In attesa che il Congresso USA trovi un’intesa bipartisan per il raggiungimento di una legge privacy federale non più rimandabile, la Federal Trade Commission americana ha avviato una consultazione pubblica per valutare la necessità di nuove regole di data security che, se adottate, potrebbero imporre nuove e importanti responsabilità alle società che gestiscono i dati dei consumatori.
Facciamo il punto.
La Federal Trade Commission (FTC) ha dato il via, lo scorso 11 agosto, al Commercial Surveillance and Data Security Rulemaking, una consultazione pubblica per valutare se sono necessarie nuove regole per proteggere la privacy e le informazioni delle persone per quanto riguarda le attività di profilazione e la sicurezza dei dati degli utenti.
La posizione assunta dalla FTC ha suscitato più di una critica, in quanto essa sembrerebbe, a detta di molti, più una prerogativa del Congresso che della Commissione stessa. Se adottate, le norme derivanti dalla consultazione pubblica potrebbero anche imporre nuove e importanti responsabilità alle società che gestiscono i dati dei consumatori, norme che includerebbero anche il divieto di effettuare determinati tipi di trattamento. Il Congresso, che nel frattempo è fermo per la pausa estiva e che è occupato a discutere la tanto attesa legge privacy federale, resterà a guardare?
Nuove regole privacy e divergenze tra i Commissari
La presidente della FTC, Lina Khan, nell’annunciare la decisione della Commissione, ha ribadito come attualmente “le aziende raccolgono dati personali di individui su vasta scala e in una straordinaria gamma di contesti”, sfruttando tali dati senza che gli utenti ne siano pienamente consapevoli, e senza tenere conto del contesto nel quale i dati vengono raccolti e dei rischi che ne possono scaturire per gli utenti.
L’obiettivo che la FTC si prefigge è quello di “capire se la Commissione debba emanare regole per affrontare le pratiche di profilazione e sicurezza dei dati, e su come tali regole dovrebbero essere articolate”.
Per fare questo, l’FTC ha quindi dato il via alla procedura del Rulemaking, ovvero una consultazione pubblica dedicata alle tematiche in oggetto, con cui, come si legge nel testo della Advance Notice of Proposed Rulemaking (“ANPR”), la Commissione invita a commentare, entro il 21 di ottobre, 60 giorni dopo dalla pubblicazione nel registro federale, se si debbano attuare nuove regole di regolamentazione o altre alternative normative riguardanti le modalità con cui le aziende:
- raccolgono, aggregano, proteggono, utilizzano, analizzano e conservano i dati dei consumatori, nonché
- trasferiscono, condividono, vengono o monetizzano tali dati in modi sleali o ingannevoli.
rispondendo a una serie di domande, 95 in tutto, in merito ad attività di profilazione e pratiche di sicurezza applicate ai dati degli utenti.
Come affermato dalla stessa Khan, la Commissione ha preso in esame importanti aspetti del trattamento dei dati personali degli utenti on line, come l’uso diffuso di algoritmi per manipolare e sfruttare i dati degli utenti a loro insaputa (i cosiddetti Dark Pattern), le pratiche di sicurezza messe in atto, talvolta non sufficienti, e la privacy, spesso poco tutelata, dei bambini, soggetti facilmente influenzabili perché fragili e spesso indifesi.
La Commissione ha inoltre evidenziato quanto sia cruciale soffermarsi anche sui cosiddetti “effetti discriminatori” degli algoritmi che fanno uso di quei dati personali particolarmente sensibili, come razza, sesso, religione ed età, e alle modalità con cui i consumatori, sono incoraggiati a condividere tali dati in modo spesso inconsapevole.
Tutti questi aspetti sono stati raccolti nell’APRN, dove esistono specifiche sezioni e domande per ognuno di questi argomenti.
