DATA PROTECTION

Legge federale sulla privacy negli USA, a che punto siamo: problemi e nodi normativi

Le posizioni di Democratici e Repubblicani nel Congresso USA, da sempre distanti sulla questione di una legge federale sulla privacy, non sembrano più così lontane e insormontabili e sembra esserci la volontà, guidata indubbiamente dalla necessità, di trovare un terreno comune di accordo. Quali scenari

20 Mag 2022
G
Nadia Giusti

Data Protection & Cybersecurity Expert

Sono anni che il Congresso americano tenta di approvare una legge federale sulla privacy dei dati senza però riuscirci. Le posizioni di Democratici e Repubblicani sono da sempre distanti sulla questione, ma oggi è possibile ipotizzare un accordo “a metà” tra le parti?

Approvato il Connecticut Data Privacy Act (CDPA): un altro tassello verso la legge federale USA

La situazione attuale

La mancanza della tanto attesa legge federale ha costretto ad agire i singoli Stati nel tentativo di colmare il vuoto legislativo che si era venuto a creare. Ad oggi, sono cinque gli Stati americani che hanno una legislazione privacy completa:

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO
  1. la California (California Consumer Privacy Act – CCPA e California Privacy Rights Act – CPRA);
  2. la Virginia (Virginia Consumer Data Protection Act – VCDPA);
  3. il Colorado (Colorado Privacy Act – CPA);
  4. lo Utah (Utah Consumer Privacy Act – UCPA);
  5. il Connecticut (Connecticut Data Privacy Act – CDPA)

Tra queste, le leggi del Colorado, della Virginia e del Connecticut si focalizzano sulla difesa dei consumatori e hanno molti punti in comune pur presentando significative differenze.

In particolare, è opinione diffusa che il Virginia Consumer Data Protection Act (VCDPA) offra ai consumatori una tutela minore rispetto a Colorado e Connecticut, in quanto ha un occhio di riguardo per le aziende, le quali del resto, in questo Stato, hanno fortemente sostenuto il disegno di legge (soprattutto Amazon, che ha una sede in Virginia, ad Arlington).

Lo Utah Consumer Privacy Act (UCPA), invece, è molto orientato al business e meno al consumatore. La legge Californiana, considerata da sempre come la legge più rigorosa oggi presente negli Stati Uniti, chiaramente ispira al Regolamento Generale della Protezione dei Dati (GDPR) europeo, è anche da tempo considerata il “modello” da prendere ad esempio proprio per la declinazione della legge federale.

Oltre a questi cinque stati, sono molti quelli che attualmente, pur non avendo ancora una propria legge statale, stanno discutendo disegni di legge dedicati alla privacy, chi ispirandosi a una maggior tutela del consumatore, chi a una salvaguardia delle aziende e del business.

(fonte: IAPP).

In mancanza di una legge federale, il panorama non potrà che complicarsi e frammentarsi, rendendo quasi impossibile per le aziende rispondere agli obblighi diversi per ogni Stato, spesso in conflitto tra loro, e per i consumatori far valere i propri diritti, nell’estrema confusione generata da questo moltiplicarsi di norme.

Perché non vi è l’accordo

Alcuni importanti collaboratori del Congresso, parlando allo IAPP Global Privacy Summit 2022 che si è tenuto a Washington a metà Aprile, hanno spiegato quanto il panorama della privacy sia cambiato negli ultimi anni negli Stati Uniti, e i motivi per i quali è così difficile approvare una legge federale. I motivi che impediscono il raggiungimento di un accordo sono sostanzialmente due: la posizione della legge federale rispetto alle leggi statali, e l’esercizio del diritto privato che, se non controllato, potrebbe dar vita a innumerevoli azioni legali da parte di singoli consumatori verso le aziende considerate inadempienti.

Dal canto loro, i Democratici si oppongono all’eventualità di prelazione federale e sono favorevoli all’esercizio del diritto privato. Da sempre gli esponenti democratici vedono di buon occhio le leggi privacy statali e la possibilità di esercitare il diritto privato da parte di un consumatore, il quale sarebbe quindi in grado di citare in giudizio le aziende non virtuose, soprattutto in quei casi in cui le autorità di regolamentazione falliscano.

