Ulteriore passo in avanti verso una “normativa quadro” in materia di privacy, con la proposta di legge bipartisan “American Privacy Rights Act 2024 – APRA”, presentata in data 7 aprile 2024. Si tratta di una iniziativa ambiziosa che intende unificare la protezione dei dati a livello federale negli USA, con un approccio coerente e globale nella gestione degli stessi.
Oggi, il sistema prevede norme federali ma settoriali: dalla sanità all’educazione e credito, per esempio, nonché norme statali per una parte di territorio come la California.
L’intenzione di un (vicino) domani è quella di avere un corpus normativo unico in grado di definire dei “livelli minimi federali” sui diritti privacy, comuni e valevoli negli States.
Indice degli argomenti
American Privacy Rights Act: novità e importanza
L’APRA delinea un nuovo quadro per la privacy americana. Si tratta di una nuova “bozza” ancora in discussione che mira a stabilire a livello nazional-federale un corpus normativo completo per la protezione dei dati e la sicurezza degli stessi, introducendo dei requisiti per le “entità coperte sulla gestione dei dati e sui diritti dei consumatori”.
Dalla overview rinvenibile nella sintesi del documento ufficiale, si ha modo di apprezzare testualmente che attraverso questa proposta di legge si intende stabilire “i diritti nazionali in materia di riservatezza dei dati dei consumatori e, non di meno, fissare norme per la sicurezza” informatica.
La ratio legis è chiara: massima trasparenza sull’uso dei dati personali e, di conseguenza, “come vengono utilizzati i dati dei consumatori dando loro il diritto di accedere, correggere, eliminare ed esportare i propri dati, nonché di rinunciare alla pubblicità mirata e ai trasferimenti di dati”. Ancora una volta, a ben guardare, si intravede lo spirito del GDPR, il regolamento da apripista.
Tra i principi pressoché analoghi spicca la minimizzazione dei dati affinché la raccolta e utilizzo dei dati consenta alle Organizzazioni di “raccogliere e utilizzare i dati solo per scopi necessari e limitati” sì vietando il trasferimento dei dati (ex) sensibili coperti, a terzi senza il consenso esplicito del consumatore. La legge intende poi vietare l’uso di dati cd “coperti”, al fine di discriminare i consumatori, fornendo loro “il diritto di rinunciare all’uso degli algoritmi per decisioni consequenziali”.
Lo spirito dell’APRA è quello, dunque, di “proporre un approccio unificato per garantire ai consumatori un maggiore controllo sulle proprie informazioni personali”.
Tra le novità degne di note, fin da subito, segnaliamo il “programma pilota di audit per il miglioramento della privacy” istituito presso la FTC che, come vedremo in seguito, consente alle Entità/Organizzazioni di “implementare tecnologie di miglioramento della privacy”. La partecipazione a tale iniziativa dà diritto alle Entità/Organizzazioni che partecipano di avere “una presunzione di conformità ai requisiti di sicurezza dei dati” compliant all’APRA.
American Privacy Rights Act: punti chiave
Anzitutto una nota di contesto. Il disegno di legge – ddl bipartisan è guidato dalla presidente della commissione Commercio del Senato Maria Cantwell e dalla presidente della Camera per l’energia e il commercio Cathy McMorris Rodgers.
Le definizioni contenute all’interno di questa bozza quali ad esempio “entità coperta”, “dati coperti” e “dati sensibili coperti”, sono tutte specificate per chiarire l’ambito e l’applicabilità della legislazione.
Ma non è tutto. Tra i punti cardine ecco cosa troviamo:
- l’enfatizzazione di alcuni principi come quello di “minimizzazione dei dati” che limita a sua volta una raccolta e un utilizzo di dati a scopi ritenuti necessari e limitati, con particolare riferimento al trattamento delle informazioni biometriche e genetiche;
- il focus sui diritti dei consumatori di “accesso, correzione, cancellazione ed esportazione dei propri dati personali, oltre alla possibilità di rinunciare alla pubblicità mirata e al trasferimento dei propri dati”;
- gli obblighi di trasparenza per gli enti interessati e i fornitori di servizi, imponendo la divulgazione di pratiche relative ai dati attraverso politiche sulla privacy accessibili al pubblico.
