• Privacy

21 giugno 2019

Il Gdpr “ispira” anche gli Usa, ma il cammino verso una legge federale è lungo

di Barbara Calderini

Gli Stati Uniti potrebbero presto varare una legge federale sulla privacy per porre fine al patchwork normativo attuale. Seguirebbero così la scia innescata col Gdpr dall’Europa che prima di tutti ha compreso l’importanza della fiducia dei cittadini per lo sviluppo dell’economia digitale e promosso strumenti giuridici a sostegno e garanzia dei valori fondativi delle società.

Una tendenza, per altro già colta anche da alcuni Stati Usa, tra cui California, Nevada, Maine e, ultimo in ordine di tempo, New York che con il NY Privacy Act, di cui parleremo ampiamente di seguito, consentirebbe a qualsiasi cittadino dello Stato la possibilità di citare in giudizio le aziende in caso di trattamenti illegittimi dei dati personali.

Sta emergendo, insomma, una certa volontà della politica di riappropriarsi della sovranità in parte perduta, e la tutela della privacy in special modo viene interpretata e valorizzata attraverso meccanismi appunto di “sovranità dei dati”.

Tuttavia, anche se il vento sembra stia cambiando, ancora oggi investire nella protezione dei dati personali e contestualmente nell’economia dei dati anche non personali (Dati Inferiti) non trova adeguata collocazione e condivisione da parte dei decisori politici e di certo oltreoceano non si riuscirà a addivenire a una normativa federale prima delle elezioni presidenziali del 2020.

 

Usa, big tech nel mirino dell’antitrust

E’ notizia recente che la commissione Giustizia della Camera statunitense ha annunciato l’apertura di un’indagine sulla “concorrenza nel mercato digitale” che coinvolge i big della Silicon Valley. A questa si aggiungono le iniziative antitrust intraprese dal Dipartimento di Giustizia nei confronti di Google e della Federal Trade Commission verso Facebook. Altre in Europa.

Il cambiamento di rotta delle Autorità nei confronti delle Big Tech appare tanto evidente, almeno quanto la consapevolezza che i cosiddetti “Frightfull Five” non necessitino di ulteriori approcci orientati alla promozione di un rapido sviluppo a benefici condivisi. Vale segnatamente per gli Stati Uniti che i giganti tecnologici li hanno visti nascere e diventare quello che sono grazie ad un approccio quasi completamente privo di regole.

In particolare il potere strumentale derivante dalle onnipresenti architetture delle tecnologie digitali ha reso palese il livello di erosione raggiunto dalle aree di sovranità del sistema democratico e man mano che l’apprendimento automatico e l’intelligenza artificiale diventano più sofisticati, il processo decisionale automatizzato che ne consegue diventa influente a tal punto da poter disporre di effetti molto simili a quelli delle disposizioni di legge.

 

La fiducia diventa asset strategico

La fiducia degli individui, nell’economia digitale come nel mondo globalizzato e interconnesso di oggi, essendo un fattore critico e non certo un elemento marginale, è ritenuto, sempre di più, dagli attori sia politici che economici il terreno sul quale coltivare i rispettivi sforzi ed investimenti: un asset strategico di complessa gestione il cui incremento incentiverà senza dubbio sia lo sviluppo tecnologico che il livello qualitativo dello standard di civiltà di ogni Paese.

I decisori pubblici, alcuni più di altri a dire il vero, hanno preso atto dell’impellente esigenza di promuovere efficacemente questo salto di qualità e lo stanno facendo attraverso strumenti giuridici a sostegno e garanzia dei valori fondativi delle società. Hanno ben chiaro che la tutela dei principi costituzionali dovrà passare attraverso il meccanismo del bilanciamento dei principi e che ciò a maggior ragione avverrà in materia di privacy.