I Repubblicani, invece, sono di parere opposto: essi sostengono la necessità di avere una legge federale che prevalga su quelle statali, ma nello stesso tempo, temono un aumento esponenziale di azioni legali in ambito privacy da parte di singoli consumatori, eventualmente anche tramite class actions, nonché la complessità crescente per le aziende di doversi conformare a una miriade di leggi statali diverse.

Queste due posizioni, così nette e distanti, oggi non sembrano più così lontane e insormontabili, e sembra esserci la volontà, guidata indubbiamente dalla necessità, di trovare un terreno comune di accordo.

È forse giunto il momento di cambiare

Le informazioni personali degli individui, oggi più che mai raccolte in maniera massiva da un numero sempre maggiore di servizi del mondo digitale, sia che si tratti di piattaforme social, acquisti on line, servizi di messaggistica, sono una risorsa estremamente preziosa per le aziende, che, piccole o grandi che siano, costruiscono i propri modelli di business e opportunità anche grazie allo sfruttamento di questi dati.

Meno restrizioni esistono e maggiori sono le informazioni raccolte, maggiori sono le possibilità di abuso di utilizzo di questi dati.

Grazie anche alla sempre maggiore consapevolezza che i consumatori hanno acquisito negli anni a proposito di queste tematiche, l’abuso, di cui oggi si apprende in maniera più immediata che in passato, anche attraverso il mondo digitale dove tutto scorre veloce, contribuisce a creare quella “sfiducia” tra consumatore e aziende, e a mettere quindi in crisi quel modello di business faticosamente costruito.

Così anche quelle aziende, in maggior parte tecnologiche, che nel passato hanno beneficiato di una tale raccolta dati, oggi si uniscono a chi ha da tempo a cuore la privacy dei dati, associazioni di consumatori e a una considerevole schiera di esponenti politici per chiedere una legge che tuteli contro gli abusi e favorisca il “trust” tra consumatori e aziende, una legge uguale per tutti, indipendentemente dallo Stato di residenza.

Naturalmente, il rapporto tra consumatori, aziende e politica non è esente da possibili conflitti, in quanto se l’obiettivo può apparire simile, le motivazioni e le esigenze sono estremamente differenti.

I lobbisti delle aziende, pur invocando una legge federale uguale per tutti, caldeggiano una legge capace di favorire il business e il mercato digitale e meno restrittiva di quelle statali. D’altro canto, le associazione dei consumatori temono di ottenere una legge federale che “di privacy abbia solo il nome”, come ha dichiarato Evan Greer, direttrice del gruppo per i diritti digitali Fight for the Future.

Le aziende vorrebbero inoltre che la legge federale cancellasse le restrizioni più severe delle singole leggi statali, e che ci fossero guidelines piuttosto che una miriade di singole leggi, a volte anche in conflitto tra loro.

Da un punto di vista politico, le aziende conterebbero anche sul fatto che molto probabilmente il Congresso, in questo particolare momento, produrrebbe una legge a loro più favorevole rispetto alle posizioni della Federal Trade Commission, l’agenzia incaricata dall’amministrazione del presidente Joe Biden di indagare su grandi aziende tecnologiche come Meta (ex Facebook) e Google, e su potenziali violazioni della privacy dei dati e della concorrenza.

Infatti, la FTC, dopo la conferma di pochi giorni fa del Prof. Alvaro Bedoya come quinto commissario, gode al momento di una maggioranza democratica, pari a 3 commissari su 5. Proprio grazie a questa maggioranza democratica, sono molti i lobbysti che temono un intensificarsi delle attività di controllo sull’industria tecnologica da parte della FTC, che secondo quanto riferito, starebbe ad esempio indagando sulla divisione VR di Meta per potenziali violazioni dell’antitrust.

Quindi l’intervento del Congresso è quanto mai auspicabile per le grandi aziende tecnologiche, nella speranza che sia a loro favorevole.

