DATA PROTECTION

Utah Consumer Privacy Act (UCPA): ecco i nuovi obblighi di protezione dati per le aziende

Lo Utah, con il Consumer Privacy Act, è il quarto stato americano a dotarsi di una nuova normativa sul trattamento dei dati personali che definisce principi e obblighi per i titolari e i responsabili del trattamento e introduce nuovi diritti dei consumatori. Ecco tutti i dettagli

23 Mar 2022
G
Nadia Giusti

Data Protection & Cybersecurity Expert

Salvo sorprese, entro il 24 marzo 2022, il senatore dello Utah Spencer J. Cox dovrebbe approvare il disegno di legge (Senate Bill) 229, noto come lo Utah Consumer Privacy Act (UCPA).

Se questo accadrà, lo Utah diventerà il quarto stato americano ad approvare un disegno di legge sulla privacy, che entrerà in vigore il 31 dicembre 2023, dopo quelli della California (California Consumer Privacy Act – CCPA e California Privacy Rights Act – CPRA), Virginia (Virginia Data Privacy Act – VCDPA) e Colorado (Colorado Privacy Act – CPA).

I dettagli dello Utah Consumer Privacy Act

Più in dettaglio, il disegno di legge dello Utah si ispira nettamente al VCDPA, il Consumer Data Privacy Act della Virginia. In base a quanto contenuto nel disegno di legge, il Consumer Privacy Act si applicherebbe ai titolari e responsabili del trattamento che (v. UCPA 13-61-102 Applicability):

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza
  • conducono affari nello Utah oppure
  • forniscono prodotti o servizi a consumatori residenti nello Utah da cui ricavano un fatturato annuo di 25 milioni di dollari o più, e soddisfano uno o più dei seguenti criteri:
  1. controllano o elaborano dati personali di 100.000 o più consumatori;
  2. ottengono il 50% dei propri ricavi dalla vendita dei dati personali di 25.000 o più consumatori.

Diverse sono i contesti in cui l’UCPA non si applicherebbe, in particolare alle agenzie governative, alle imprese che hanno stipulato contratti con agenzie governative, alle imprese senza scopo di lucro, alle entità e alle informazioni coperte dall’Health Insurance Portability and Accountability Act del 1996 (HIPPA), alle informazioni coperte dal Family Educational Rights and Privacy Act (FERPA), alle istituzioni finanziarie e alle informazioni coperte dal Gramm -Leach-Bliley Act (GLBA), ai rapporti di lavoro e a quelli business-to-business.

In generale, possiamo notare che l’UCPA contiene diverse disposizioni analoghe alle altre leggi privacy statunitensi. Ad esempio, per quanto riguarda i diritti attribuiti ai consumatori, ritroviamo (v. UCPA 13-61-201 Consumer rights — Access — Deletion — Portability — Opt out of certain processing):

  1. diritto di accesso (Right to Access): i consumatori hanno il diritto di avere conferma che un Titolare del Trattamento sta elaborando i loro dati e il diritto di accedere ai questi dati;
  2. diritto di cancellazione (Right to Deletion): i consumatori hanno il diritto di far cancellare i propri dati personali forniti a un Titolare del Trattamento;
  3. diritto alla portabilità dei dati (Right to Portability): i consumatori hanno il diritto di ottenere una copia dei propri dati personali forniti a un Titolare del Trattamento in un formato tale che essi siano facilmente portabili, utilizzabili e trasmissibili ad altri Titolari del Trattamento;
  4. diritto di Opt Out: i consumatori hanno il diritto di opporsi al trattamento dei propri dati quando questi dati vengono trattati per la pubblicità mirata o la vendita degli stessi.

Cosa cambia nella gestione dei reclami

Una novità presente nel disegno di legge, riguarda la modalità di gestione dei reclami. Analogamente a Virginia e Colorado, un consumatore non potrà esercitare il proprio diritto direttamente, ma solo tramite l’Ufficio del Procuratore Generale dello stato (v. UCPA 13-61-402. Enforcement powers of the attorney general), il quale, su istanza della Division of Consumer Protection, cui spetta il compito di accettare e indagare le denunce dei consumatori, potrà richiedere un risarcimento, a nome del consumatore, fino a $ 7.500 per violazione o per danni effettivi, fornendo però al titolare del trattamento un preavviso di 30 giorni per consentirgli di sanare eventuali violazioni.

