Primo sguardo alla American Data Privacy & Protection Act (ADPPA)

L'American Data Privacy and Protection Act (ADPPA), o H.R. 8152, è ancora solo un disegno di legge nel 2025.

Ma potrebbe diventare la prima legge federale sulla privacy degli Stati Uniti?

No, nel luglio 2022, dopo aver superato il Comitato per l'energia e il commercio della Camera e nonostante un apparente sostegno bipartisan, non è passato alla Camera e al Senato e l'ADPPA non è diventato una legge federale.

Qui di seguito, ripercorro i requisiti, gli obblighi e i diritti delineati dall'ADPPA, discuto gli aspetti che lo hanno ostacolato e analizzo cosa ci insegna sul futuro della privacy dei dati negli Stati Uniti.

Cos'è l'American Data Privacy and Protection Act (ADPPA)?

L'American Data Privacy and Protection Act, o ADPPA, era una proposta di legge federale che, se fosse stata approvata, sarebbe stata la prima legge sulla privacy dei dati a livello federale negli Stati Uniti.

La legge avrebbe annullato le leggi statali esistenti in materia di protezione della privacy, ad eccezione di alcune categorie di leggi della California e dell'Illinois.

Nel luglio 2022, l'ADPPA ha superato la Commissione per l'energia e il commercio della Camera con un voto di 53-2 ed è stato inserito nel Calendario dell'Unione, Calendario n. 488, nel dicembre 2022.

Tuttavia, il Congresso non ha avuto il tempo di prenderlo formalmente in considerazione prima della fine della 117a sessione, nel gennaio 2023.

A partire dal 2025, non si è ancora mosso. Progetti di legge in stallo come questo sono talvolta considerati "leggi morte", il che suggerisce che l'ADPPA molto probabilmente non diventerà la prima legge federale sulla privacy dei consumatori negli Stati Uniti.

Qual è lo scopo dell'ADPPA?

Lo scopo dell'ADPPA era quello di stabilire un insieme uniforme di tutele e diritti per gli americani sulle modalità di raccolta, trattamento e utilizzo dei loro dati personali.

Ha creato limitazioni e requisiti per le aziende che trattano dati personali, comprese le organizzazioni non profit e i vettori comuni, e delinea le sanzioni e le multe in caso di violazione della legge.

Termini chiave e definizioni ADPPA

Prima di illustrarvi i requisiti delineati dall'ADPPA, è importante che vi illustriate alcuni termini chiave, in modo da comprendere la portata e l'applicazione di questa legge apparentemente in stallo.

Ha utilizzato un linguaggio unico che non compare regolarmente in altre leggi sulla privacy dei dati, compresa la maggior parte delle leggi sulla privacy degli Stati Uniti.

Ad esempio, invece di "consumatore" o "soggetto", l'ADPPA utilizza il termine "individui".

Leggete le definizioni di questi termini esattamente come appaiono nella sezione 2 dell'ultima versione dell'American Data Privacy and Protection Act:

• Consenso esplicito e dichiarato: Un atto affermativo da parte di un individuo che comunica chiaramente la sua autorizzazione libera, specifica e inequivocabile per un atto o una pratica dopo essere stato informato, in risposta a una richiesta specifica da parte di un'entità coperta che soddisfa i requisiti del punto (B).
• Raccogliere/Collection: Acquistare, affittare, raccogliere, ottenere, ricevere, accedere o acquisire in altro modo i dati coperti con qualsiasi mezzo.
• Controllo: (A) il possesso di, o il potere di votare, più del 50% delle azioni in circolazione di qualsiasi classe di titoli con diritto di voto dell'entità; (B) il controllo sull'elezione della maggioranza degli amministratori dell'entità (o di individui che esercitano funzioni simili); o (C) il potere di esercitare un'influenza di controllo sulla gestione dell'entità.
• Dati coperti: Informazioni che identificano o sono collegate o ragionevolmente collegabili, da sole o in combinazione con altre informazioni, a un individuo o a un dispositivo che identifica o è collegato o ragionevolmente collegabile a un individuo e possono includere dati derivati e identificatori unici persistenti.
• Entità coperta: Qualsiasi entità o persona, diversa da un individuo che agisce in un contesto non commerciale, che da sola o congiuntamente ad altri determina le finalità e i mezzi di raccolta, elaborazione o trasferimento dei dati coperti e -
  • (I) è soggetto al Federal Trade Commission Act (15 U.S.C. 41 e seguenti);
  • (II) sia un vettore comune soggetto al Communications Act del 1934 (47 U.S.C. 151 e seguenti) e a tutte le leggi che lo modificano e lo integrano; oppure
  • (III) è un'organizzazione non organizzata per svolgere attività commerciali per il proprio profitto o per quello dei suoi membri; e
  • (ii) comprende qualsiasi entità o persona che controlla, è controllata o è sotto controllo comune con l'entità coperta.
• Individuo: Persona fisica residente negli Stati Uniti.
• Grande supporto di dati: Un'entità coperta o un fornitore di servizi che, nell'anno solare più recente:
  • (i) ha avuto un fatturato lordo annuale pari o superiore a 250.000.000 di dollari; e
  • (ii) ha raccolto, elaborato o trasferito (I) i dati coperti di oltre 5.000.000 di individui o dispositivi che identificano o sono collegati o ragionevolmente collegabili a 1 o più individui, esclusi i dati coperti raccolti ed elaborati al solo scopo di avviare, rendere, fatturare, finalizzare, completare o altrimenti riscuotere il pagamento per un prodotto o servizio richiesto; e
  • (II) i dati sensibili coperti di oltre 200.000 persone o dispositivi che identificano o sono collegati o ragionevolmente collegabili a una o più persone.
• Processo: Condurre o dirigere qualsiasi operazione o serie di operazioni eseguite sui dati coperti, compresa l'analisi, l'organizzazione, la strutturazione, la conservazione, l'archiviazione, l'utilizzo o il trattamento in altro modo dei dati coperti.
• Fornitore di servizi: una persona o un'entità che (i) raccoglie, elabora o trasferisce i dati coperti per conto e sotto la direzione di un'entità coperta o di un ente governativo federale, statale, tribale, territoriale o locale; e (ii) riceve i dati coperti da o per conto di un'entità coperta o di un ente governativo federale, statale, tribale, territoriale o locale.
• Entità di raccolta di terze parti: Un'entità coperta la cui principale fonte di reddito deriva dall'elaborazione o dal trasferimento di dati coperti che l'entità coperta non ha raccolto direttamente dalle persone collegate o collegabili ai dati coperti.
  • Non include un'entità coperta nella misura in cui tale entità elabora i dati dei dipendenti raccolti da e ricevuti da una terza parte e relativi a qualsiasi individuo che sia un dipendente della terza parte al solo scopo di tale terza parte di fornire benefici al dipendente.
• Trasferimento: Divulgare, rilasciare, diffondere, rendere disponibile, concedere in licenza, affittare o condividere i dati coperti oralmente, per iscritto, elettronicamente o con qualsiasi altro mezzo.

Nel corso di questa guida utilizzerò questi termini come descritti dall'ADPPA, quindi sentitevi liberi di fare riferimento a questo elenco di definizioni se necessario.

Chi ha sostenuto l'ADPPA?

All'epoca, l'American Data Privacy and Protection Act sembrava godere di un certo sostegno bipartisan ed era sponsorizzato dal rappresentante Frank Pallone Jr., democratico del New Jersey, distretto 6.

È co-sponsorizzato da:

• Rappresentante Cathay McMorris Rodgers, repubblicana di Washington, distretto 5
• Rappresentante Janice D. Schakowsky, democratica dell'Illinois, Distretto 9
• Rappresentante Gus M. Bilirakis, repubblicano della Florida, Distretto 12

Cosa ha bloccato l'ADPPA?

Nonostante l'apparente sostegno bipartisan, l'ADPPA è attualmente fermo e apparentemente "morto".

Cosa ha impedito a questo progetto di diventare legge? Il tempo. Affrontare il problema di bilanciare l'innovazione a livello statale con un quadro nazionale coeso si è rivelato impegnativo ma essenziale, e l'anno è scaduto prima che si potesse giungere a una conclusione.

C'erano anche dibattiti irrisolti per i quali i leader politici non avevano trovato una via di mezzo.

Qui di seguito, affronto alcuni di questi discorsi in modo un po' più dettagliato.

La conclusione del 117° Congresso

Un problema importante che blocca l'ADPPA? La mancanza di tempo sufficiente nel calendario del Congresso.

L'ADPPA ha superato il Comitato per l'energia e il commercio con un voto bipartisan di 53-2 nel luglio 2022.

Tuttavia, i legislatori non hanno mai avuto il tempo di considerare formalmente la proposta prima della fine del 117° Congresso, il 3 gennaio 2023.

Sebbene il 118° Congresso si sia impegnato a mantenere la privacy dei dati e l'ADPPA come priorità assoluta, non si sono ancora registrati ulteriori movimenti in merito alla legge.