Una interessante azione per sensibilizzare l’opinione pubblica, che sta anche a testimoniare quanto il tema sia importante, è stata quella del Consorzio “United for Privacy – Ending the Privacy Patchworld”, che vede riunite alcuni importanti gruppi tecnologici e industriali, e che ha recentemente avviato una campagna (“Call to Action”), identificata dall’hashtag #UnitedForPrivacy, per chiedere la stesura di una “legge nazionale sulla privacy”, chiedendo ai singoli cittadini e consumatori di supportare tale richiesta in tutti i modi possibili ( attraverso singoli interventi, post su blog, interviste, petizioni ecc.).

Le due grandi questioni, prevalenza della legge federale su quelle statale e diritto privato, oggi non sembrano più così distanti e irraggiungibili: in particolare, sembra possibile un’intesa “a metà”: nello specifico, le due ipotesi sulle quali si sta lavorando sono:

  1. nel caso di una legge federale prevalente sulle leggi statali, ciò non includerebbe le leggi statali già esistenti;
  2. nel caso del diritto privato, la possibilità per il consumatore di citare in giudizio un’azienda per violazione della privacy avverrebbe solo in specifiche circostanze, anche nel caso di violazioni ripetute.

Lungi dall’essere risolte, le due questioni non costituirebbero più un ostacolo insormontabile lasciando quindi aperta la strada per la stesura della tanto attesa legge federale sulla privacy. L’intenzione sempre quindi essere quella di arrivare a un accordo che permetta la creazione di una legge privacy “uguale per tutti” anche se probabilmente con “luci e ombre”, in quanto il rischio è quello di fare una legge poco efficace e che, dovendo coesistere con le leggi statali già presenti, potrebbe complicare anzichè semplificare il già complesso quadro normativo americano.

GDPR modello a cui gli Stati Uniti vogliono ispirarsi?

Il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo è stato a lungo considerato il modello a cui tendere. La stessa legge privacy Californiana si è ispirata fortemente a tale modello. Eppure sono in molti negli Stati Uniti a mettere in dubbio, oggi, l’efficacia del Regolamento europeo, in particolare considerando che l’adozione del GDPR non ha comunque rallentato o circoscritto il vantaggio economico e il predominio dei grandi giganti tecnologici.

Durante lo IAPP Global Privacy Summit, Syd Terry, capo di staff della rappresentante dell’Illinois Jan Schakowsky, ha commentato: ”abbiamo visto il potere delle grandi aziende tecnologiche crescere in Europa dopo il GDPR. Se la legge sulla privacy qui [negli Stati Uniti] producesse un risultato simile” – ha affermato – “lo considererei un fallimento”.

Si tratta di un’opinione personale, perché c’è da chiedersi quanto i paesi europei sarebbero più poveri, in termini sociali e democratici, senza una legge sulla protezione dei dati come il GDPR.

Ma, indubbiamente, ciò sta a rappresentare quanto la discussione sul modello di legge federale da adottare sia un punto aperto negli Stati Uniti, e per niente scontato.

I tempi potrebbero essere maturi

Il momento storico, economico e politico attuale è estremamente delicato – il conflitto in Ucraina, il calo dei sondaggi del presidente Joe Biden, le elezioni di medio termine, le crisi umanitarie, la pandemia Covid-19 ancora in corso – ma i presupposti per la ricerca e il raggiungimento di un accordo di compromesso su una legge privacy federale americana ci sono tutti.

Di recente, è stato reso noto, senza che fossero forniti ulteriori dettagli, che i colloqui tra i diversi schieramenti politici nel Congresso sono ripresi, a riconferma della volontà di trovare una soluzione “di mezzo”. Certamente, non è la prima volta che il Congresso tenta il raggiungimento di un accordo, aspettativa che poi non riesce a mantenere. Eppure, questa volta, i tempi per una legge privacy federale americana sembrano maturi.

WHITEPAPER
Canale ICT: 5 misure di successo automatizzare il business
Sicurezza
Software
@RIPRODUZIONE RISERVATA

Articolo 1 di 5