Ancora, il ddl in disamina propone poi un “meccanismo di opt-out” centralizzato per i consumatori, volto a semplificare l’esercizio di questi diritti.
Dal punto di vista applicativo, i ruoli della Federal Trade Commission, dei procuratori generali statali e degli stessi consumatori, contemplano pure dei meccanismi per il risarcimento dei danni civili che in qualche modo possano garantire la compliance. Ma andiamo per step.
American Privacy Rights Act: i singoli aspetti
Vediamo ora come si articola questa nuova bozza di legge federale privacy americana, scorrendo i singoli aspetti, riservandoci per ulteriori approfondimenti e seguendo gli sviluppi futuri.
Definizioni e ambito di applicazione
L’APRA definisce anzitutto i dati come informazioni che identificano o sono collegate ovvero ragionevolmente collegabili, da sole o in combinazione con altre informazioni, a un individuo o a un dispositivo identificativo/collegabile a uno o più individui.
Una Entità/Organizzazioni, quale titolare del trattamento, determina finalità e mezzi di raccolta, elaborazione, conservazione o trasferimento dei dati ed è soggetta al Federal Trade Commission Act – FTC Act; rappresenta un operatore comune soggetto al Titolo II del Communications Act; possono rientrarvi anche alcune organizzazioni no profit; e più in generale, include “qualsiasi entità che controlla o è controllata da altre Entità/Organizzazioni” cui si applica l’APRA.
Esclusioni
L’APRA non si applicherà invece a:
- un ente governativo territoriale o locale nonché per quegli enti che raccolgono, elaborano, conservano o trasferiscono dati per conto del primo citato;
- una piccola impresa;
- al National Center for Missing and Exploited Children;
- una Entità/Organizzazioni no profit la cui missione principale quella di prevenire, indagare o scoraggiare frodi.
Principi
La proposta di legge evidenzia i principi in materia di dati personali e in primis la minimizzazione dei dati e la trasparenza. Nella fattispecie, sulla minimizzazione dei dati, la bozza di legge rafforza le protezioni per i dati/informazioni sensibili, biometriche e genetiche, con il consenso esplicito e positivo richiesto per il trasferimento di informazioni sensibili a terzi.
Analogamente, con riferimento alla trasparenza, l’APRA intende stabilire che le Organizzazioni a cui si applicano le norme devono pubblicare “una politica sulla privacy facilmente leggibile e facilmente accessibile sulle attività di raccolta, elaborazione, conservazione e trasferimento dei dati”. In pratica, l’equivalente della informativa di cui agli artt. 13 e 14 del GDPR.
Le Organizzazioni (leggasi i titolari del trattamento) sono inoltre tenute a “stabilire, attuare e mantenere pratiche ragionevoli di sicurezza dei dati per proteggere la riservatezza, l’integrità e l’accessibilità dei dati coperti, e proteggere i dati coperti contro l’accesso non autorizzato”. Detto altrimenti, nell’ottica di quel parallelismo con il GDPR le misure di sicurezza (ex art. 32).
Diritti
Stando a quanto si legge nella fonte ufficiale sopra citata, risulta che sia “vietato raccogliere, elaborare, conservare o trasferire i dati coperti in modo discriminatorio sulla base di razza, colore, religione, origine nazionale, sesso o disabilità”. Quindi, si tratta di diritti civili.
Sono tuttavia previste delle eccezioni al fine di prevenire illegittime discriminazioni.
Circa gli algoritmi, con riferimento ai detentori dei dati di grandi dimensioni che utilizzino per l’appunto algoritmi che comportino un “rischio consequenziale di danno” sono chiamati a effettuare preventivamente una valutazione d’impatto, fornendola per una sua valutazione all’FTC per poi renderla disponibile al pubblico.
L’APRA prevede poi tutta una serie di diritti, tra cui: l’accesso, la correzione, la cancellazione e la portabilità dei dati in favore dei “consumatori”.
Poi esiste nella fattispecie, un diritto cd “di optare (opt-out)” volto alla “esclusione dal trasferimento dei dati e dalla pubblicità mirata”, unitamente a un “meccanismo centralizzato (es. data consent management) per il consenso”.
In pratica, un consumatore ha il diritto di opporsi al trasferimento di dati coperti non sensibili nonché all’uso delle proprie informazioni personali per la pubblicità mirata.
La FTC è incaricata di emanare regolamenti al fine di stabilire requisiti e specifiche tecniche per la realizzazione di un “meccanismo centralizzato” che consenta alle persone fisiche/consumatori di esercitare i propri diritti di opt-out.
Non solo, gli enti che utilizzano un algoritmo, ricompreso nell’applicazione della normativa in parola, per prendere o facilitare una decisione significativa sono tenuti a fornire una politica/informativa agli individui soggetti all’algoritmo e devono dare un’opportunità all’individuo/consumatore (interessato al trattamento) di optare per l’esclusione dall’uso degli algoritmi (opt-out) ad esempio per decisioni consequenziali circa l’alloggio, l’occupazione, l’istruzione, l’assistenza sanitaria, l’assicurazione, il credito e via a seguire. In tutti questi casi e non solo, la FTC può emanare orientamenti ad hoc.
Obblighi e responsabilità (esecutive)
Le Organizzazioni sono tenute a designare un “privacy or data security officers” il quale abbia diversi requisiti applicabili ai “detentori di grandi quantità di dati”. Questi ultimi, sono tenuti a fare una valutazione di impatto privacy, anche con riferimento aglialgoritmi, e per le big tale adempimento deve essere fatto, ripetuto e rivisto ogni due anni.
I fornitori di servizi devono attenersi alle istruzioni delle Organizzazioni attraverso un contratto sottoscritto tra loro. In perfetta linea con il GDPR.
Mentre i terzi non debbono “elaborare, conservare o trasferire dati di terzi per uno scopo diverso da quello per cui l’Entità/Organizzazioni o il fornitore di servizi ha effettuato una divulgazione” cioè un trattamento.
Ancora, ifornitori di servizi che corrispondono sostanzialmente, nel lessico del GDPR, ai responsabili del trattamento, devono aderire alle istruzioni e assistere nell’adempimento dei propri obblighi.
Non solo, questi sono tenuti a cessare il trattamento di dati allorché vengano a conoscenza del fatto che un’Entità/Organizzazioni/entità violi l’APRA, dovendo peraltro garantire massimamente la sicurezza e la riservatezza dei “dati coperti”.
L’APRA contempla poi le cd “terze parti” le quali – se la traduzione non inganna – “possono elaborare, conservare e trasferire i dati ricevuti da un’altra entità solo per uno scopo coerente con ciò che l’entità interessata ha divulgato nella sua informativa sulla privacy” ovvero in caso di consenso esplicito.
Quindi, riassumendo: tutte le Entità/Organizzazioni devono designare da un lato uno o più responsabili della privacy o della sicurezza dei dati, e dall’altro limitatamente ai grandi titolari di dati oltre a un responsabile della privacy anche uno che si occupi e intenda davvero di sicurezza dei dati. I big sono inoltre invitati a presentare alla FTC “certificazioni annuali” dei controlli interni volti a conformarsi alla legge e delle strutture di segnalazione interna per la conformità alla legge. Né più né meno se pensiamo alla famiglia delle ISO/IEC 27001.