Le novità delle nuove regole privacy federali
Ad esempio, per quando riguarda i Danni al consumatore, APRN chiede al pubblico se esistano danni che i consumatori non sono in grado di riconoscere o identificare facilmente ed eventualmente elencarli, oppure quali aree o tipi di danni la Commissione non sia stata in grado di affrontare con le sue azioni di contrasto o, ancora, quali tipi di danni dovrebbero essere soggetti a specifiche norme di contrasto.
Nella sezione dedicata ai Danni ai minori, la Commissione richiede di inviare commenti riguardo alle pratiche di profilazione dei bambini e degli adolescenti o alle misure di sicurezza non adeguate, e quali di queste pratiche, possano essere considerate particolarmente pericolose; oppure chiede in quali circostanze, l’incapacità di un’azienda di fornire a bambini ed adolescenti tutele della loro privacy, come il non fornire impostazioni predefinite di protezione della privacy, sia una pratica sleale, anche se il sito o il servizio non è rivolto specificatamene a minori.
Più attenzione all’uso di algoritmi
Nella sezione dedicata all’utilizzo degli algoritmi, viene chiesto, tra le altre, quale può essere il sistema migliore per misurare l’errore che un algoritmo può commettere.
Esistono poi sezioni specifiche sugli effetti discriminatori che l’utilizzo di tali algoritmi possa causare agli individui, sulla gestione del consenso dei consumatori da parte delle aziende e su come le aziende informano, o non informano, i consumatori riguardo alla profilazione e alla protezione dei loro dati.
Il trattamento dei dati biometrici
Una serie di domande prendono in esame il trattamento dei dati biometrici, e in particolare il riconoscimento facciale, e viene chiesto se la Commissione dovrebbe limitare questo tipo di trattamenti; o ancora, se dovrebbero essere introdotti specifici limiti nel trattamento di dati dei consumatori, per quanto riguarda la minimizzazione e la conservazione dei dati, ad esempio solo per soddisfare uno scopo specifico o se il consumatore lo richiede o se il trattamento è compatibile, e conseguentemente, come deve essere valutata la compatibilità.
La data security e il modello del GDPR
La sezione relativa alla Data Security chiede se le nuove norme devono vietare il fornire informazioni ingannevoli ai consumatori in merito alla sicurezza dei loro dati, e autorizzare la Commissione a perseguire tali violazioni; e ancora, se le nuove norme devono prevedere obblighi specifici in termini di misure di sicurezza applicate dalle aziende, come la crittografia dei dati.
C’è però una domanda, in questa sezione, che riflette quanto la discussione sul modello di legge privacy da adottare sia un punto aperto negli Stati Uniti: “La Commissione dovrebbe tenere conto dei requisiti di altri governi in materia di sicurezza dei dati (ad es. GDPR). Se è cosi, come?”.
Come sappiamo, a lungo il Regolamento Generale sulla Protezione dei Dati (GDPR) europeo è stato considerato il modello a cui tendere, che è stato di ispirazione per il California Consumer Privacy Act (CCPA) e il California Privacy Rights Act (CPRA), attualmente considerati i più restrittivi fra quelli in vigore negli Stati Uniti.
Eppure sono molti gli esperti americani che mettono in dubbio l’efficacia del Regolamento europeo, adducendo che la sua adozione non ha limitato il dominio dei grandi giganti tecnologici, e il proposto American Data Privacy and Protection Act (ADPPA), attualmente in discussione al Congresso, che ha l’ambizione di diventare la nuova legge privacy federale americana, non si ispira al GDPR.
La signora Khan, nominata presidente della Commissione dal 22 Marzo 2021 dal presidente americano Joe Biden, è un’esponente democratica e una giurista specializzata nell’ambito delle leggi antitrust, nota da tempo per le sue posizioni “anti-amazon”, generalmente critica contro le grandi compagnie tecnologiche.
È noto il suo articolo Amazon’s Antitrust Paradox, pubblicato su Yale Law Journal, quando era ancora una studentessa in legge, dove evidenziava come la politica “Amazon”, ovvero il mantenimento di prezzi bassi al consumo per acquisire una posizione dominante sul mercato, sia in grado di bloccare la competitività delle altre aziende del settore, nello specifico caso di Amazon anche attraverso lo sfruttamento del lavoro, spesso precario e mal retribuito, e ai vantaggi fiscali acquisiti.
Non è sicuramente un caso che dopo la sua nomina a presidente della FTC, sia Amazon che Facebook si siano affrettate a richiederne la sua ricusazione dalle attività di tipo antitrust, in quanto incapace, secondo loro, di essere imparziale: richieste che, da più parti, sono state interpretate come un tentativo di intimidazione nei suoi confronti.
La richiesta di Rulemaking, oltre che dalla signora Khan, è stata sostenuta dagli altri due commissari democratici, Rebecca Kelly Slaughter e Alvaro Bedoya. I due membri repubblicani della Commissione hanno invece votato contro: in particolare, il commissario Christine Wilson ha sostenuto che una tale presa di posizione potrebbe fornire una scusa ai legislatori per bloccare l’avanzamento del ADPPA in discussione.
La signora Wilson ha anche fatto notare che proprio recentemente la Corte Suprema ha cercato di porre un freno al potere delle agenzie federali, considerato eccessivo, riferendosi probabilmente alla recente sentenza di giugno di quest’anno, dove la Corte si è pronunciata a sfavore dell’Agenzia per la Protezione Ambientale, che voleva imporre la propria autorità nel tentativo di limitare le emissioni delle centrali a carbone.
Anche l’altro commissario repubblicano Noah Phillips ha sostenuto argomentazioni simili, affermando che le implicazioni di una legge nazionale sulla privacy sono argomento per il Congresso e non per l’FTC.
Oltre alla consultazione pubblica, l’FTC ha organizzato un forum pubblico virtuale l’8 settembre 2022, in cui le parti potranno condividere il proprio contributo.
Rulemaking o legge federale?
Come evidenziato dalla stessa FTC nell’annunciare l’iniziativa, negli ultimi due decenni la Commissione ha utilizzato la sua autorità per avviare centinaia di azioni esecutive contro le aziende in merito a violazioni della privacy e della sicurezza dei dati. Ha pertanto analizzato casi che includono la condivisione con terze parti di dati relativi allo stato di salute o di dati considerati sensibili di persone, l’utilizzo della pubblicità mirata e la messa in atto di misure di sicurezza idonee a proteggere dati personali anche sensibili dei consumatori, come i numeri di previdenza sociale.
Tuttavia, l’esperienza maturata dalla Commissione le suggerisce che l’applicazione della legge da sola potrebbe non essere sufficiente a proteggere i consumatori. La capacità della FTC di scoraggiare una condotta illegale è oggi limitata perché l’agenzia generalmente non dispone dell’autorità per chiedere sanzioni pecuniarie per le violazioni riscontrare.
Invece, norme che stabiliscano requisiti chiari in materia di privacy e sicurezza dei dati e conferiscano alla Commissione l’autorità di agire anche con richieste di sanzioni pecuniarie, potrebbero incentivare tutte le aziende a investire in modo più coerente in pratiche conformi.
D’altra parte, le opposizioni sostengono una versione diversa. “La proposta della FTC è un altro esempio di come l’agenzia pensa di poter ridisegnare l’economia degli Stati Uniti a suo piacimento”, ha affermato Jordan Crenshaw, vicepresidente del Technology Engagement Center della Camera di Commercio degli Stati Uniti. “Prima che l’FTC possa agire, il Congresso deve prima conferirle l’autorità… Il Congresso, non i burocrati non eletti, deve decidere come dovrebbero essere elaborate le nuove regole sulla privacy dei dati”.
Ricordiamo che la FTC è stata istituita nel 1914 dopo l’approvazione da parte del Congresso del Federal Trade Commission Act, firmato dal presidente americano Thomas Wilson, che aveva caldeggiato l’istituzione di una commissione dedicata alla difesa dei consumatori e alle battaglie antitrust, e contrastare la concentrazione del potere nelle mani dei grandi monopoli. È guidata da cinque commissari che rimangono in carica per sette anni e non più di tre membri possono essere dello stesso partito. Il presidente degli Stati Uniti nomina il capo della Commissione.
In mancanza di una legge privacy federale, è stato proprio il presidente Joe Biden a ordinare alla FTC di occuparsi di mettere in atto regole atte a tutelare la “raccolta di dati e pratiche di profilazioni sleali che potrebbero danneggiare la concorrenza, l’autonomia e la privacy dei consumatori”.
Infatti, il punto centrale della questione è che ad oggi gli Stati Uniti non hanno una legge federale sulla privacy. Dopo molti tentativi andati a vuoto, l’ ADPPA che il Congresso sta discutendo rappresenta probabilmente il tentativo più significativo nel raggiungimento di un’intesa sulla tanto invocata legge privacy federale, ma l’esito è al momento incerto, sia perché tale proposta è considerata da molti “non abbastanza forte”, sia per l’esito delle elezioni di midterm, ormai alle porte, che potrebbero cambiare il panorama politico americano, e dare ai Repubblicani il controllo di entrambe le Camere, sia perché ancora il Congresso non ha raggiunto un accordo su come risolvere il nodo relativo alla prevalenza delle leggi federali sulle leggi statali eventualmente già approvate in materia di privacy.
Ricordiamo, infatti, che, proprio per colmare un vuoto normativo diventato ormai insostenibile, sono molti i singoli stati americani che hanno provato a risolvere il problema in maniera autonoma e hanno approvato o stanno discutendo una legge privacy statale, dando origine a situazioni frammentarie e non uniformi che non possono considerarsi la soluzione del problema.
Durante la conferenza stampa per annunciare l’ANPR, la commissaria Slaughter ha commentato come lei stessa sia a favore del disegno di legge in discussione al Congresso, e che non vi sia competitività tra le attività dell’FTC e del Congresso, ma che anzi, le attività messe in campo dalla Commissione vadano intese in senso “complementare” a quelle del Congresso. Anche il commissario Bedoya ha affermato che non approverebbe mai eventuali regole che si andassero a sovrapporre, o fossero in contrasto, con la proposta ADPPA, se approvata.
L’azione della FTC può anche essere letta come un’esortazione al Congresso a fare presto e a fare tutto il possibile per trovare un’intesa bipartisan per il raggiungimento di una legge federale che non può essere ulteriormente rimandata.
Se i legislatori del Congresso trovassero un modo per superare le divergenze e l’ ADPPA prevalesse come legge federale, la FTC molto probabilmente abbandonerebbe immediatamente l’approccio del Rulemaking: in una dichiarazione pubblica, il senatore repubblicano del Mississippi Roger Wicker, membro della Commissione Commercio del Senato, uno dei tre sponsor dell’ ADPPA attualmente in discussione, ha affermato che “i commissari della FTC hanno riconosciuto che la legislazione, non la regolamentazione, è il modo preferibile per ottenere una reale protezione dei dati dei consumatori. Spero che l’azione odierna da parte della FTC aiuti a sottolineare l’urgenza di discutere e approvare l’American Data Privacy and Protection Act”, aggiungendo che “per ottenere una reale protezione della privacy dei dati dei consumatori, il Congresso deve agire”.
Nel caso in cui il Congresso fallisca nuovamente, e la proposta ADPPA venga accantonata, l’FTC rimane probabilmente lo strumento più efficace per portare avanti leggi federali sulla privacy ormai non rimandabili, anche se la portata delle azioni della Commissione, che non potrà mai essere efficace quanto una legge federale, dipenderà anche dallo scenario politico americano che si andrà concretizzando nei prossimi mesi.