Legge federale USA sulla privacy: gli ostacoli nell’approvazione di una normativa unitaria - Cyber Security 360

L'IMPASSE

Legge federale USA sulla privacy: gli ostacoli nell’approvazione di una normativa unitaria

Le prospettive di approvare una legge federale USA sulla privacy durante l’amministrazione Biden non sembrano essere delle migliori, anche se una normativa unitaria sarebbe di aiuto nel difficile processo in atto tra Stati Uniti e Unione Europea per regolamentare i trasferimenti dei dati personali. Il punto

16 Giu 2021
B
Monica Belfi

Avvocato, Legal Specialist/GDPR and Data Protection Specialist

Mentre la Cina approva la legge sulla sicurezza dei dati[1] per rafforzare il controllo sulle informazioni digitali, gli Stati Uniti sembrano aver rallentato il processo per la definizione di una normativa federale US dedicata alla protezione dei dati personali.

Biden, che non ha quasi mai parlato pubblicamente di privacy da quando ha assunto l’incarico, ha, però, da poco nominato il presidente della Federal Trade Commission (FTC), la principale autorità di protezione dei consumatori, che potrebbe svolgere un ruolo cruciale per garantire anche la privacy degli interessati.

Legge statunitense sulla privacy: la prima mossa di Biden

Con l’elezione di Joe Biden sembrava potersi concretizzare l’idea di un’unica normativa US sulla privacy che potesse semplificare gli obblighi in capo alle imprese, che attualmente devono conformarsi a un complicato mosaico di leggi locali e porre dei limiti forti al potere della Silicon Valley, ma i propositi iniziali sembra abbiano incontrato ostacoli capaci di rallentarli.

Il Comitato del Commercio del Senato non ha ancora programmato audizioni imminenti né altre attività che abbiano ad oggetto la legge federale sulla privacy[2].

La scelta di Biden per la presidenza della FTC sembra, però, ribadire l’intenzione di effettuare profondi cambiamenti nell’applicazione delle leggi antitrust e rafforzare la tutela dei consumatori: è, infatti, ricaduta su Lina Khan, che ha prestato giuramento il 15 giugno scorso e resterà in carica fino al 25 settembre 2014. “Il Congresso ha creato la FTC per salvaguardare la concorrenza leale e proteggere i consumatori, i lavoratori e le imprese oneste dalle pratiche sleali e ingannevoli”, ha dichiarato Lina Khan su Twitter dopo la sua nomina[3].

Il ritardo nella nomina ha creato incertezza sull’approccio dell’amministrazione sulla protezione della concorrenza e il presidente non ha ancora nominato nessuno per dirigere la divisione antitrust del Dipartimento di Giustizia. Peraltro, pochi giorni fa, diversi deputati statunitensi hanno presentato al Congresso cinque disegni di legge in materia di antitrust, con possibili risvolti determinanti sulle Big Tech americane.

L’idea iniziale era che Biden avrebbe fatto della privacy una delle sue priorità, ma mentre in passato il Congresso aveva tenuto diverse audizioni sul tema, non ne sono state programmate nei mesi scorsi e non sembrano essere in programma nel prossimo futuro, nonostante i problemi di sottrazione dei dati personali acuiti con la pandemia e il recente data breach di Facebook, che ha coinvolto mezzo miliardo di utenti.

Facebook, pubblici i dati di 36 milioni di italiani: come possiamo difenderci

L’intenzione di dotarsi di una legge federale è tornata alla ribalta più volte e si è concretizzata in diversi progetti di legge presentati al Congresso, da ultimo il U.S. Setting an American Framework to Ensure Data Access, Transparency, and Accountability Act o Safe Data Act , proposto nel settembre 2020, che rappresenta la più recente fase dell’evoluzione della legislazione federale sulla privacy e combina le previsioni contenute in tre proposte legislative precedentemente introdotte: il progetto di discussione del “U.S. Consumer Data Protection Act”, il “Filter Bubble Transparency Act” e il “Deceptive Experiences To Online Users Reduction Act” (DETOUR Act).

Gli ostacoli per la legge statunitense sulla privacy

Democratici e Repubblicani continuano a non essere d’accordo su principi cardine del testo di normativa federale.

Sebbene ci sia accordo sul molti punti, tra cui la necessità di porre limiti e regole al trattamento dei dati personali da parte delle aziende tecnologiche, di fornire ai soggetti interessati in modo chiaro informazioni esaustive sui trattamenti, di rafforzare il potere di controllo dei consumatori sui propri dati e garantire i diritti degli interessati, non sembra ci sia ancora un avvicinamento tra repubblicani e democratici sulla cosiddetta Section 230 del Communications Decency Act, che impedisce alle aziende di social media di essere citate in giudizio per ciò che i loro utenti pubblicano: mentre i repubblicani accusano le piattaforme di censurare le voci conservatrici e vorrebbero limitare il potere dei siti web di eliminare i contenuti, i democratici sostengono la necessità di prevedere un obbligo a carico delle piattaforme di eliminare il materiale pericoloso e la disinformazione.

Biden aveva assunto una chiara posizione sul tema, proponendo di revocare lo “scudo legale” garantito dalla Sezione 230[4]. Inoltre, risulta ancora da chiarire se la legge federale dovrà prevalere sulle norme statali: la proposta di legge dei democratici non prevarrebbe sulle leggi statali o locali, mentre la proposta di legge repubblicana lo farebbe.