Divieti
Tra i divieti rientra il “divieto di negazione del servizio e rinuncia ai diritti” nel senso che le entità/Organizzazioni interessate non possono rivalersi contro le persone fisiche/utenti/consumatori per aver esercitato i loro diritti previsti per legge (APRA).
Non solo, queste hanno la facoltà di offrire “programmi di fidelizzazione in buona fede o opportunità di ricerca di mercato” onde ampliare il regime delle opportunità da un lato e la circolarità dei dati dall’altro. In breve, i principi son sempre gli stessi.
Sicurezza e vigilanza dell’Autorità
Le entità interessate e i fornitori di servizi devono stabilire politiche/pratiche di sicurezza dei dati adeguate alle dimensioni dell’Entità/Organizzazione, “alla natura e all’ambito dei dati, al volume e alla sensibilità dei dati e allo stato dell’arte delle misure di salvaguardia”.
Ecco che la nuova bozza dell’APRA ritiene la FTC come l’Autorità di controllo nonché responsabile dell’applicazione delle sue disposizioni.
Tuttavia, la proposta di legge parrebbe chiarire che siano posti “un Procuratore Generale dello Stato, l’ufficiale di protezione dei consumatori capo di uno Stato, o un ufficio o ufficiale dello Stato autorizzato a far rispettare le leggi sulla privacy o sulla sicurezza dei dati possono anche avviare un’azione civile (civil action)”.
Gerarchia delle fonti ed entrata in vigore
Riguardo alle legislazioni statali sulla privacy, la proposta di legge dichiara espressamente che l’intento è quello di stabilire uno “standard nazionale uniforme sulla privacy dei dati e sulla sicurezza dei dati”, prevedendo espressamente la prevalenza delle leggi statali.
Secondo la nuova bozza dell’APRA, ciò non vale per leggi statali/regolamenti applicabili a:
- “leggi di protezione dei consumatori di applicabilità generale, come leggi che regolano pratiche ingannevoli, ingiuste o inaccettabili;
- leggi sui diritti civili;
- disposizioni di leggi che trattano i diritti alla privacy o altre protezioni di dipendenti o informazioni sui dipendenti;
- disposizioni di leggi che trattano i diritti alla privacy o altre protezioni di studenti o informazioni sugli studenti;
- disposizioni di leggi, principalmente statali, sui i casi di data breach e relative notifiche”.
L’APRA entrerà in vigore 180 giorni dopo la sua promulgazione. Attendiamo per ulteriori considerazioni in merito.
Cosa cambia rispetto all’ADPPA
La nuova bozza dell’APRA si basa in gran parte sull’ADPPA, l’American Data Privacy and Protection Act, pur apportando alcune modifiche come annunciate poc’anzi. Vediamole nella tabella che segue.
SEZIONE | APRA | ADPPA |
Prelazione | Sezione aggiuntiva sullo “scopo” nel ddl APRA intende “stabilire uno standard nazionale uniforme sulla privacy e sulla sicurezza dei dati negli Stati Uniti”. | Le disposizioni di prelazione ancorché in continuo mutamento, tuttavia tramite l’ADPPA e gli annessi standard nazionali forniscono requisiti di conformità uniformi, al servizio dell’efficienza economica. La preoccupazione risiede nel fatto che se esiste la prelazione, gli Stati sono comunque limitati a proteggere più fermamente la privacy dei dati dei propri cittadini. |
Valutazioni dell’impatto degli algoritmi | Valutazioni di impatto per gli algoritmi quando rappresentano un “rischio consequenziale”, cioè quando riguardano dati di/su: minori opportunità di alloggio, istruzione, impiego, assistenza sanitaria, assicurazioni o credito; alloggi pubblici basati su caratteristiche protette; razza, colore, religione e sesso nonché sulla registrazione dei partiti politici | D’altro canto, l’ADPPA prevedeva valutazioni d’impatto degli algoritmi coperti che “presentano un conseguente rischio di danno”, ma c’erano preoccupazioni su quanto ampie avrebbero potuto diventare le valutazioni senza una definizione, chiedendosi se ciò avrebbe limitato l’innovazione. L’APRA prevede anche un consequenziale meccanismo di opt-out decisionale, che appartiene a una classe più ristretta rispetto a quelle applicabili alle valutazioni d’impatto. Inoltre, le valutazioni progettuali sono una caratteristica di entrambi. |