Il dibattito sul diritto d'azione privato

Un altro argomento diviso quando si tratta di approvare una legge federale sulla privacy dei dati negli Stati Uniti è se gli individui debbano o meno avere un diritto di azione privato.

Un diritto di azione privato significa che un individuo può fare causa per una violazione dei suoi diritti.

I democratici hanno spinto per un diritto di azione privato, mentre i repubblicani si sono opposti. Come compromesso, l'ADPPA ha previsto un diritto di azione privata con un ritardo di due anni.

Tuttavia, i legislatori hanno ancora espresso preoccupazioni da entrambi i lati del corridoio sulla fattibilità di questa iniziativa.

Prevenire o non prevenire altre leggi statali

Un'ulteriore questione che blocca l'ADPPA riguarda il potere che può o non può avere sulle varie leggi sulla privacy degli Stati Uniti che sono entrate in vigore.

Quando una legge federale prevale sulle leggi statali, le sostituisce e in ultima analisi le sostituisce, garantendo l'uniformità tra tutti gli Stati americani.

Sono state tracciate due linee di demarcazione per stabilire se la legge federale sulla privacy dei dati debba prevalere sulla legislazione statale.

• Una parte vuole che le leggi statali rimangano in vigore finché forniscono livelli di protezione simili o superiori per quanto riguarda le disposizioni sul trattamento dei dati.
• L'altra parte vuole che la legge federale sostituisca tutte le leggi statali, senza eccezioni.

Nella sua stesura finale, l'ADPPA prevedeva alcuni compromessi per la California e l'Illinois.

In gran parte, questo compromesso è dovuto al fatto che la California si è battuta con forza contro la prelazione durante la 117a sessione del Congresso, come riportato dallo IAPP.

Questi dibattiti in corso rendono ancora difficile prevedere se la prima legge federale ufficiale americana sulla privacy dei dati prevarrà sulla legislazione statale. In ogni caso, è fondamentale raggiungere un equilibrio tra uniformità nazionale e innovazione statale.

Cosa comprende l'ADPPA?

L'ADPPA comprendeva disposizioni relative a tutti i seguenti argomenti:

• Minimizzazione dei dati
• Doveri di lealtà
• Privacy by design
• Lealtà nei confronti dei singoli rispetto alla determinazione dei prezzi
• Informativa sulla privacy e requisiti di notifica
• Reporting sulle metriche per i titolari di dati di grandi dimensioni
• Entità di raccolta di terze parti
• Diritti civili e algoritmi
• Sicurezza e protezione dei dati
• Tutela delle piccole imprese
• Meccanismi di opt-out unificati

Analizziamo più in dettaglio l'impatto che queste possono avere sulle entità coperte.

Minimizzazione dei dati

L'ADPPA ha discusso i doveri di minimizzazione dei dati dell'ente coperto nel Titolo I, Sezione 101.

Le entità si limitano a raccogliere solo le informazioni "ragionevolmente necessarie" e "proporzionate" aquanto segue:

• Fornire o mantenere un prodotto o un servizio, come richiesto dall'individuo.
• Finalità specifiche consentite

Le finalità consentite per la raccolta e l'elaborazione dei dati erano:

• Per avviare, gestire o completare una transazione per evadere un ordine di prodotti o servizi richiesto dall'individuo
• Elaborazione dei dati necessari per eseguire la manutenzione e la diagnostica del sistema
• Sviluppare, mantenere, riparare o migliorare un prodotto o un servizio.
• Condurre ricerche interne o analisi per migliorare un prodotto o un servizio.
• Esecuzione della gestione dell'inventario o della gestione ragionevole della rete
• Protezione dallo spam
• Debug o riparazione di errori che compromettono la funzionalità di un servizio o di un prodotto.
• Autenticazione degli utenti di un prodotto o servizio
• Adempimento della garanzia di un prodotto o di un servizio
• Prevenire, individuare, proteggere o rispondere a incidenti di sicurezza, frodi, molestie o attività illegali.
• Adempiere agli obblighi legali a livello statale, federale, locale, tribale o investigativo.
• Impedire a un individuo o a un gruppo di subire un danno se a rischio di morte, di gravi lesioni fisiche o di altri rischi per la salute.
• Per condurre ricerche scientifiche, storiche o statistiche
• Fornire comunicazioni come ragionevolmente previsto dal consumatore o tra individui (non annunci pubblicitari)
• Per garantire la sicurezza e l'integrità dei dati

La Federal Trade Commission (la Commissione) avrebbe fornito indicazioni su ciò che è considerato "ragionevolmente necessario e proporzionale" per la conformità.