Ulteriore punto di disaccordo risulta l’eventuale diritto da accordare ai consumatori di citare in giudizio le aziende in caso di violazione della privacy; in questo caso, i democratici sostengono il diritto degli individui di citare in giudizio le aziende, aprendo, così, alle class action, mentre secondo i repubblicani dovrebbe essere solo l’Attorney General a procedere contro i trasgressori[5].

Il progredire del processo di definizione della legge federale ha incontrato altri ostacoli: oltre alla mancanza di urgenza da parte del presidente Joe Biden, ha interferito la crescente preoccupazione per le minacce alla privacy dalla Cina, che pure si vorrebbe dotare di una normativa dedicata (il secondo draft della Personal Information Protection Law era in consultazione pubblica fino al 28 maggio 2021).

Samm Sacks, senior fellow al Paul Tsai China Center della Yale Law School, specializzato in geopolitica della privacy dei dati ha affermato: “Stiamo legiferando sulla privacy attraverso gli sforzi per vietare la tecnologia cinese”[6], e ha aggiunto che concentrarsi eccessivamente sulla Cina porta il rischio di non distinguere più tra privacy, sicurezza e competitività economica, con la conseguenza di tardare ad affrontare e regolamentare aspetti rilevanti come le enormi quantità di dati personali degli utenti raccolti e monetizzati dalle Big Tech.

Data protection in Cina, nuovi obblighi e sanzioni: così evolve la legge privacy

Disciplina privacy negli USA: un mosaico di normative

Attualmente, la disciplina della privacy negli Stati Uniti è contenuta in diverse normative federali e statali, molte delle quali principalmente orientate alla tutela dei consumatori. Recentemente sono nate diverse iniziative locali al fine di assicurare maggiore protezione per i dati personali.

Dopo la California, con il CCPA e il successivo CPRA, Colorado Washington ha presentato un disegno di legge (Washington Privacy Act), così come il Colorado, mentre lo stato della Virginia ha approvato una normativa specifica (Virginia Consumer Data Protection Act, CDPA) e lo Utah ha definito il House Bill 243.

Anche New York sta valutando una nuova normativa specifica, con diversi disegni di legge al vaglio, tra cui il New York Privacy Act. IAPP (International Association of Privacy Professionals), a seguito di un’analisi sugli sviluppi della legislazione sulla privacy negli Stati Uniti ha racchiuso i risultati in alcune infografiche che mostrano la rapida crescita delle iniziative sulla privacy a livello statale dal 2018 ad oggi.

La nuova legge californiana CPRA estende i diritti dei consumatori e si allinea maggiormente al GDPR, istituendo il primo organismo nazionale dedicato alla regolamentazione e all’applicazione della normativa a tutela della privacy, la California Privacy Protection Agency (CCPA). Questo approccio ha fatto sperare in un’accelerazione nella definizione di principi federali applicabili in tutti gli stati, che possano non solo garantire maggiori tutele ai consumatori, ma anche aiutare le aziende nell’individuazione degli oneri da porre in essere per garantire la compliance alle normative.

Conclusioni

Una normativa unitaria sarebbe di aiuto anche nel difficile processo in atto tra Stati Uniti e Unione Europea per regolamentare i trasferimenti dei dati personali, insieme alle numerose richieste avanzate da importanti organizzazioni degli Stati Uniti a tutela della privacy, dei diritti civili e dei consumatori sulla promozione della tutela della privacy e l’adozione di una norma federale unitaria, sull’istituzione di un’Autorità per la protezione dei dati personali, sulla trasparenza degli algoritmi e la protezione contro le discriminazioni potrebbero incoraggiare i diversi schieramenti a trovare un compromesso, anche alla luce delle richieste di riformare le leggi sulla sorveglianza U.S.A., cessare la raccolta massiva condotta nell’ambito dell’EO 12333 e ampliare il ruolo della corte FISA nella sorveglianza ai sensi dell’EO 12333 e dell’articolo 702 in risposta alla sentenza della Corte di giustizia europea che invalida l’accordo sul Privacy Shield UE-USA.

Il Parlamento europeo, nella recente risoluzione del 20 maggio scorso, ha auspicato una riforma delle leggi e delle prassi statunitensi in materia di sorveglianza e ha sottolineato l’importanza di un accordo con gli Stati Uniti, al fine di garantire, in particolare, che l’accesso da parte delle autorità di sicurezza ai dati trasferiti dall’UE sia limitato solo a quanto necessario e proporzionato e che gli interessati europei abbiano accesso a un effettivo ricorso giudiziario dinanzi ai tribunali statunitensi.

Auspicabilmente, il fatto che l’attuale amministrazione US abbia nominato un esperto di privacy a capo delle negoziazioni con l’UE per individuare un meccanismo sostitutivo del Privacy Shield, dimostra un impegno concreto ad addivenire ad un accordo che risolva la strategica questione dei trasferimenti di dati tra Unione Europea e Stati Uniti.

 

NOTE

  1. China’s New Data Law Gives Xi the Power to Shut Down Tech Firms.

  2. A U.S. privacy law seemed possible this Congress. Now, prospects are fading faste, Alexandra S. Levine.

  3. Lina Khan, Critic of Large Tech Firms, to Lead Federal Trade Commission, Brent Kendall.

  4. Biden Is Expected to Keep Scrutiny of Tech Front and Center, by Cecilia Kang, David McCabe and Jack Nicas, The New York Times

  5. What to expect in state and federal privacy regulation in 2021, Kate Kaye.

  6. A U.S. privacy law seemed possible this Congress. Now, prospects are fading fast, Alexandra S. Levine.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4