Diritto alla cancellazione, abrogazione del Consumer Privacy Fund, modifica della definizione di “organizzazione senza scopo di lucro”. L’11 aprile 2022, il governatore della Virginia Glenn Youngkin ha firmato tre progetti di legge di modifica del Virginia Consumer Data Protection Act – VCDPA.
I tre progetti di legge entreranno in vigore il primo luglio 2022, ben prima del primo gennaio 2023, data pianificata per l’entrata in vigore del VCDPA.
Indice degli argomenti
L’iter normativo
Quando il 2 marzo 2021 i legislatori della Virginia hanno approvato il VCDPA, la Virginia è diventata il secondo stato degli Stati Uniti (dopo la California) ad approvare un disegno di legge sulla privacy, con l’obiettivo di garantire maggiori diritti ai consumatori e imporre chiari obblighi alle aziende sulla protezione dei dati.
Sebbene il disegno di legge contenesse molti dei principi già presenti nel California Consumer Privacy Act (CCPA), e fosse sostenuto da molte aziende tecnologiche, tra le quali Amazon, è apparso fin da subito offrire tutele minori rispetto alla legge californiana, considerata la più rigorosa negli Stati Uniti, tale da essere additata come esempio da seguire per la tanto attesa e mai realizzata legge federale sulla privacy.
Prima dell’approvazione del disegno di legge, un emendamento aveva previsto la creazione di un Gruppo di Lavoro con lo scopo di “esaminare le disposizioni [del VCDPA] e le questioni relative alla sua attuazione” e presentare un rapporto entro il 1 novembre 2021. Dopo numerosi incontri, il Gruppo di Lavoro, nella sua relazione finale, ha individuato ben 17 “punti di enfasi” senza però proporre alcuna modifica al testo del VCDPA.
A partire dal 12 gennaio 2022, i legislatori della Virginia hanno quindi presentato ben otto progetti di legge volti a modificare il VCDPA, anticipandone l’entrata in vigore. Dal momento che alcuni dei progetti di legge erano identici o sovrapponibili tra loro, solo alcuni sono arrivati sul tavolo del governatore.
Digital services act: molti vantaggi per utenti ed Europa, ma sarà una sfida attuare le nuove norme
Le novità introdotte nel VCDPA
Queste le tre modifiche apportate al testo del VCDPA:
- Estensione delle eccezioni al “diritto alla cancellazione” (HB 381) gia presenti nel VCDPA Nel dettaglio, un titolare del trattamento.che ha ottenuto i dati di un consumatore in maniera indiretta è considerato soddisfare il requisito quando (i) conserva una registrazione della richiesta di cancellazione e i dati strettamente necessari a dimostrare che tali dati siano stati cancellati e non utilizzati per uno scopo diverso, e (ii) esclude i dati del consumatore da qualsiasi trattamento a parte quelli previsti dalle esenzioni del VCDPA.
- Abrogazione del Consumer Privacy Fund (SB 534). precedentemente stabilito dal VCDPA Inoltre, tutte le “sanzioni civili, costi e spese legali raccolte ai sensi del [VCDPA] devono essere versate alla tesoreria statale e accreditate al Regulatory, Consumer Advocacy, Litigation and Enforcement Revolving Trust Fund.
- Modifica della definizione di “organizzazione senza scopo di lucro” (SB 534) per includere anche le organizzazioni politiche e qualsiasi organizzazione esente da tassazione ai sensi dell’ Internal Revenue Code 501(c) (3). Una “organizzazione politica” viene definita nei progetti di legge come “un partito, comitato, associazione, fondo o altra organizzazione…organizzata e gestita principalmente allo scopo di influenzare o tentare di influenzare la selezione, la nomina, l’elezione o la designazione di qualsiasi individuo a qualsiasi ufficio pubblico federale, statale o locale in un’organizzazione politica o all’elezione di un elettore presidenziale/vicepresidenziale, indipendentemente dal fatto che tale individuo o elettore sia selezionato, nominato, eletto o designato”
Impatti sul VCDPA
L’abrogazione del Consumer Privacy Fund era uno dei 17 “punti di enfasi” evidenziato dal Gruppo di Lavoro nel proprio report conclusivo ed è stato raccolto dai legislatori della Virginia, così come la ridefinizione delle organizzazioni “no profit”.
Ricordiamo anche che il Gruppo di Lavoro aveva invitato i legislatori a riflettere sulla definizione di “dato sensibile”, in particolare se fosse il caso di includere in tale definizione il “dato demografico” utilizzato per promuovere le diversità di genere e raggiungere le popolazioni svantaggiate.
Questo punto parte dal presupposto che sarebbe vantaggioso per tali popolazioni che i propri dati demografici sensibili forssero raccolti ed elaborati dalle organizzazioni. Siccome attualmente il VCDPA prevede la raccolta del consenso per i dati sensibili, questo limiterebbe notevolmente tali attività. Uno degli otto progetti di legge proposti dai legislatori della Virginia, che non è incluso in questo pacchetto di modifiche, riguardava proprio la definizione dei dati sensibili (H 1259) ma si concentrava sulla valutazione di quando un tale dato debba essere considerato “sensibile”, senza pertanto raccogliere l’invito del Gruppo di Lavoro.
I diritti dei consumatori
Anche riguardo ai diritti dei consumatori, l’invito del Gruppo di Lavoro a modificare il “diritto alla cancellazione” in un “diritto di opt out alla vendita” non è stato raccolto. I legislatori della Virginia lo hanno sì modificato ma soltanto per quanto riguarda l’introduzione di nuove eccezioni riguardanti i titolari del trattamento.
Nei disegni di legge proposti e trasformati in legge non c’è nemmeno traccia di altri punti importanti evidenziati dal Gruppo di Lavoro, come l’assenza di una autorità titolata a modificare il VCDPA – in base al testo attuale, non viene consentito al procuratore generale di promulgare regolamenti – il che potrebbe risultare problematico nei prossimi anni, oppure l’introduzione di misure specifiche atte a tutelare i dati personali dei bambini.
Pertanto, sebbene le modifiche introdotte in parte raccolgano le indicazioni del Gruppo di Lavoro tanti sono i punti ancora aperti che meriterebbero una risposta da parte dei legislatori della Virginia.