Ne ha consapevolezza l’UE che con il GDPR si è posta a guida della sicurezza dei trattamenti dei dati personali influenzando la legislazione sulla privacy anche al di fuori dell’Unione Europea e stabilendo standard di protezione globali (che spetterà ai regolatori applicare rigorosamente): La Gerar de Proteção de Dados Pessoais (LGPD) del Brasil, rispecchia la struttura del GDPR e il California Consumer Privacy Act è chiaramente influenzata dal regolamento comunitario.

Ne sono consci, gli Usa dove, tuttavia, è ancora necessario cercare, settore per settore, quale sia la normativa da applicare e quali i precedenti giudiziari, spesso con problemi di interpretazione ed aree di incertezza relativamente a quale decisione potrebbe prendere un giudice in Tribunale.

 

Il modello di privacy americano

Il modello americano della privacy si presenta come un sistema “settoriale” dove la relativa tutela costituzionale passa sostanzialmente attraverso le decisioni della Corte Suprema di Washington.

Oltre al sistema costituzionale della privacy, l’ordinamento giuridico nord-americano, prevede anche una disciplina di tipo ordinario che, sul piano delle fonti di diritto, si divide in due parti:

  • la legislazione federale
  • l’autonomia normativa degli stati dell’Unione

Una pletora, dunque, di leggi federali e statali, oltre a numerosi precedenti giurisprudenziali a fronte della mancanza di un quadro normativo generale al modo del diritto comunitario. Ovvero, un mosaico normativo frammentato tra cinquanta stati federati ampliato dall’assenza di orientamenti e discipline comuni e condivise.

I limiti di un siffatto modello, nel contesto di forte sviluppo tecnologico digitale e di espansione dell’auto-regolamentazione privata, specie dei big tech della Silicon Valley, non tardano a presentarsi e rendono evidente l’esigenza di quel salto di qualità imposto dai paradigmi digitali di protezione della privacy e degli individui.

 

Una normativa a macchia di leopardo

Tale nuova prospettiva, sebbene percepita come necessaria anche all’interno del Congresso Usa, manifesta ancora oggi contorni incerti tra l’adozione del modello delle norme sulla protezione dei dati dell’Unione europea (malgrado la distanza tra Usa e Ue per la gestione della privacy sia rilevante stante il fatto per cui non è solo normativa bensì di principio) e l’esigenza di prevenire le rigide norme sulla privacy come quelle adottate dalla California, foriere di normative a macchia di leopardo.

California in primis, ma anche Nevada, Maine e ora anche New York sono, appunto, esempi interessanti di come i provvedimenti di rango federale, o viceversa la mancanza degli stessi, possano consentire ampi margini di discrezionalità e manovra alle azioni affermative dei singoli Stati federati.

Mentre, infatti, in California si stanno elaborando i dettagli precisi del Californian Consumer Privacy Act (CCPA) e della sua attuazione prima dell’imminente entrata in vigore, lo stato di New York ed il Nevada sono parimenti al lavoro per definire le rispettive legislazioni sulla privacy. Altri 15 stati attualmente stanno dibattendo sul tema e tra questi Colorado e Massachusetts.

Il Maine ha appena approvato una legge che imporrà ai provider di servizi Internet di ottenere il consenso opt-in prima di utilizzare le informazioni sull’attività web degli utenti finalizzate al targeting degli annunci. Il provvedimento, firmato dal Governatore Janet Mills, entrerà in vigore nel 2020.

Sia Washington (Washington Privacy Act) che il Texas (Texas Privacy Protection Act) hanno presentato i relativi disegni di legge sulla privacy che pero’ non sono riusciti a passare durante le rispettive sessioni legislative.

 

Nevada: il Senate Bill 220

Il Nevada è  il secondo Stato ad essersi unito alla California per stabilire un diritto di opt-out dei consumatori in relazione alla “vendita” delle loro informazioni personali. Il Senate Bill 220 è stato firmato in legge il 29 maggio 2019 ed entrerà in vigore il 1 ottobre 2019, tre mesi prima del suo precursore della California Consumer Protection Act (CCPA).