Responsabilità esecutiva | Sezione modificata: le Entità/Organizzazioni interessate devono designare un dipendente qualificato che svolga il ruolo di responsabile della privacy o della sicurezza dei dati, non per forza nuova, né in forza solo per questo tipo di attività/funzione. Per i grandi titolari di dati (con entrate lorde superiori a 250 milioni di dollari e superamento delle soglie per taluni dati su individui/ dispositivi) sono richiesti entrambi i ruoli. | |
Accordi di arbitrato precontenzioso | Sia l’APRA che l’ADPPA contengono disposizioni per accordi per arbitrare una controversia che non si sia verificata al momento della stipula dell’accordo. | |
Broker di dati | Nell’APRA sono chiamati semplicemente broker di dati. | Nell’ADPPA erano chiamati “entità di raccolta di terze parti”. |
Le soglie rimangano le stesse. | ||
Coinvolgimento della FTC | Continua ad avere l’autorità di fornire indicazioni, normative e applicazione delle norme. | |
Un nuovo aspetto dell’APRA richiede che la FTC presenti un piano al Congresso su base annuale sulle priorità politiche e sulle procedure di regolamentazione dei progetti, tra gli altri aspetti, per garantire una maggiore supervisione dell’agenzia. | La FTC continua a essere tenuta a porre fine alla sua regolamentazione di ampia portata sulla sorveglianza commerciale e sulla privacy dei dati. |
APRA, tra prospettive future e conclusioni sfidanti
In definitiva, il “compromesso” che con l’APRA si vorrebbe raggiungere attesi gli sforzi passati per una legislazione completa sulla privacy negli Stati Uniti, dovrebbe superare gli inciampi trascorsi, a causa dei disaccordi avuti essenzialmente sulla prelazione delle leggi statali, così come sul diritto di azione dei privati e, non di meno, sul bilanciamento tra tutela dei consumatori e interessi imprenditoriali.
Più in generale, il Privacy Rights Act americano cerca un approccio maggiormente equilibrato, puntando alla tutela degli individui/utenti/consumatori che tenga tuttavia anche in debito conto le realtà aziendali con le loro problematiche in termini operativi.
È evidente che, ancorché la ratio legis sia la salvaguardia della data protection, non si possono non contemplare i potenziali impatti sull’innovazione e le tecnologie emergenti, con il rischio che vengano “imbrigliate” da un diritto che comunque è destinato, per sua natura, ad arrivare un passo dopo. Senza contare gli aspetti di onerosità della compliance che potrebbero esserci di fronte ad un adeguamento complesso, specie per le piccole, ma promettenti, start up.
Il tutto, all’evidenza, potrebbe comportare un potenziale rallentamento del ritmo di una innovazione sempre più evoluta; basti pensare che proprio in California risiede il cuore pulsante dell’innovazione tecnologica: la famosa Silicon Valley.
Da ultimo, l’attuazione di una legislazione globale sulla privacy negli Stati Uniti potrebbe avere un’influenza significativa in termini legislativi per quei Paesi che non hanno ancora una legislazione in materia, per quanto senza dubbio e per molti aspetti positiva. In conclusione, dunque, l’APRA rappresenta un pregevole tentativo di “modellare” la protezione della privacy americana, cercando di bilanciare il più possibile i diritti degli individui/utenti/consumatori da un lato e gli interessi industriali dall’altro. La sua attuazione sarà quindi cruciale per un’ampia gamma di stakeholders a livello mondiale. Attendiamo.