Notiamo, però, che solo quando la Division of Consumer Protection riterrà, a valle di una indagine, che ci sia stata una violazione, il reclamo del consumatore giungerà all’ufficio del Procuratore Generale ma l’azienda avrà comunque ancora 30 giorni di tempo per mettersi in regola: quindi, anche se trovate inadempienti, le aziende avranno tutto il tempo per adeguarsi al regolamento senza incorrere in multe, poiché nel caso in cui i titolari (e i responsabili) pongano rimedio alla violazione nel periodo dei 30 giorni, e non si verifichino ulteriori violazioni, il procuratore non avvierà alcuna azione.

Tutto ciò va nella direzione di incentivare poco le aziende alla conformità “a priori”.

Gli ambiti non trattati dallo Utah Consumer Privacy Act

Molteplici, inoltre, sono gli aspetti assenti nel disegno di legge.

Il diritto di rettifica

Il diritto di rettifica, sancito dall’art.16 del Regolamento 2016/679 o Regolamento Generale sulla Protezione dei Dati (GDPR), si riferisce alla capacità di un consumatore di richiedere a un Titolare del Trattamento la rettifica dei dati personali inesatti che lo riguardano.

Esso non è presente nel VCDPA, CPA e nemmeno nel CCPA, ma è invece stato inserito nel California Privacy Rights Act o CPRA (v. Section 1798.106), che si ispira fortemente al GDPR europeo.

La scelta del legislatore dello Utah è stata quella di non includere questa disposizione, che, da una parte, indubbiamente richiede importanti “sforzi” al titolare del trattamento, che deve fornire informazioni ai consumatori su come esercitare questo diritto, mettere a loro disposizione una modalità per effettuare la richiesta di rettifica e mettere in atto “sforzi commercialmente ragionevoli” (“commercially reasonable efforts”) per rettificare/correggere le informazioni imprecise, ma che, dall’altra, rappresenta anche uno dei modi per ridurre le possibilità di lesione dei diritti dei consumatori stessi.

La valutazione del rischio

Un altro aspetto assente per lo Utah è la necessità, da parte dei titolari del trattamento di condurre e documentare valutazioni di rischio sulle modalità di trattamento dei dati personali; lo Utah non richiederà a costoro nemmeno di impostare meccanismi di consenso prima di elaborare i dati dei consumatori, a condizione che i consumatori vengano informati chiaramente su come poter rinunciare al trattamento.

Anche le disposizioni relative ai “dark pattern”, ovvero strategie appositamente progettate per guidare l’utente verso comportamenti da lui non realmente desiderati, non trovano spazio nell’UCPA.

Gli oneri a carico dei consumatori

Rispetto invece alla possibilità di addebitare oneri ai consumatori, nell’ambito delle leggi statali statunitensi sulla privacy, esistono circostanze in cui i titolari del trattamento possono addebitare commissioni per soddisfare le richieste dei consumatori se le richieste sono “manifestamente infondate, eccessive o ripetitive” (Virginia) o se vengono presentate più richieste in un periodo di 12 mesi (Colorado).

In aggiunta, i titolari del trattamento nello Utah potranno addebitare una commissione anche quando essi “riterranno ragionevolmente che lo scopo della richiesta del consumatore è qualcosa di diverso dall’esercizio di un diritto” (v. UCPA 13-61-203. Controller’s response to requests) o se la richiesta impone un indebito onere per l’impresa.

Utah Consumer Privacy Act: un punto di partenza

Quello che emerge in maniera evidente da questo disegno di legge, è che “non impone regolamenti onerosi, ma riduce in modo significativo quelle disposizioni più onerose che si trovano in analoghe legislazioni “, ha affermato il senatore Kirk Cullimore, sponsor dell’UCPA negli ultimi due anni e mezzo. “Il disegno di legge compie un atto di equilibrio concentrandosi sui consumatori dello Utah e sui loro diritti, non sulla burocrazia che confonde le imprese e i consumatori… Crea uno standard praticabile per le imprese e chiarezza per i consumatori dello Utah”.