Il provvedimento, incentrato in particolare sul diritto degli utenti di evitare la monetizzazione dei loro dati attraverso la vendita a terze parti, definisce il termine “vendita” come lo “scambio di informazioni raccolte su un sito Web o un servizio online a fronte di un corrispettivo monetario”.

Tale definizione è tuttavia ben più ristretta di quella prevista nell’analogo provvedimento in California dove “vendita” ha un significato molto più ampio che comprende “il noleggio, il rilascio, la divulgazione, la diffusione, la messa a disposizione, il trasferimento o la comunicazione orale, per iscritto, o con mezzi elettronici o di altro tipo, delle informazioni personali di un consumatore da parte dell’azienda a un’altra azienda o terza parte per un corrispettivo monetario o altro”.

Come già il California Online Privacy Protection Act (COPPA) del 2003, la legge sulla privacy online del Nevada richiede che gli “operatori” di siti Web o servizi online adempiano all’obbligo di informazione attraverso un’apposita Policy sulla Privacy.

Tale informativa, tra le altre cose, dovrà descrivere i tipi di “informazioni coperte” dal diritto di opt-out limitandole a quelle raccolte attraverso il sito web o il servizio online e le categorie di terzi con cui l’operatore potrebbe avere intenzione di condividerle. Ai sensi del provvedimento per “Informazioni coperte” si intende: nome, indirizzo, e-mail, numero di telefono, SSN, qualsiasi identificativo che consenta ad una persona di essere contattata, o “qualsiasi altra informazione personale raccolta tramite il sito Internet o il servizio online dell’operatore e mantenuta dall’operatore in combinazione con un identificatore in una forma che renda le informazioni medesime identificabili”.

Agli operatori di siti Web e ai servizi online verrà, inoltre, richiesto di rendere noto un “indirizzo di richiesta designato”, definito come indirizzo e-mail, modulo online o numero verde, attraverso il quale un consumatore potrà agevolmente presentare “una richiesta di non vendita”.

A differenza del provvedimento CCPA, non è però previsto che le aziende specifichino ulteriormente il diritto di opt-out, ad esempio attraverso il link “Non vendere le mie informazioni personali” inserito nella home page.

Nel Nevada, gli operatori dovranno rispondere alle sole richieste cosiddette “verificate”, ovvero quelle per le quali sia confermata l’identità dell’individuo e l’autenticità della richiesta: la legge, tuttavia, tace su ciò che tale verifica comporta effettivamente. Ci sono quindi 60 giorni (con la possibilità di un’estensione di 30 giorni) per rispondere alle richieste di opt-out. Il CCPA attualmente non prevede scadenze temporali specifiche.

Il diritto di opt-out si rivolge ad una particolare e ristretta categoria di individui coprendo un circoscritto sottoinsieme di informazioni personali: la definizione di “consumatore” del Nevada esclude chiaramente i dipendenti e gli altri individui che agiscono a titolo commerciale e le “informazioni coperte” sono limitate ai dati raccolti online. Sebbene il CCPA preveda al contrario di applicarsi anche alle informazioni personali raccolte offline, tuttavia, in linea con il Nevada pare che anche in California verranno escluse dal novero delle informazioni coperte dal provvedimento quelle relative ai dipendenti. La proposta di modifica e’ attualmente al vaglio del Senato.

Senza dubbio una delle differenze più significative tra i due provvedimenti, anche per le conseguenti implicazioni, risiede nel fatto per cui nel Nevada il diritto di opt-out non si applica (oltre che alle entità coperte nell’ambito dalla legge sulla portabilità e la responsabilità delle assicurazioni sanitarie del 1996 e alle aziende che riparano o prestano servizio a veicoli a motore per quanto riguarda le informazioni raccolte in relazione a determinate tecnologie o servizi relativi a tali veicoli) agli istituti finanziari soggetti al Gramm-Leach-Bliley Act.

Il Gramm-Leach-Bliley Act (GLB Act o GLBA) è anche noto come Financial Modernization Act del 1999 ed e’ una legge federale degli Stati Uniti che richiede alle istituzioni finanziarie di “rendere noto” come condividono e proteggono le informazioni private dei loro clienti. Per essere conformi al GLBA, le istituzioni finanziarie devono comunicare ai propri clienti come trattano e trasferiscono i loro dati sensibili, informarli del loro diritto di opt-out se preferiscono che i loro dati personali non siano condivisi con terzi e applicare protezioni specifiche alle “informazioni personali non pubbliche” dei clienti in conformità ad un piano di sicurezza scritto dell’istituzione. Le informazioni personali non pubbliche includono numeri di previdenza sociale, cronologie di credito e reddito, numeri di conto bancario e di carte di credito, numeri di telefono, indirizzi, nomi e qualsiasi altra informazione relativa ai clienti ricevuta da un istituto finanziario non pubblico.

Diversamente dal CCPA, la nuova legge non prevede disposizioni relative all’accesso o alla cancellazione.

Non vi è, infine, alcun diritto privato di azione ai sensi della nuova legge del Nevada.

 

New York: il NY Privacy Act

A New York, nel frattempo, il 9 maggio 2019, il senatore Kevin Thomas, presidente del Comitato per la protezione dei consumatori, ha presentato in Assemblea, il New York Privacy Act (NYPA). Un provvedimento che si aggiunge ad altre proposte in discussione tra le quali il Right to Know Act in tema di diritto alla trasparenza e all’accesso dei dati personali da parte dei consumatori e al disegno di legge sponsorizzato sempre dal senatore Kevin Thomas, denominato Stop Hacks e Improve Electronic Data Security Act “SHIELD Act”. Quest’ultimo, in particolare, ampliando la definizione di violazione dei dati, ne estende l’ambito ad ulteriori informazioni rispetto a quelle soggette alle attuali leggi e consente al Procuratore generale di agire in caso di attacchi informatici e violazioni.

Il New York Privacy Act (NYPA), attualmente in corso di valutazione, è  anch’esso chiaramente ispirato al Regolamento Europeo GDPR così come al California Consumer Protection Act (CCPA) dal quale si discosta a tratti ed in senso maggiormente restrittivo.

A differenza del CCPA, che si applica solo alle società che producono più di 25 milioni di dollari di entrate lorde annuali, prevede di rivolgersi a tutte le aziende di qualsiasi dimensione purché stabilite nello Stato di New York o che producano prodotti o servizi intenzionalmente mirati ai residenti di New York.

Stabilisce soprattutto un diritto di azione privato, rimosso come noto dal CCPA, consentendo a qualsiasi cittadino di New York la possibilità di citare in giudizio le aziende in caso di trattamenti illegittimi ed eventualmente creando una “raffica” di cause individuali.

Di particolare importanza, introduce, un concetto già coniato in precedenza dal professor Jack Balkin della Yale Law School, noto come “information fiduciary“. Nello specifico un’azienda, laddove raccolga dati personali, dovrà anteporre la privacy degli individui prima dei propri profitti e dunque “evitare tassativamente di trattare i dati personali in un modo che possa avvantaggiare se stessa ma a scapito degli utenti”. Il consenso previsto come libero, specifico ed esplicito prestato dagli individui viene inquadrato quale base giuridica imprescindibile affinché un’entità possa ,in determinate circostanze, trattare legittimamente i dati personali di un consumatore.

“To deal with the new problems that digital businesses create, we need to adapt old legal ideas to create a new kind of law—one that clearly states the kinds of duties that online firms owe their end users and customers” Jack Balkin

I dati personali dei consumatori non potranno pertanto essere utilizzati, elaborati o trasferiti a terzi, a meno che il consumatore non abbia fornito in precedenza un consenso esplicito e documentato. Ogni persona giuridica, o qualsiasi “affiliato” di tale entità dovrà rispettare l’obbligo di diligenza, lealtà e riservatezza tipici di un fiduciario in relazione alla protezione dei dati personali di un consumatore e a garanzia della tutela della sua privacy. Ovvero, dovrà agire nel migliore interesse del consumatore, in via preventiva e prioritaria rispetto agli interessi dell’organizzazione coinvolta.

