LA BOZZA

American Data Privacy and Protection Act: un altro passo (incerto) verso la legge federale privacy

Negli Stati Uniti sembrano esserci, finalmente, le condizioni per raggiungere un accordo sulla tanto attesa legge federale privacy: è stata infatti pubblicata la bozza dell’American Data privacy and Protection Act (ADPPA) che, grazie a un sostanziale accordo politico, potrebbe rappresentare un passo importante nella definizione della normativa sulla data protection in USA. Facciamo il punto

06 Giu 2022
G
Nadia Giusti

Data Protection & Cybersecurity Expert

Per la prima volta dopo anni e dopo molteplici tentativi andati a vuoto sembra che negli Stati Uniti ci siano le condizioni per il raggiungimento di un accordo sulla tanto attesa legge federale sulla privacy. Il disegno di legge pubblicato venerdì 3 giugno con il nome di “American Data Privacy and Protection Act” (ADPPA) rappresenta il tentativo più significativo nel raggiungimento di un’intesa da parte dei legislatori da quando i negoziati si sono arenati alla fine del 2019.

La bozza dell’ADPPA viene guardata con grande attenzione in quanto si tratta di un accordo bipartisan che per la prima volta contiene compromessi sulle due questioni chiavi, la prelazione della legge federale e l’esercizio del diritto privato. Ma elezioni di midterm di Novembre, cambi di leadership nelle commissioni del Senato e alcuni elementi presenti nella bozza che non convincono tutti i legislatori potrebbero rendere vano anche questo ennesimo tentativo.

Legge federale sulla privacy negli USA, a che punto siamo: problemi e nodi normativi

La situazione fino a oggi

Da tempo il Congresso non riesce ad trovare l’accordo per l’approvazione della tanto attesa legge federale sulla privacy. Due sono i motivi che fino ad oggi hanno impedito la nascita della legge federale: la prelazione, o meno, della legge federale rispetto alle leggi statali, e l’esercizio del diritto privato.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

I Democratici si oppongono alla prelazione di una legge federale sulle leggi dei singoli Stati – ad oggi sono cinque gli Stati che hanno approvato una propria legge privacy, California, Virginia, Colorado, Utah e Connecticut – mentre sono favorevoli all’esercizio del diritto privato da parte dei consumatori; i Repubblicani sono favorevoli a una legge federale che prevalga sulle singole leggi statali, ma temono che l’esercizio del diritto privato generi un infinito numero di azioni legali da parte dei singoli contro le aziende considerate inadempienti, e pertanto sono contrari all’esercizio del diritto privato dei consumatori o lo vorrebbero fortemente limitato a casi specifici.

Nei giorni scorsi si ha avuto notizia che diversi esponenti degli opposti schieramenti si stavano seriamente confrontando su un disegno di legge che avrebbe incluso un compromesso bipartisan proprio su queste due questioni: infine, nella serata di venerdì 3 giugno è stata resa pubblica la bozza del disegno di legge.

Tale bozza ha ricevuto l’appoggio di importanti esponenti repubblicani e democratici: il senatore repubblicano del Mississippi Roger Wicker, membro della Commissione Commercio del Senato, la senatrice repubblicana dello Stato di Washington Cathy Anne McMorris Rodgers e il senatore democratico dello Stato del New Jersey Frank Pallone.

I dettagli dell’American Data Privacy and Protection Act

Questi gli elementi più significativi contenuti nella bozza:

A quali dati si applica

Il disegno di legge si applicherebbe ai “covered data” (nel seguito “dati soggetti all’ ADPPA o dati”), definiti come “le informazioni che identificano o sono collegate o ragionevolmente collegabili a un individuo o un dispositivo che identifica o è collegato o ragionevolmente collegabile a uno o più individui, inclusi i dati derivati e identificatori univoci”. Da questa definizione sono esclusi i dati anonimizzati, i dati di dipendenti e le informazioni rese pubbliche (che vengono poi definiti specificatamente all’interno del disegno di legge).

A quali entità si applica

Il disegno di legge si applicherebbe alle “covered entities” (da qui in avanti “entità soggette all’ADPPA o entità”) definite come:

  • qualsiasi entità o persona che raccoglie, elabora o trasferisce dati soggetti all’ADPPA e nello specifico:
  1. è soggetta al Federal Trade Commission Act (secondo la definizione contenuta nella legge 15 U.S.C. 41-58);
  2. è un’organizzazione non a scopo di lucro che svolge attività per il proprio profitto o quello dei propri membri, oppure
  • Qualsiasi entità che controlla o è controllata da un’altra entità, o che condivide un marchio comune con tale entità. Il progetto di legge contiene numerose esenzioni, in particolare per le piccole imprese e per le entità soggette al Gramm-Leach-Bliley Act (GLBA), al Health Insurance Portability and Accountability Act (HIPAA), al Family Educational Rights and Privacy Act (FERPA).

Raccogliere, elaborare, trasferire

“Raccogliere” significa acquisire i dati con qualsiasi mezzo. “Elaborazione” indica qualsiasi operazione o insieme di operazioni eseguite sui dati, “Trasferimento” significa divulgare, rendere disponibile, concedere in licenza i dati con qualsiasi mezzo o in qualsiasi modo.

Dati Sensibili

Il disegno di legge identifica i seguenti dati soggetti all’ ADPPA come sensibili:

  1. un identificativo non pubblico rilasciato dal governo, come ad esempio un numero di previdenza sociale, il numero di passaporto o il numero di patente;
  2. qualsiasi informazione che descriva o riveli la passata, presente o futura salute fisica, mentale di un individuo, le sue condizioni di disabilità, o informazioni relative a diagnosi o trattamenti sanitari a cui l’individuo è stato sottoposto;
  3. un numero di un conto finanziario, il numero di una carta di debito o credito e qualsiasi codice di sicurezza o di accesso, password o credenziali, che consentano l’accesso a tale informazioni;
  4. informazioni biometriche;
  5. informazioni genetiche;
  6. informazioni di geolocalizzazione;
  7. le comunicazioni private di un individuo, come i messaggi email, vocali o SMS, o porzioni di informazioni che identificano tali comunicazioni (es i numeri chiamati, l’orario e la durata delle chiamate evidenziati in una bolletta telefonica), a meno che la l’entità soggetta all’ADPPA non sia un destinatario della comunicazione;
  8. credenziali di accesso a un dispositivo o a un account;
  9. informazioni che rivelano la razza, l’etnia, la nazionalità, la religione, l’appartenenza o meno a una organizzazione sindacale di un individuo in modo non coerente con le sue ragionevoli aspettative in merito alla divulgazione di tali informazioni;
  10. informazioni che rivelino l’orientamento sessuale di un individuo;Informazioni che identificano le attività online di un individuo;
  11. audio, video, rubriche telefoniche, foto mantenute da un individuo per uso privato;
  12. Una fotografia, un film, una registrazione video o altro supporto simile che permetta di acquisire informazioni sulla sfera privata di un individuo;
  13. informazioni che rivelino l’utilizzo di un servizio televisivo o di streaming da parte di un individuo;
  14. informazioni che riguardano un individuo di età inferiore a diciassette anni;
  15. qualsiasi altro dato raccolto, elaborato o trasferito allo scopo di identificare i tipi di dati precedentemente elencati.

Consenso per i dati sensibili

Senza un esplicito consenso da parte dell’interessato, una entità soggetta all’ADPPA non può raccogliere, elaborare o trasferire a terzi dati sensibili.

Privacy Officer e Data Security Officer

Tutte le entità a cui si applica l’ ADPPA devono designare uno o più Privacy Officer e un Data Security Officer che hanno il compito di attuare programmi di privacy e sicurezza dei dati e garantire la continua conformità con la legge.

Fornitore di servizi

Il disegno di legge definisce “fornitore di servizi” una entità soggetta all’ ADPPA che raccoglie, elabora o trasferisce i dati nel corso dell’esecuzione di uno o più servizi o funzioni per conto e sotto la direzione di un’altra entità soggetta all’ADPPA, ma solo nella misura in cui tale raccolta, elaborazione o trasferimento – (i) si riferisca all’esecuzione di tale servizio oppure (ii) sia necessario per adempiere un obbligo legale o per stabilire, esercitare o difendere un diritto in sede giudiziaria.

Minimizzazione dei dati

Le entità soggette all’ ADPPA saranno tenute a limitare le loro attività di raccolta, elaborazione e trasferimento dati nel caso di specifiche attività e finalità. Sarà compito della Federal Trade Commission identificare opportuni orientamenti per stabilire cosa sia “ragionevolmente necessario, proporzionato e limitato” per conformarsi a questa sezione tenendo conto della natura dei dati, del tipo di trattamento e del numero di interessati coinvolti.

Restrizioni sul trattamento dei dati

Alcune tipologie di trattamenti di dati saranno vietati, a meno di specifiche eccezioni. Ad esempio, la raccolta, l’elaborazione o il trasferimento di numeri di previdenza sociale, salvo quando ciò sia necessario per facilitare la riscossione delle tasse; il trasferimento a una terza parte di informazioni di geolocalizzazione in grado di identificare precisamente la posizione di un individuo, a meno che l’individuo non abbia espresso il proprio consenso; risultati aggregati ottenuti dalla navigazione on line di un individuo, a meno che l’individuo non abbia fornito il suo consenso.

Privacy by design

Le entità soggette all’ ADPPA saranno tenute a implementare pratiche e misure ragionevoli riguardanti la raccolta, l’elaborazione e il trasferimento dei dati considerando:

  1. le leggi, le norme o i regolamenti federali, statali o locali relativi ai dati che l’entità interessata raccoglie, elabora o trasferisce;
  2. le mitigazioni dei rischi di privacy relativi al trattamento di dati di soggetti di età inferiore a diciassette anni;
  3. la mitigazione dei rischi per la privacy relativi ai prodotti e servizi offerti dall’entità, includendo le attività necessarie alla loro progettazione, sviluppo e implementazione;
  4. implementando attività di training e mettendo in atto misure di sicurezza per promuovere il rispetto di tutte le leggi sulla privacy applicabili ai dati che l’entità raccoglie, elabora o trasferisce atte a mitigare i rischi per la privacy. Il termine “ragionevole” significa che tali entità dovranno tenere conto della dimensione dell’entità coinvolta, del tipo di trattamento messo in atto, della tipologia di dati trattati, del volume dei dati e del numero di individui coinvolti, nonché dei costi implementativi in relazione ai rischi di privacy.

Trasparenza e informative

Le entità soggette all’ ADPPA dovranno rendere pubblicamente disponibile, in modo chiaro, evidente e facilmente accessibile, un’informativa sulla privacy che fornisca una rappresentazione dettagliata e accurata delle attività di raccolta, elaborazione e trasferimento messe in atto.

Analogamente agli articoli 13 e 14 del GDPR europeo, il disegno di legge specifica quali elementi devono essere inclusi nell’informativa, come ad esempio i contatti dell’entità, le eventuali altre entità a cui i dati oggetto del trattamento vengono o possono essere trasmessi, le categorie dei dati coinvolti e lo scopo del trattamento.

Inoltre, sarà necessario indicare nelle informative se “i dati raccolti vengono trasferiti, elaborati o altrimenti resi disponibili alla Repubblica popolare cinese, alla Russia, all’Iran o alla Corea del Nord”.

Diritti degli interessati

Gli interessati, previa verifica della loro identità da parte dell’entità soggetta all’ ADPPA, potranno esercitare il diritto di accesso, di rettifica, di cancellazione e di portabilità dei propri dati.

Esistono eccezioni per le quali l’entità potrà opporsi o limitare l’esercizio di tali diritti: ad esempio, se non potrà ragionevolmente verificare l’identità di chi effettua la richiesta, o del suo rappresentante, o se ritiene che tale richiesta sia un modo per interferire tra lei e un terzo individuo.

Per quanto riguarda i meccanismi di opt-out, sarà compito della Federal Trade Commission individuare un meccanismo di opt-out generale.

Bambini, minori e privacy

Le entità soggette all’ADPPA non potranno indirizzare pubblicità mirata a soggetti di età inferiore a diciassette anni. Una nuova “Youth and Marketing Division” sarà istituita all’interno della Federal Trade Commission con il compito di identificare norme e metodi applicabili alla privacy e al marketing rivolto a soggetti minori.

Dati collezionati da terze parti

Le terze parti dovranno fornire agli interessati opportune informative spiegando la natura del trattamento e i dati coinvolti. Inoltre tutte le terze parti che in un anno avranno elaborato dati di oltre 5000 persone dovranno registrarsi presso la Federal Trade Commission, che avrà l’onere di mantenere un registro accessibile al pubblico indicante il nome completo dell’entità, i suoi dati di contatto, le categorie dei dati coinvolti nel trattamento e le modalità con cui gli interessati potranno esercitare i loro diritti (ad esempio, il link a un sito web dell’entità).

Dovrà, inoltre, esistere anche un registro “Do not collect” dove l’interessato potrà richiedere che i propri dati non vengano ulteriormente collezionati, a meno di specifiche eccezioni.

Sicurezza dei dati

Le entità soggette all’ADPPA dovranno mettere in atto ragionevoli misure tecniche e organizzative per garantire la sicurezza dei dati, la loro integrità e misure atte a proteggerli da accessi non autorizzati.