Il Senatore Cullimore ha anche aggiunto “Questo disegno di legge non è perfetto, ma è un buon punto di partenza con cui tutti, aziende e consumatori, possono convivere. Cercheremo sicuramente di modificarlo con il passare degli anni, ne sono sicuro”.

In realtà, il modello “Virginia”, a cui lo UCPA si ispira, è stato ritenuto da tempo troppo favorevole alle imprese con una percepita mancanza di rigore e con l’omissione di un diritto di azione privato. Con il disegno di legge dello Utah, i sostenitori dei consumatori rimangono ancora una volta delusi.

È questa, quindi, la strada che oggi gli Stati Uniti vogliono seguire?

Un paio di anni fa, quando il California Consumer Privacy Act fu approvato, il 1 Gennaio 2020, si pensava che quello sarebbe stato il modello da prendere ad esempio per la legge federale statunitense. I Californiani acquisivano finalmente diritti certi sui propri dati che aziende come Facebook, Google, e altri giganti tecnologici raccoglievano su di loro in maniera impropria e non tutelata.

Teniamo poi a mente che l’Unione Europea generalmente non consente l’esportazione di dati personali a meno che il paese ricevente non fornisca un “livello adeguato” di protezione dei dati, come conferito da una “decisione di adeguatezza” (GDPR Art. 45) della Commissione Europea.

Gli Stati Uniti non hanno mai ricevuto una decisione di adeguatezza, quindi le società statunitensi si sono affidate principalmente ad accordi quali il “Safe Harbor” prima e successivamente il “Privacy Shield” oppure alle clausole contrattuali standard (SCCs, GDPR Art. 46) per fornire il “livello adeguato”.

Sfortunatamente, in una decisione emessa il 16 Luglio 2020, la sentenza Schrems II, la Corte di giustizia europea ha respinto l’accordo Privacy Shield e ha anche messo in discussione l’efficacia delle Clausole Contrattuali Standard (che sono state successivamente modificate dalla Commissione Europea).

Ciò ha causato una comprensibile apprensione nella comunità imprenditoriale internazionale. Ma la California, grazie al rigore della sua legge, potrebbe ambire a ricevere una decisione di adeguatezza da parte della Commissione europea: in questo caso, essa fornirebbe alle imprese californiane un vantaggio considerevole e indubbiamente indurrebbe altri stati americani ad adottare una legislazione sulla privacy simile al CPRA.

Di fatto, lo stato California con le sue leggi sulla privacy estremamente rigorose, ha riempito il vuoto legislativo lasciato dal Congresso. I legislatori di dei diversi stati hanno affermato da tempo che sarebbero favorevoli a sostenere una legge nazionale sulla privacy. Ma i negoziati si sono arenati, in parte anche a causa della disputa se la legge federale andrà a sostituire tutto o in parte le leggi statali, e la discussione è diventata ancora più difficile dal momento che oggi sono molti gli stati ad avere emanato, o essere sul punto di farlo, leggi sulla privacy.

In attesa delle leggi privacy si altri stati americani

Lo Utah sarà solo il prossimo stato americano ad approvare una tale legge, ma non sarà certamente l’ultimo. Attualmente, più di 30 stati hanno introdotto progetti di legge sulla privacy dei dati simili e ci stanno lavorando, come Indiana, Florida, Oklahoma e Wisconsin.

Tuttavia, gli esiti di questi percorsi non sono prevedibili: si veda il caso del Connecticut e del Tennessee. La General Assembly’s General Law Committee del Connecticut ha votato il 15 marzo 2022 il Disegno di Legge (Senate Bill) 6, una legge sulla privacy dei dati personali e il monitoraggio on line degli stessi, con il risultato di 14-4: ora il disegno di legge è all’analisi dell’aula del Senato per ulteriori dibattiti e considerazioni. Si tratta di un disegno di legge molto più simile al Colorado Privacy Act (CPA) rispetto alle leggi della Virginia o alla proposta di legge dello Utah.

