioni audio e video, a meno che questi dati non siano generati per identificare uno specifico individuo”.
Pertanto il CDPA chiarisce che se fotografie o registrazioni audio o video vengono utilizzate per generare dati che poi possono servire ad identificare una persona, allora questi dati costituiscono “dati biometrici”.
Questo approccio è del tutto in linea con il Considerando 51 del GDPR e soprattutto con le Linee guida 3/2019 sul trattamento dei dati personali attraverso dispositivi video, paragrafi 73-75 dell’European Data Protection Board (EDPB).
Da notare, inoltre, che il Colorado Protection Act (CPA) non contiene una definizione di “dato biometrico”.
Diritti dei Consumatori
Ai consumatori vengono concessi i diritti di:
- sapere se un titolare del trattamento sta elaborando i dati personali di un consumatore
- accedere a tali dati personali conservati dal titolare del trattamento
- correggere le inesattezza di tali dati personali
- cancellare tali dati personali
- ottenere una copia di tali dati personali in un formato portabile e facilmente utilizzabile (se tecnicamente possibile)
- rinunciare al trattamento di tali dati personali ai fini di vendita dei dati personali, pubblicità mirata o profilazione
Il Consumatore potrà esercitare i propri diritti o direttamente o avvalendosi di un proprio rappresentante. Il Titolare del Trattamento dovrà rispondere al consumatore senza indebito ritardo ed entro specifiche finestre temporali, previa verifica dell’identità del richiedente, e senza addebitare costi (almeno la prima volta).
Obblighi dei titolari del trattamento
Analogamente alle altre legge privacy americane, tra gli obblighi imposti al titolare ci sono:
- effettuare la minimizzazione dei dati, ovvero raccogliere e trattare solo i dati personali necessari
- astenersi dal trattare dati personali per finalità non necessarie o incompatibili con le finalità alle quali ha acconsentito il consumatore
- mettere in atto misure tecniche, organizzative per garantire la sicurezza del trattamento dei dati personali
- fornire ai consumatori una informativa sulla privacy facilmente accessibile, chiara e comprensibile.
In tutte quelle situazioni in cui il trattamento dei dati personali presenti dei rischi per i consumatori (ad esempio nel caso di vendita di dati personali, pubblicità mirata, profilazione) i Titolari devono produrre una valutazione di impatto (DPA, Data Protection Assessment).
Sono accettabili valutazioni prodotte per soddisfare altri regolamenti privacy (ad esempio il CPA del Colorado) purchè lo scopo della valutazione sia simile a quanto richiesto dal CDPA.
I dark pattern nel Connecticut Data Privacy Act
Il CDPA proibisce espressamente, analogamente al California Consumer Privacy Act e al Colorado Privacy Act, l’utilizzo dei “dark pattern”, i cosiddetti “percorsi oscuri”, ovvero quegli elementi dell’interfaccia grafica il cui scopo è quello di influenzare il comportamento degli utenti e far loro compiere decisioni non intenzionali, involontarie e potenzialmente dannose in merito ai loro dati personali.
Enforcement
Nel caso di violazioni del CDPA, non esiste la possibilità per il consumatore del Connecticut di avvalersi del diritto privato per rivendicare i propri diritti in ambito privacy, analogamente a Virginia e Colorado.
L’ enforcement del CDPA sarà di esclusiva competenza del Procuratore Generale e del suo ufficio. Dal 1 Luglio 2023 al 31 Dicembre 2024, esisterà la possibilità per le aziende che non rispettano il CDPA, di sanare le violazioni entro 60 giorni da quando l’ufficio del Procuratore notificherà la violazione. Dopo il 31 Dicembre 2024, il Procuratore Generale potrà consentire alle aziende di sanare eventuali violazioni, sulla base di certi fattori, ma sarà una sua decisione discrezionale. Questa misura è stata interpretata come una sorta di compromesso, per rispondere alle crescenti preoccupazioni delle aziende.
Task Force del Connecticut Data Privacy Act
Il CDPA istituisce un gruppo di lavoro (o task force) permanente che fornirà raccomandazioni su questioni quali, ad esempio, la privacy dei dati sanitari, processi decisionali automatizzati, privacy dei soggetti minori e su come modificare o migliorare il CDPA stesso, con l’obiettivo di produrre una relazione conclusiva entro il 1 Gennaio 2023, ovvero prima dell’entrata in vigore del CDPA.
Il senatore James Maroney dopo l’approvazione del Senato, visibilmente soddisfatto ha dichiarato: “Quello che abbiamo fatto oggi è affermare che i consumatori del Connecticut hanno il diritto di sapere quali dati vengono raccolti su di loro e come vengono utilizzati, e hanno il diritto di dire alle aziende di non raccogliere tali dati”.
Privacy negli Usa, come si sviluppano le norme: mala tempora per le Big Tech
Le “3Cs” e il futuro della privacy americana
Il periodo in cui sarà possibile sanare le violazioni in tema di privacy senza incorrere in sanzioni, nel Connecticut terminerà il 31 Dicembre 2024, in California il 1 Gennaio 2023 e in Colorado il 1 Gennaio 2025. Dopo questo periodo, a meno di interventi specifici dei singoli Procuratori Generali, non sarà più possibile sanare una violazione delle leggi privacy, diversamente da Virginia e Utah, dove invece tale possibilità è prevista dalla legge.
Quello che quindi ci si aspetta è che California, Colorado e Connecticut (le “3Cs” della privacy) identifichino un approccio comune per agire contro le violazioni: avendo una normativa simile, saranno infatti probabilmente in grado di impegnarsi insieme nell’ individuare strategie comuni per contrastare le aziende che violano quelle disposizioni comparabili dalle tre leggi nei tre differenti stati, e se questo avverrà, probabilmente le porrà anche in una posizione più favorevole, rispetto a Virginia e Utah, per poter influenzare la futura legge privacy federale degli Stati Uniti, che tutti auspicano e invocano da tempo.
L’Attorney General del Connecticut da tempo viene criticato per il fatto di non disporre di risorse sufficienti per svolgere la propria funzione. La possibilità di impegnarsi in azioni di contrasto insieme a California e Colorado, permetterebbe di superare questo problema e di essere maggiormente efficienti ed efficaci, un modello questo peraltro già ampiamente utilizzato in altri contesti.
Il leader della maggioranza al Senato, il Senatore Bob Duff, dopo l’approvazione del disegno di legge, ha orgogliosamente dichiarato: “..grande è stato il consenso sull’affrontare la crisi della privacy che sta investendo la nazione.”. E riferendosi alla mancanza di una legge privacy federale. “Abbiamo aspettato e aspettato che il governo federale facesse qualcosa, e ci sono molti [legislatori] che vorrebbero [agire], ma non si riesce a combinare niente. Spetta ora ai singoli Stati prendere finalmente il controllo di questo problema”. E ha aggiunto “Questo è uno dei problemi più grandi che dobbiamo affrontare, e che avremmo dovuto affrontare da decenni. Il fatto che non sia stato ancora fatto, rappresenta un crimine”.
Ma è davvero la strategia giusta quella di affidare ai Singoli stati la soluzione di un problema così grande e importante? Cosa avverrà se i singoli Stati americani voteranno ciascuno una differente (seppure simile) legge privacy, interpretando in maniera anche diversa concetti fondamentali quali “dato personale”, “dark pattern”, “vendita di dati personali”, “dato biometrico”? Come faranno le aziende a rispettare una moltitudine di obblighi diversi? E quanto sarà facile, ma presumibilmente difficile, per i consumatori, far valere i propri diritti? Il rischio è, chiaramente, che la moltiplicazioni delle leggi statali produca una pericolosa frammentazione dei diritti dei cittadini americani.