Doveri di lealtà

L'ADPPA avrebbe richiesto a tutte le entità coperte di attenersi a determinati "doveri di lealtà" per quanto riguarda le loro procedure di trattamento dei dati personali, come presentato nel Titolo I, Sezione 102.

In particolare, descrive ciò che le entità coperte e i fornitori di servizi non possono fare alle informazioni personali, tra cui:

• Raccolta, elaborazione o trasferimento di numeri di previdenza sociale.
• Raccogliere, elaborare o trasferire dati sensibili a meno che non sia strettamente necessario.
• Trasferire dati sensibili a terzi, a meno che questi non abbiano espresso un consenso esplicito o che il trasferimento sia necessario.
• I servizi televisivi di radiodiffusione, i servizi via cavo e altri servizi di programmazione video non possono trasferire i dati a terzi non affiliati a meno che non ottengano un consenso esplicito.

Privacy by Design

La legge federale sulla privacy dei dati, in fase di stallo in America, parla di privacy by design (PbD) nel Titolo I, Sezione 103. La legge avrebbe reso la privacy by design un requisito legale per le entità coperte.

Ai sensi dell'ADPPA, per PbD si intendeva la definizione, l'attuazione e il mantenimento di politiche e pratiche ragionevoli che:

• Considerare le leggi, le norme o i regolamenti federali applicabili ai dati.
• Identificare, valutare e ridurre i rischi per la privacy dei minori.
• Mitigare i rischi per la privacy legati ai prodotti e ai servizi che forniscono, compresi la progettazione e lo sviluppo di tali prodotti o servizi.
• Implementare una formazione e salvaguardie ragionevoli per promuovere la conformità a tutte le leggi sulla privacy applicabili all'entità coperta.

Inoltre, le entità coperte devono considerare le loro dimensioni e la portata e la complessità delle attività di trattamento in cui sono impegnate.

Devono inoltre considerare la sensibilità dei dati raccolti, il volume raccolto, il numero di persone o dispositivi interessati e il costo dell'implementazione di tali politiche.

Fedeltà agli individui rispetto ai prezzi

Il Titolo I, Sezione 104, dell'ADPPA vieta esplicitamente le ritorsioni attraverso i servizi o i prezzi.

Le entità coperte non possono punire un individuo per aver agito in base ai suoi diritti delineati dalla potenziale nuova legge.

Tuttavia, non ha impedito alle entità di:

• Offrire un prezzo, una tariffa, un livello o una selezione di prodotti diversi in relazione alla partecipazione volontaria di un individuo a un programma di fidelizzazione.
• Offrire incentivi finanziari alle persone che partecipano alle ricerche di mercato.
• Offrire diversi tipi di prezzi o funzionalità a seguito dell'esercizio dei diritti alla privacy da parte degli individui.
• Rifiutare di fornire un prodotto o un servizio se la raccolta dei dati è strettamente necessaria per tale prodotto o servizio.

Informativa sulla privacy e requisiti di notifica

L'ADPPA ha descritto diversi requisiti in materia di privacy e di notifica nel Titolo II, Sezione 202.

Se fosse stata approvata, avrebbe stabilito che le entità coperte devono pubblicare un'informativa sulla privacy che includa tutte le seguenti informazioni:

• L'identità e le informazioni di contatto dell'entità coperta o del fornitore di servizi
• A chi si applica l'informativa sulla privacy, compresi i punti di contatto e un indirizzo e-mail generico per le richieste di informazioni sulla privacy e sulla sicurezza dei dati.
• Qualsiasi altra entità con la stessa struttura societaria dell'entità coperta a cui i dati vengono trasferiti
• Le categorie di dati trattati
• Lo scopo del trattamento di ciascuna categoria di dati
• Se l'ente trasferisce i dati e, in caso affermativo, ogni categoria o terza parte a cui vengono trasferiti, il nome di ogni terza parte e le finalità del trasferimento dei dati
• Il periodo di tempo per il quale l'ente prevede di conservare i dati
• Una descrizione di come gli individui possono esercitare i loro diritti delineati dall'ADPPA
• Una descrizione generale delle pratiche di sicurezza dell'ente
• La data di entrata in vigore dell'informativa sulla privacy
• Se i dati sono trasferiti, elaborati, memorizzati o accessibili alla Repubblica Popolare Cinese, alla Russia, all'Iran o alla Corea del Nord.

Inoltre, ha dichiarato che le entità che si qualificano come grandi detentori di dati devono fornire ai consumatori una breve informativa sulla privacy che sia:

• Concisi, chiari, evidenti e non fuorvianti
• Facilmente accessibile
• Include una panoramica dei diritti delle persone e richiama l'attenzione su eventuali pratiche di trattamento dei dati inaspettate.
• Non più di 500 parole

Reporting delle metriche per i titolari di grandi dati

In base all'ADPPA, ogni entità che si qualifica come grande detentore di dati deve compilare le metriche per l'anno solare precedente.

Le metriche specifiche comprendevano il numero di:

• Richieste di accesso verificate
• Richieste di cancellazione verificate
• Richieste di rinuncia alla pubblicità mirata
• Richieste che il titolare dei dati di grandi dimensioni ha soddisfatto in tutto o in parte e negato
• Il numero mediano o medio di giorni necessari per rispondere alle richieste.

Enti di riscossione di terze parti

Ai sensi del Titolo II, Sezione 206 dell'ADPPA, tutte le terze parti che raccolgono dati avrebbero dovuto pubblicare un avviso chiaro, non fuorviante e accessibile sul loro sito web o sulle loro applicazioni mobili.

Deve soddisfare tutti i seguenti requisiti:

• Comunicare alle persone che l'ente è un ente terzo di riscossione, utilizzando il linguaggio sviluppato dalla Commissione.
• Includere un link al sito web della Commissione.
• È ragionevolmente accessibile e utilizzabile da persone con disabilità.

Prima del 31 gennaio di ogni anno solare, qualsiasi entità di raccolta di terze parti che avesse raccolto i dati di più di 5.000 persone o dispositivi avrebbe dovuto registrarsi presso la Commissione.

Il processo di registrazione avrebbe incluso:

• Pagamento di una tassa di 100 dollari
• Fornire il nome legale e l'indirizzo fisico, di posta elettronica e internet dell'ente terzo coinvolto.
• Una descrizione delle categorie di dati trattati e trasferiti
• Le informazioni di contatto della terza parte, tra cui persona di contatto, numero di telefono, indirizzo e-mail, sito web e indirizzo fisico.
• Un link a un sito web per consentire alle persone di esercitare i propri diritti.

La Commissione creerà e manterrà un sito web consultabile dal pubblico con informazioni dettagliate su tutti gli enti terzi di gestione collettiva.

Diritti civili e algoritmi

L'ADPPA avrebbe proibito alle entità coperte di trattare le informazioni in modo discriminatorio nei confronti degli individui nel Titolo II, Sezione 207.

La Commissione avrebbe avuto l'autorità di applicare questa sezione dell'ADPPA.

Se l'ADPPA fosse stato approvato, entro tre anni la Commissione avrebbe dovuto presentare al Congresso un rapporto che riassumesse:

• Tutti i tipi di informazioni che la Commissione ha trasmesso alle agenzie nel corso dell'anno precedente.
• Come le informazioni si riferiscono alle leggi federali sui diritti civili

Valutazioni d'impatto degli algoritmi coperti

I grandi detentori di dati che hanno utilizzato un "algoritmo coperto" che ha rappresentato un rischio potenziale di danno per un individuo o un gruppo devono condurre una valutazione d'impatto.

L'ADPPA ha definito l'algoritmo coperto come:

"Un processo computazionale che utilizza tecnichedi apprendimento automatico, di elaborazione del linguaggio naturale, di intelligenza artificiale o altre tecniche di elaborazione computazionale di complessità simile o superiore e che prende una decisione o facilita il processo decisionale umano in relazione ai dati coperti, anche per determinare la fornitura di prodotti o servizi o per classificare, ordinare, promuovere, raccomandare, amplificare o determinare in modo simile la consegna o la visualizzazione di informazioni a un individuo".

Il documento afferma che la valutazione d'impatto deve fornire tutte le seguenti informazioni:

• Una descrizione dettagliata dei dati utilizzati dall'algoritmo in questione.
• Una dichiarazione degli scopi e degli usi proposti per l'algoritmo.
• Descrizione degli output prodotti dall'algoritmo
• Una valutazione della necessità e della proporzionalità dell'algoritmo in questione rispetto agli scopi dichiarati.
• Una descrizione delle misure che il titolare dei dati di grandi dimensioni adotterà per mitigare i potenziali danni.

Ci si potrebbe chiedere perché la normativa sull'IA compare in un disegno di legge sulla privacy?

Le norme sulla privacy dei dati devono tenere il passo con i rapidi progressi della tecnologia.

La legge federale deve essere adattabile, lungimirante e in grado di affrontare i problemi di privacy imprevisti derivanti da tecnologie come l'intelligenza artificiale, la biometria e l'evoluzione dei metodi di raccolta dei dati.