Del tutto diversa la situazione in Tennessee, dove sempre nello stesso giorno, il 15 marzo 2022, il Disegno di Legge (Senate Bill) 1554 è stato bocciato con il risultato di 6-3, perché considerato troppo gravoso per le imprese, e dove i modelli di Virginia e Utah sono stati considerati inadeguati per il Tennessee. In questo caso il disegno di legge proposto comprendeva molte disposizioni simili a quelle che si trovano nel CCPA, nel VCDPA e nel CPA, con l’obiettivo generale di proteggere la privacy dei dati dei consumatori del Tennessee.

Conclusioni

Mentre assistiamo quindi al proliferare di leggi sulla privacy negli stati americani, anche molto diverse tra loro, in California, dove la legge sulla privacy è già estremamente rigorosa, siamo testimoni della nascita di una nuova agenzia, la California Privacy Protection Agency (CPPA), un ente composto da 30 persone e con un budget annuale di 10 milioni di dollari (5 milioni di dollari nel primo anno fiscale e 10 milioni di dollari in ogni anno fiscale successivo): tra i suoi principali obiettivi, quello di limitare la raccolta dei dati on Line e il potere dei giganti tecnologici.

La California Privacy Protection Agency nasce dal California Privacy Right Act del 2020, che come abbiamo detto ha enormemente irrobustito i diritti dei consumatori californiani, e proprio grazie all’introduzione del “Diritto di Rettifica”, per il quale il procuratore generale fu incaricato di mettere in atto regole e metodi per citare in giudizio i Titolari del Trattamento che ne avevano violato i termini.

Il GDPR europeo richiede che ogni Stato membro disponga di un'”autorità di controllo” il cui compito è quello di vigilare sull’applicazione dei principi e delle norme del regolamento stesso. La Privacy Protection Agency della California sarà la prima agenzia dedicata alla privacy del suo genere negli Stati Uniti, ed è estremamente simile al concetto di “autorità di controllo” espresso nel GDPR.

Anche Wojciech Wiewiorowski, il Garante europeo della protezione dei dati (EDPS), ha espresso un parere positivo, affermando di vedere nell’agenzia “un alleato potenzialmente fruttuoso per tenere a freno i giganti della tecnologia”.

Il budget annuale di 10 milioni di dollari destinato alla nuova agenzia è indubbiamene una cifra considerevole, ma impallidisce rispetto ai 76 miliardi di dollari di profitto di Google del 2021. E molte aziende tecnologiche che potrebbero essere indagate dall’Agenzia, hanno anche interessi in ambito statale.

L’agenzia “sarà soggetta a una certa pressione politica”, ha affermato Tracy Rosenberg, direttore esecutivo di Media Alliance. L’agenzia, dal canto suo, ritiene di poter esercitare la propria indipendenza grazie alla propria struttura, dove i membri del consiglio che non percepiscono emolumenti vengono nominati separatamente da quelli eletti.

Il primo compito dell’agenzia sarà trasformare la legge statale sulla privacy, che come sappiamo è articolata, in regolamenti dettagliati per il settore dell’industria. Ciò comprende sia l’utilizzo dei dati per la pubblicità mirata, sia come gli algoritmi utilizzano le informazioni personali per prendere decisioni automatizzate.

Ashkan Soltani, il direttore esecutivo della Privacy Protection Agency ha detto, a proposito della costituzione della nuova agenzia: “Stiamo costruendo la macchina mentre la guidiamo”.

Alla fine l’approccio Californiano avrà la meglio sulle altre legge della privacy diffuse nel paese e si arriverà a una legge federale condivisa? Oppure si procederà verso molteplici leggi privacy statali, simili al modello “Virginia”, ma diverse paese per paese?

Non dimentichiamo, infine che, sebbene la California abbia una legge privacy che ha le carte in regola per essere considerata “adeguata”, le leggi statunitensi sullo “spionaggio” – come la sezione 702 del Foreign Intelligence Surveillance Act, l’ordine esecutivo 12333 e la direttiva sulla politica presidenziale 28 – e il Clarifying Lawful Overseas Use of Data Act (CLOUD Act) –  che fornisce alle forze dell’ordine statunitensi la possibilità, in particolari circostanze, di richiedere i dati archiviati sia negli Stati Uniti che all’estero – continuano a valere, come per ogni altro stato degli Stati Uniti, anche per la California.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA