C’è una nuova bozza dell’American Data Privacy and Protection Act (ADPPA), la prima legge federale, con un’accelerazione dopo tre anni di stop. E qualche giorno fa anche FTC propone regole. Il quadro è confuso ma sta prendendo forma.
Sembra che il percorso verso l’approvazione della prima legge privacy federale negli Stati Uniti stia subendo nuove accelerazioni, dopo le novità degli ultimi due mesi.
A giugno è stata approvata una nuova bozza bipartisan di American Data Privacy and Protection Act (ADPPA), dopo che il progetto era rimasto quiescente per tre anni), poi modificata a luglio sulla spinta anche dei timori portati dal rovesciamento di Roe v. Wade in tema di aborto.
L’ultima bozza è consultabile qui.
Ultima notizia invece, di agosto, è che la Federal Trade Commission (FTC) sta spingendo verso regole privacy.
La “Notice” della FTC sulla privacy
In un comunicato diffuso l’11 agosto scorso, la FTC ha emesso una “Advanced Notice of Proposed Rulemaking” con l’obiettivo di reprimere attività di “sorveglianza commerciale” nonché pratiche di protezione dei dati negligenti.
Con una “Advanced Notice of Proposed Rulemaking” in buona sostanza la Commissione apre a consultazione pubblica la proposta di emanare trade rules su un tema di particolare significato che ricade nella sua competenza e, in questo caso, le regole di fatto impattano direttamente sulla tutela dei dati personali.
Di fatto quindi il lavoro del Congresso potrebbe essere anticipato, almeno in parte, dall’azione della FTC.
In realtà però l’obiettivo della FTC sembra essere più quello di mettere pressione al Congresso che quello di emanare davvero delle norme vincolanti di livello federale in un settore borderline rispetto al suo ambito di attività
Ed infatti, nelle opinion che accompagnano il comunicato, tutti e cinque i commissari della FTC hanno scritto che ritengono auspicabile che il Congresso arrivi all’approvazione di una legge federale sul tema piuttosto che debba intervenire la FTC con le proprie trade rules.
Lo stesso comunicato non fa mistero di questo auspicio, dove afferma che:
“I precedenti lavori dell’FTC, tuttavia, suggeriscono che l’applicazione delle norme emanate dalla FTC da sola potrebbe non essere sufficiente a proteggere i consumatori. La capacità dell’FTC di dissuadere i comportamenti illeciti è limitata perché l’agenzia in genere non ha l’autorità per richiedere sanzioni pecuniarie per le violazioni delle proprie norme. Al contrario, una legge che stabilisse requisiti chiari in materia di privacy e sicurezza dei dati a tutti i livelli e conferisse alla Commissione l’autorità di imporre sanzioni pecuniarie per le nuove violazioni potrebbe incentivare tutte le aziende a investire in modo più coerente in pratiche conformi.”
Anzi il punto è rimarcato ancor più incisivamente in una delle dissenting opinion (del Commissario Noah Phillips, uno dei cinque componenti della FTC) rispetto all’apertura della “Notice”, dove il Commissario afferma esplicitamente che è necessario dare priorità al Congresso e che la FTC sta agendo al di fuori della propria sfera di competenza.
Quale che sia l’obiettivo della FTC, rimane comunque evidente l’effetto che avrà questa mossa, ovvero imprimere un’ulteriore accelerazione verso il raggiungimento di una legge privacy federale, salvo i lavori non vengano nuovamente impantanati dalla ricerca di un compromesso politico o dalle vicine elezioni di mid-term.
Il deposito della “Notice” apre ora (a decorrere dalla data di pubblicazione nel Registro Federale, ovvero l’omologo statunitense della Gazzetta Ufficiale) un periodo di consultazione pubblica di sessanta giorni, dopodiché la FTC potrebbe iniziare l’iter per sviluppare norme nel settore oggetto della proposta.
Venendo al “settore” in cui vorrebbe intervenire la FTC, questa nel suo comunicato parla di:
- “Sorveglianza commerciale”, attività che la stessa FTC definisce come la raccolta, analisi di dati sulle persone, con il fine di trarne profitto. Questa “sorveglianza commerciale” di massa aumenta i rischi per i cittadini in tema di violazioni dei dati personali, aumentando anche la “posta in gioco” nel caso in cui queste violazioni effettivamente avvengano, facilitando inoltre pratiche commerciali poco chiare se non apertamente ingannevoli. Nel comunicato diffuso dalla FTC sono riportate le parole del Commissario FTC Lina M. Kahn, secondo la quale: “La crescente digitalizzazione della nostra economia, unita a modelli di business in grado di incentivare un accesso pressoché infinito ai dati sensibili degli utenti e una vasta espansione dei modi in cui questi dati vengono utilizzati, creando un ambiente in cui possono prevalere pratiche potenzialmente illegali.” A preoccupare la FTC sono anche i sistemi automatizzati spesso utilizzati, senza trasparenza, dalle aziende, o il fatto che spesso le aziende lavorano in modo che questi sistemi automatizzati siano molto difficili da evitare per gli utenti.
- Sicurezza dei dati, la FTC lamenta infatti che “alcune aziende non riescono a proteggere adeguatamente le vaste banche di dati dei consumatori che raccolgono, mettendo a rischio tali informazioni e rendendole facilmente accessibili a hacker e ladri di dati”.
Si tratta, come è evidente, di argomenti che trovano sovrapposte disposizioni nelle bozze della legge privacy federale (ADPPA) circolate, e che quindi sarebbe ora auspicabile un “sorpasso” da parte del Congresso sull’iniziativa della FTC.
I “dieci punti” di Martin Abrams
Al fine di “aiutare” i membri del Congresso USA nel difficile compito di raggiungere un rapido ed efficace compromesso sul testo dell’ADPPA da adottare si è speso pochi giorni fa anche Martin Abrams, Chief Policy Innovation Officer della Information Accountability Foundation (IAF), un think tank in tema di politiche relative alla società dell’informazione.
Abrams ha diffuso un decalogo di criteri (stilati dallo IAF) da seguire per facilitare il percorso di approvazione della normativa privacy federale statunitense.
Le regole contenute nel decalogo raccomandano innanzitutto al legislatore USA di definire in termini specifici gli obiettivi della normativa, e di stendere il testo della legge sulla base di questi obiettivi. Sul punto Abrams suggerisce che l’esigenza di una normativa privacy negli Stati Uniti è sentita da tutti, privati cittadini e imprese, e che quindi su questa convergenza di interessi contrapposti è necessario lavorare per finalizzare l’iter legislativo dell’ADPPA. Secondo Abrams infatti, “i consumatori/cittadini vogliono concedere i propri dati solo quando ne traggono vantaggio, vogliono meno sorprese, vogliono la sensazione che i loro dati stiano fornendo valore a loro (non solo a un’azienda) e vogliono prevenire eventi avversi. Le aziende vogliono stabilità e prevedibilità, vogliono meno stress internazionale sui trasferimenti di dati e vogliono essere in grado di utilizzare i dati per risolvere i problemi.”
Chiarito questo nucleo centrale, Abrams prosegue la sua elencazione per suggerire di stilare un glossario chiaro e coerente dei termini essenziali, e di utilizzarli in maniera coerente (alcune critiche al testo dell’ADPPA circolato in origine sottolineavano proprio carenze su quest’aspetto).
Un suggerimento interessante è quello con cui Abrams suggerisce di utilizzare termini che siano “product – or service – agnostic” così da consentire alla disciplina di poter evolvere nel tempo senza necessità di modifiche (Abrams non estende il concetto alla necessità di evitare l’elencazione di singoli paesi da segnalare all’utente nel caso il trasferimento dei dati li coinvolga, come accade con la disciplina attuale che, in modo molto poco “agnostico” impone di notificare agli interessati unicamente un trasferimento dati in Cina, Russia, Iraq e Corea del Nord)
Quindi Abrams sottolinea l’importanza di una disciplina organica in tema di sicurezza del dato, di consentire il trattamento di dati per pratiche commerciali standard senza il consenso dell’interessato ma con controlli ragionevoli in capo al titolare.
L’elenco prosegue con la proposta di introdurre una metodologia attuabile e dimostrabile per la governance della catena di approvvigionamento dei dati e di programmi dimostrabili per valutare e misurare la probabilità che il trattamento abbia effetti negativi su individui e gruppi di individui.
Il decalogo si conclude quindi con l’accento sugli obblighi di trasparenza (che devono essere ulteriori rispetto a quelli che si esauriscono con l’informatica) sull’opportunità che la normativa sia “spiegabile” ai partner commerciali stranieri e sulla necessità che i diritti degli interessati siano significativi ed effettivamente perseguibili.
Abrams si concentra infine sul fatto che l’ADPPA ha l’occasione di imparare dagli errori commessi in sede comunitaria con il GDPR e di poter fare meglio, evitando ad esempio il lungo percorso per la sua approvazione (quattro anni cui si sommano i due anni necessari perché lo stesso divenisse efficace), o potenziali conflitti di norme (ad esempio fra i considerando del Regolamento UE e le sue disposizioni vincolanti).
Sebbene le critiche alla disciplina UE appaiano ingenerose (specie perché la normativa statunitense appare ancora acerba in certe disposizioni nonostante il margine di tempo per imparare dall’esempio europeo sia stato davvero ampio), è certo che la disciplina USA possa e debba imparare dall’esempio europeo, riproducendone i punti di successo e discostandosene invece dove la normativa comunitaria si è dimostrata più problematica o dove comunque non sarebbe adattabile al contesto statunitense.
Le opposizioni alla legge privacy USA
Man mano che si fa concreta l’adozione dell’ADPPA, si levano anche concrete voci dissonanti, in particolare una accesa (e per certi versi inaspettata) opposizione arriva dallo stato USA che forse ha la legislazione più estesa e rigida in tema privacy, ovvero la California, dove lo scorso 29 luglio quello che potremmo definire l’omologo californiano del Garante privacy (la California Privacy Protection Agency, CPPA) ha emesso un comunicato in cui censura l’adozione dell’ADPPA perché rischia di ridurre l’efficacia della avanzata disciplina californiana.
Ad esempio, la CPPA cita il fatto che la proposta di legge federale riduce il concetto di dati personali rispetto a quello, maggiormente esteso, presente nel California Consumer Privacy Act (CCPA), e riduce sensibilmente i casi in cui i titolari del trattamento saranno tenuti ad effettuare una valutazione di impatto.
LA CPPA poi censura il progetto di legge federale perché ne ridimensionerebbe grandemente l’importanza, impedendogli ad esempio di imporre sanzioni e di incamerarle.
Sebbene la nuova bozza di legge federale preveda espressamente (sotto la rubrica: “State Law Preservation”) la salvaguardia delle normative statali più rilevanti (e nell’elenco è esplicitamente incluso il California Consumer Privacy Act) il problema sollevato dalla CPPA è reale in quanto è evidente che il passaggio ad una normativa federale porterà ad una più incisiva uniformazione di alcuni aspetti della tutela dei dati personali, e che alcuni stati che hanno già adottato una normativa consolidata sul punto possano vedersi costretti a “tornare indietro” riguardo ad alcuni aspetti.
Di fatto si tratta però di problematiche il cui insorgere è in certa misura fisiologico nel normare un fenomeno così complesso in molti stati diversi, con differenti norme statali e con differenti sensibilità acquisite alla tutela dei dati.
Seguire la strada proposta dal CPPA (che non critica solo l’ADPPA in quanto tale, ma si oppone a qualsiasi legge federale che metta in discussione l’operatività della disciplina californiana e/o della sua autorità garante) finirebbe però inevitabilmente per frustrare gli obiettivi di uniformità perseguiti dal disegno di legge federale, impedendo così di risolvere il problema principale che la nuova disciplina intende superare, ovvero quello derivante dalla moltiplicazione degli adempimenti privacy da parte di ogni azienda statunitense non appena questa decida di offrire i propri servizi in più stati, e della conseguente confusione anche per i cittadini.
Lo scenario futuro
Del resto un “esempio” del fatto che un simile approccio sia anacronistico viene proprio dall’Europa, dove il nuovo scenario informatico/commerciale ha imposto il superamento del modello normativo della direttiva (con l’abrogazione della Direttiva 95/46/CE che in precedenza è stata il principale testo normativo europeo in tema di tutela dei dati, integrato però e parcellizzato dalle singole normative nazionali) in favore del più deciso intervento con Regolamento (Regolamento 2016/679), che produce una favorevole uniformazione del mercato interno dal punto di vista della tutela dei dati, pur a prezzo di un ampio e difficile da gestire salto in avanti per certi stati dell’Unione e di un modesto passo indietro per alcuni stati europei particolarmente sensibili al fenomeno.
La soluzione più auspicabile appare quindi quella di un miglioramento dell’ADPPA, al fine di ottenere una legge federale migliore (e più vicina al modello californiano nelle parti in cui questo è maggiormente virtuoso), piuttosto di quella di opporsi alla approvazione di una legge privacy USA rischiando così di far naufragare un approdo normativo più che auspicabile solo per particolarismi locali.