Tra le misure minime che devono essere messe in atto sono presenti la valutazione delle vulnerabilità, e dei rischi, sia interni che esterni al sistema, che possono derivare da esse, in considerazione anche dell’utilizzo di service providers; la messa in atto azioni di prevenzione e, se necessarie, azioni anche correttive per la mitigazione di tali rischi e vulnerabilità; la valutazione delle azioni di prevenzione e mitigazione alla luce di cambiamenti tecnologici, nuove minacce alla sicurezza dei dati, o modifiche alle pratiche commerciali dell’entità.

Entità che trattano grandi dimensioni di dati

Con questo termine si vuole identificare quelle entità soggette all’ ADPPA con un fatturato lordo annuo di $ 250.000.000 o più e che raccolgono, elaborano o trasferiscono dati di 5.000.000 di persone o i dati sensibili di 100.000 persone. Per costoro sono previsti requisiti aggiuntivi, come il designare il Privacy Protection Officer (scelto tra i Privacy Officers o il Data Security Officer) che riporterà al top management o al CEO dell’entità, o l’obbligo di effettuare valutazione di impatto (privacy impact assessment) riguardo ai trattamenti dei dati in essere e alle potenziali conseguenze sugli interessati. Il Privacy Protection Officer è una figura responsabile di stabilire processi, condurre controlli regolari, sviluppare programmi di formazione per i dipendenti, approvare le valutazioni di impatto, mantenere i registri e fungere da punto di contatto con le autorità di controllo.

Algoritmi di AI

Le entità che collezionano e processano grandi dimensioni di dati e che utilizzano algoritmi AI per raccogliere, elaborare o trasferire dati di individui, devono condurre una valutazione di impatto annuale, che descriva le misure che l’entità ha intrapreso o intraprenderà per mitigare i potenziali danni causati, inclusi danni specificatamente correlati a minori di diciassette anni.

Queste valutazioni devono avvenire nella fase di progettazione di un algoritmo, e devono considerare anche i dati di machine learning utilizzati per sviluppare l’algoritmo. Sarà compito della Federal Trade Commission sviluppare guidelines che aiutino le entità a conformarsi a questa sezione, ed eventualmente vietare o limitare l’utilizzo di certi algoritmi.

Esenzioni

Quelle entità che nei tre anni precedenti hanno avuto un fatturato annuo lordo di $ 41 milioni omeno, che durante un anno non hanno raccolto o elaborato i dati di 100.000 persone e non hanno ricavato più della metà delle loro entrate dal trasferimento dei dati sono esentate dai requisiti di portabilità dei dati.

Queste entità possono scegliere di eliminare, anziché correggere, i dati di una persona dopo aver ricevuto una richiesta in tal senso, e sono completamente escluse dal dover implementare i requisiti di sicurezza ad eccezione degli obblighi di conservazione dei dati e dell’obbligo di designare un Data privacy e Data Security Officer.

Enforcement

Sarà compito della Federal Trade Commission e dei Procuratori Generali dello Stato far applicare l’ADPPA. All’interno della Federal Trade Commission verrà istituito un nuovo organo, il “Bureau of Privacy” entro un anno dall’entrata in vigore della legge, il cui compito sarà quello di assistere la Commissione nel far rispettare l’ADPPA, e fornire consulenza alle entità interessate in merito all’applicazione della legge.

Sia il Procuratore Generale degli Stati Uniti che i Procuratori Generali dello Stato sarebbero autorizzati ad avviare azioni civili contro entità che violassero la legge per conto di individui e/o residenti nei rispettivi Stati. Sia la Federal Trade Commission che il Procuratore Generale degli Stati Uniti sarebbero tenuti a depositare l’importo di qualsiasi sanzione civile o altro aiuto correlato a un fondo di nuova costituzione nel Dipartimento del Tesoro degli Stati Uniti noto come “Privacy and Security Victims Relief Fund”.

Diritto privato

Solo a partire da quattro anni dopo la data di entrata in vigore dell’ADPPA e previa comunicazione di 60 giorni di preavviso alla Federal Trade Commission e ai relativi Procuratori generali dello Stato, gli interessati o gruppi di interessati che subiscono un danno potranno intentare azioni civili compensatorie in qualsiasi tribunale federale, purché abbiano compiuto diciotto anni di età.

Inoltre, alcuni tipi di azioni civili sarebbero soggetti al “right to cure”, ovvero alla possibilità, da parte delle entità, di correggere presunte violazioni prima dell’avvio di un’azione esecutiva.

Prelazione

L’ ADPPA avrebbe la prelazione sulla maggior parte delle leggi statali, sebbene siano previste esenzioni per una serie di leggi federali e statali relative alla privacy e alla sicurezza, tra cui il Biometric Information Privacy Act, il Genetic Information Privacy Act, le leggi che regolano la privacy dei lavoratori, le leggi contro il cyberbullismo o il cyber stalking, le leggi che riguardano il riconoscimento facciale, le intercettazione o la sorveglianza elettronica, la sezione 1798.150 del Codice Civile della California, ovvero il Personal Information Security Breach, ovvero il diritto di avviare un’azione civile in caso di violazione della sicurezza delle informazioni personali.

Niente di quanto contenuto nel disegno di legge dell’ ADPPA, inoltre, può modificare quanto già sancito dal Children’s Online Privacy Protection Act.

Si tratta della futura legge privacy federale?

Il progetto di legge rappresenta di fatto un nuovo modello. Esso non si basa, infatti, né sulle leggi privacy già esistenti negli Stati Uniti, come ad esempio quelle approvate in California, Connecticut, Colorado, Utah e Virginia, nè si ispira al General Data Protection Regulation (GDPR) europeo, sebbene alcune definizioni e concetti siano riconducibili sia al GDPR che ad alcune legge privacy esistenti.

Molti sono stati i commenti positivi, sebbene sia chiaro che il disegno di legge abbia bisogno di ulteriori miglioramenti, ma sembra evidente la volontà di entrambe le parti di giungere a un accordo definitivo.

Come è stato fatto notare da diverse fonti, però, la presidente della Commissione Commercio del Senato, Maria Cantwell, uno dei legislatori più autorevoli tra coloro che da tempo lavorano per il raggiungimento di un accordo, ha espresso un forte scetticismo, tanto da affermare “Affinché i consumatori americani abbiano una protezione della privacy significativa, abbiamo bisogno di una legge federale forte che non sia piena di scappatoie. I consumatori meritano la possibilità di proteggere i propri diritti dal primo giorno, non quattro anni dopo”.

Sono in molti a sostenere che la presidente Cantwell ritenga la bozza “non abbastanza forte”, tanto da aver pubblicato una rivisitazione di un suo precedente disegno di legge, il Consumer Online Privacy Rights Act, presentato per la prima volta nel 2019. La versione aggiornata di questo atto definirebbe un “danno sostanziale alla privacy” di un individuo come un presunto danno finanziario pari a $ 1.000 o più, o un presunto danno fisico, mentale o reputazionale.

Il progetto di legge di Cantwell impedirebbe, inoltre, alle aziende di utilizzare gli accordi con gli utenti per costringere le persone a sottoporsi ad arbitrato per risolvere le controversie piuttosto che citare in giudizio in tribunale, mentre al contrario, il progetto bipartisan non impedisce alle aziende di costringere i clienti a ricorrere all’arbitrato, tranne quando si tratta di soggetti di età inferiore ai diciassette anni.

Le aziende includono regolarmente tali clausole negli accordi con gli utenti e hanno esercitato pressioni affinché venisse mantenuta questa prerogativa.

Anche il tempo, però, non gioca a favore dell’accordo bipartisan: le elezioni di midterm negli Stati Uniti si avvicinano e non si può escludere un cambio di rotta nell’attuale scenario politico americano.

Queste elezioni, infatti, che avvengono a metà della durata del mandato (“term”) del Presidente, coinvolgono le due Camere del Congresso, il Senato e la Camera e fungono da termometro popolare sull’operato della Presidenza.

Qualora i Repubblicani, come al momento indicato da diversi sondaggi, vincessero riprenderebbero il controllo di entrambe le Camere. Inoltre a breve vi sarà un cambio di leadership nella commissione del Senato per il Commercio, dove il Senatore Wicker, che si è speso moltissimo per il raggiungimento di un accordo sulla legge federale, lascerà il suo posto, per passare alla commissione per i Servizi Armati.

Lo scenario politico che si verrà a creare influenzerà non poco l’esito del disegno di legge, a meno che esso non venga approvato prima di Novembre o, ancora meglio, prima della pausa estiva di Agosto del Congresso.

WHITEPAPER
Costruire una VERA DATA STRATEGY: machine learning, sicurezza e valorizzazione del dato.
Amministrazione/Finanza/Controllo
Big Data
@RIPRODUZIONE RISERVATA

Articolo 1 di 5