Il NYPA si propone anche di ampliare la definizione di “dati personali” (ponendosi in linea con il provvedimento SHIELD Act) estendendola ad una vasta area di informazioni: dai dati termali e olfattivi ad un’embrionale inclusione dei dati inferiti. Simile alla definizione di dati personali fornita dal California Consumer Privacy Act quella contenuta nel NYPA include infatti anche una sorta di “catch-all” riferendosi al caso in cui attraverso l’analisi dei dati si giunga alla “creazione” di un profilo individuale che rifletta le preferenze, le caratteristiche, le tendenze psicologiche, le predisposizioni, i comportamenti e le attitudini di un soggetto.

Cambiamenti significativi e di ampia portata che se diventeranno definitivi, richiederanno alle società di New York o che producono prodotti o servizi intenzionalmente mirati ai residenti di New York un approccio in fasi in perfetto stile GDPR, a cominciare dalla mappatura dei flussi di dati detenuti sino al rispetto dell’obbligo “fiduciario”.

 

Verso una legge federale sulla privacy?

La prospettiva, peraltro sempre più concreta, che un tale complesso patchwork dispositivo possa imporsi alle organizzazioni alimenta in molti esponenti sia politici che economici, ognuno sulla base di aspettative diverse, la possibilità di addivenire a breve ad una legge federale sulla privacy degli Stati Uniti.

Il presidente della sottocommissione per la protezione e il commercio dei consumatori di energia e commercio della Camera Rep. Jan Schakowsky ritiene di poter avere presto un progetto di legge che potrebbe conferire alla Federal Trade Commission maggiore autorità sulla privacy dei dati oltre che la definizione di determinati diritti in capo agli individui e tra questi il diritto di modificare, correggere e cancellare i propri dati e non ultimo l’introduzione di un diritto di azione privato.

Le regole suscitano più critiche che elogi e questi provvedimenti non fanno certo eccezione: come prevedibile noti esponenti dell’industria tecnologica e digitale hanno già espresso “evidenti” preoccupazioni. Ma se, dall’altra parte, lo slancio per le indagini antitrust è in aumento, la legislazione sulla privacy federale non è ancora oltre le fasi concettuali e il tempo per un progetto di legge federale (prima delle elezioni presidenziali del 2020) sta scadendo.

 

La tecnologia ci obbliga a scegliere tra privacy e libertà?

Nel mondo digitale, abbiamo tutti bisogno di esponenti politici privi di paura e schierati apertamente e concretamente a favore del diritto alla privacy. Soggetti che non si sottraggono ai prevedibili conflitti imposti dal potere economico o statale qualora la protezione del diritto del cittadino all’autodeterminazione lo dovesse richiedere. Condizioni necessarie, queste, per avere il rispetto di potenze economiche e commerciali che hanno una visione dell’uomo e della società molto diversa tra loro.

Se il GDPR ha innescato una riflessione a livello globale in materia di privacy, creando un’impennata nella consapevolezza dei diritti che le persone possiedono in relazione ai propri dati e delle gravi conseguenze della violazione di tali diritti, in America, la California in particolare appare il punto di riferimento per il resto degli Stati Uniti.

Non sarebbe forse neppure eccessivamente visionario pensare che proprio la California possa essere, stante l’inerzia del Congresso e l’incertezza sul futuro dell’accordo Privacy Shield, il primo Stato federale a farsi promotore di una richiesta diavvio del procedimento di adeguatezza all’Europa secondo le rigide norme dell’art. 45 GDPR.

Come detto, specialmente ai ritmi di oggi, chi non sa guardare al futuro non sa neppure affrontare il presente.

 


Barbara Calderini

Legal Specialist - Data Protection Officier