Sicurezza e protezione dei dati

Le entità coperte ai sensi dell'ADPPA devono stabilire, implementare e mantenere pratiche ragionevoli di sicurezza amministrativa, tecnica e fisica dei dati, come spiega il Titolo II, Sezione 208.

Nel determinare quali pratiche di sicurezza implementare, le entità coperte devono considerare:

• Le dimensioni e la complessità dell'entità coperta stessa
• La natura e l'ambito della raccolta, del trattamento e del trasferimento dei dati
• Il volume e la natura dei dati raccolti, elaborati o trasferiti
• La sensibilità dei dati raccolti, elaborati o trasferiti
• Lo stato attuale (e i limiti) delle protezioni amministrative, tecniche e fisiche per la protezione dei dati.
• Il costo degli strumenti disponibili per migliorare la sicurezza e ridurre le vulnerabilità

Come minimo, le entità coperte devono valutare le proprie vulnerabilità, valutare le azioni preventive e correttive, formare i propri dipendenti e designare un responsabile per l'attuazione di tali pratiche.

Tutela delle piccole imprese

Le esenzioni e le protezioni riguardanti specificamente le piccole imprese sono descritte nel Titolo II, Sezione 209 dell'ADPPA.

Per qualificarsi come piccola impresa, l'entità deve soddisfare le seguenti soglie:

• Non superare i 41.000.000 dollari di ricavi lordi medi annui.
• Non raccogliere o elaborare annualmente i dati di oltre 200.000 persone.
• Non ricavare più del 50% delle proprie entrate dal trasferimento di dati durante un anno solare.

In particolare, le piccole imprese sono esentate dal rispetto della Sezione 203 (a) 4, paragrafi da (1) a (3) e da (5) a (7).

Sono inoltre esentati dal rispetto della Sezione 208 (b) e della Sezione 301 (c).

La conformità alla Sezione 203 (a)(2) è facoltativa.

Meccanismi di opt-out unificati

Ai sensi del Titolo II, Sezione 210 dell'ADPPA, le entità coperte devono stabilire uno o più meccanismi globali di opt-out del segnale di privacy entro 18 mesi dalla data di entrata in vigore della legge.

Il meccanismo di opt-out centralizzato deve soddisfare tutte le seguenti linee guida:

• Richiedere all'ente coperto di informare i consumatori sull'opzione di opt-out centralizzato.
• Non è richiesto che sia l'impostazione predefinita, ma può esserlo nei casi in cui il meccanismo rappresenti chiaramente la scelta affermativa e libera di un individuo di rinunciare.
• Essere di facile utilizzo per il consumatore, facile da usare e descritto in modo chiaro.
• Consentire all'entità coperta di disporre di un processo di autenticazione per determinare che il meccanismo rappresenti una richiesta di opt-out legittima.
• Essere disponibile in qualsiasi lingua coperta a cui l'ente fornisce prodotti o servizi.
• Essere forniti in modo ragionevolmente accessibile agli individui con disabilità.

Multe e sanzioni per la violazione dell'ADPPA

La Federal Trade Commission e gli uffici dei procuratori generali degli Stati hanno l'autorità di applicare l'ADPPA, come previsto dal Titolo IV.

Le multe e le sanzioni possono arrivare fino a 10.000 dollari per ogni violazione se la Commissione ritiene che si tratti di un atto sleale o ingannevole.

Diritto di azione privata

L'ADPPA concede anche un diritto di azione privata per gli individui nel Titolo IV, Sezione 403, con un limite di due anni.

Ma il diritto all'azione privata non si applica fino a due anni dopo l'approvazione della legge.

Il tribunale può assegnare all'attore un importo pari a eventuali danni compensativi, provvedimenti ingiuntivi, provvedimenti dichiarativi e spese legali ragionevoli.

Tuttavia, l'individuo deve prima notificare alla Commissione e al procuratore generale dello Stato in cui risiede l'intenzione di intraprendere un'azione civile.

Entro 60 giorni dal ricevimento dell'avviso, riceveranno una risposta che indicherà se possono procedere con il contenzioso.

Impatto dell'ADPPA su imprese e consumatori

Se l'ADPPA fosse stato approvato, avrebbe colpito i consumatori americani e si sarebbe applicato anche alle aziende di tutto il mondo.

Discutiamo più in dettaglio le sue possibili implicazioni e la sua portata.

Come influisce sulle aziende

Se l'ADPPA diventasse una legge federale, le aziende dovrebbero pubblicare le informative sulla privacy (ed eventualmente un avviso aggiuntivo) sui siti web o sulle app e..:

• Rispettare i controlli globali sulla privacy per quanto riguarda i diritti di opt-out dei consumatori.
• Fornite ai vostri consumatori americani diversi modi per far valere i loro diritti.
• Eseguire valutazioni d'impatto per alcuni tipi di trattamento dei dati.
• Ottenere il consenso dei consumatori per determinati tipi di trattamento, raccolta e trasferimento dei dati.
• Creare e implementare misure di sicurezza adeguate per proteggere l'integrità dei dati.

Tuttavia, i requisiti più severi delineati dall'ADPPA si applicano ai grandi detentori di dati.

Le piccole imprese sono esentate dal soddisfare alcuni degli aspetti più complessi e lunghi della legge.

Inoltre, se la vostra azienda è già conforme alle leggi sulla privacy degli Stati Uniti, come il Virginia Consumer Data Protection Act(VCDPA) o il Colorado Privacy Act(CPA), sarà probabilmente più facile seguire i requisiti dell'ADPPA.

La legge federale potrebbe superare quelle specifiche degli Stati, ma poiché descrive protezioni simili, in alcuni casi potrebbe rendere la conformità una transizione più agevole.

L'impatto sui consumatori

L'ADPPA avrebbe avuto un impatto sui consumatori, fornendo loro diritti sulle modalità di raccolta, trattamento e utilizzo dei loro dati personali da parte di entità esterne.

Inoltre, prevedeva un diritto di azione privata contro gli enti che avessero violato i diritti alla privacy delineati dalla legge, ora in fase di stallo.

I diritti relativi ai dati dei consumatori figurano nel titolo II della legge e comprendono:

• Consapevolezza
• Trasparenza
• Proprietà e controllo dei dati individuali
• Diritto al consenso e all'obiezione
• Protezione dei dati per bambini e minori

Vediamo cosa comporta esattamente ciascuno di questi diritti.

Consapevolezza

Ai sensi del Titolo II, Sezione 201 dell'ADPPA, i consumatori avrebbero avuto il diritto alla consapevolezza, che la legge definisce in tre parti.

In primo luogo, entro 90 giorni dall'entrata in vigore della legge, la Commissione pubblicherà una pagina web che descriverà ogni disposizione, diritto, obbligo e requisito delineato dall'ADPPA.

Inoltre, la Commissione si impegna ad aggiornare le informazioni con cadenza trimestrale e, se necessario, ogni qualvolta si verifichino cambiamenti nella legge, nei regolamenti, nelle linee guida o nelle decisioni giudiziarie.

Infine, le informazioni saranno pubblicate nelle prime dieci lingue utilizzate negli Stati Uniti secondo l'ultimo censimento degli Stati Uniti.

Trasparenza

I consumatori avrebbero avuto anche il diritto alla trasparenza, come indicato nel Titolo II, Sezione 202 della Legge.

Le entità coperte devono mettere a disposizione dei consumatori un'informativa sulla privacy chiara, evidente, non ingannevole e di facile lettura.

Deve inoltre essere facilmente accessibile e fornire una rappresentazione dettagliata e accurata delle attività di raccolta, trattamento e trasferimento dei dati dell'ente coperto.

Ai sensi dell'ADPPA, i consumatori hanno anche il diritto di ricevere dai grandi detentori di dati un'informativa sulla privacy in forma abbreviata, non più lunga di 500 parole.

Proprietà e controllo dei dati individuali

L'ADPPA ha concesso ai consumatori il diritto all'accesso, alla correzione, alla cancellazione e alla portabilità dei dati coperti nel Titolo II, Sezione 203.

In particolare, i consumatori potrebbero:

• Accedere gratuitamente ai propri dati personali in un formato leggibile e scaricabile da internet per due volte in 12 mesi.
• Correggere le inesattezze verificabili e sostanziali o le informazioni incomplete e istruire l'entità coperta a notificare a tutte le terze parti o ai fornitori di servizi collegati di fare lo stesso.
• Cancellare i dati raccolti da un'entità coperta su di loro e chiedere loro di informare tutte le terze parti o i fornitori di servizi collegati di fare lo stesso.
• Richiedere, se tecnicamente fattibile, che un'entità coperta esporti i propri dati all'individuo o a un'altra entità in un formato portatile, strutturato, interoperabile e leggibile a macchina.

Le piccole imprese qualificate sono esentate dal soddisfare queste richieste individuali.

Diritto al consenso e all'obiezione

La legge americana sulla privacy e la protezione dei dati avrebbe conferito ai consumatori il diritto al consenso e all'obiezione nel titolo II, parte 204.

In particolare, i consumatori possono scegliere di non partecipare (ovvero di opporsi):

• Trasferimento dei propri dati a terzi
• Pubblicità mirata

I consumatori hanno anche il diritto all'"autonomia individuale", il che significa che le entità coperte non possono tentare di condizionare il consumatore a fare delle scelte:

• Utilizzo di dichiarazioni o affermazioni false, fittizie, fraudolente o fuorvianti.
• Progettare, modificare o manipolare l'interfaccia utente per oscurare, sovvertire o compromettere l'autonomia, il processo decisionale o la scelta di esercitare i diritti di un individuo.

Protezione dei dati per bambini e minori

L'ADPPA ha inoltre descritto ulteriori diritti in materia di protezione dei dati per bambini e minori.

In particolare, le entità coperte non possono fare pubblicità mirata se l'individuo è un minore di 17 anni.

Inoltre, le entità coperte non possono trasferire i dati dei minori senza ottenere il consenso esplicito e affermativo del loro tutore legale.

L'ADPPA a confronto con alcune delle più importanti leggi sulla privacy dei dati

Confrontiamo poi la proposta di ADPPA con altre importanti leggi sulla privacy dei dati a livello mondiale.

ADPPA vs. GDPR

L'ADPPA è simile al Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea (UE).GDPR), la principale legge sulla privacy dei dati.

Tuttavia, si differenzia anche per alcuni aspetti degni di nota.

Entrambe le leggi delineano principi di trasparenza sulle attività di trattamento dei dati di un'entità e richiedono avvisi sulla privacy (o politiche).

Ciascuna di esse descrive i requisiti di minimizzazione dei dati per quanto riguarda la raccolta di informazioni "proporzionate" e "necessarie".

Inoltre, forniscono diritti simili alle persone protette, ossia il diritto di accesso, cancellazione o correzione dei dati e la portabilità dei dati.

Tuttavia, alcune differenze significative includono:

• La definizione di "individuo" dell'ADPPA non sembra avere la stessa portata extraterritoriale della definizione di "persona interessata" del GDPR .
• La definizione di "dati personali" del GDPR è più ampia e prevede meno esenzioni rispetto alla definizione di "dati coperti" dell'ADPPA.
• Il concetto di "entità coperta" dell'ADPPA non si applica alle agenzie governative, mentre la definizione di "responsabili del trattamento dei dati" del GDPR sì.
• L'ADPPA prevede esenzioni per le piccole imprese, mentre il GDPR non ha un effetto equivalente.

ADPPA vs. PIPEDA

La maggior parte del Canada è disciplinata dal Personal Information Protection and Electronic Documents Act(PIPEDA), una legge che presenta alcune analogie con l'ADPPA, ma anche notevoli differenze.

Entrambe le leggi creano regole di base per le aziende che gestiscono i dati personali degli individui.

Come l'ADPPA, il PIPEDA richiede che le entità coperte si assumano la responsabilità di proteggere i dati personali e di mantenerli sicuri e protetti.

Tuttavia, una differenza significativa riguarda i loro ambiti legali.

La portata dei soggetti protetti dal PIPEDA è limitata, anche in Canada. In alcune località, le leggi provinciali hanno più potere del PIPEDA. Inoltre, ha un impatto solo sulle attività commerciali a scopo di lucro nel settore privato.

D'altra parte, l'ADPPA si applicherebbe a qualsiasi persona fisica residente in America.

Sebbene vi siano eccezioni a ciò che è considerato un'entità coperta o un dato coperto, il sistema tiene conto sia del settore pubblico che di quello privato.

ADPPA vs. CCPA

Come si colloca quindi la prima potenziale legge federale americana rispetto al California Consumer Protection Act(CCPA), una legge statale del 2018 un tempo definita "il GDPRamericano"?

Entrambi danno ai consumatori il diritto di accedere, correggere o cancellare i propri dati e delineano i requisiti per le comunicazioni e le politiche sulla privacy. Condividono anche descrizioni simili dei requisiti di sicurezza e protezione, sebbene l'ADPPA elenchi un maggior numero di specifiche rispetto al CCPA.

Tuttavia, i legislatori californiani sostengono che i requisiti del CCPA sono più severi di quelli descritti dall'ADPPA nei seguenti modi:

• Il CCPA prevede obblighi per gli elaboratori terzi che non esistono nella versione attuale dell'ADPPA.
• L'ADPPA esclude dal suo campo di applicazione i dati dei dipendenti, compresi gli appaltatori, ma non è così per il CCPA.
• I recenti emendamenti al CCPA hanno creato la California Privacy Protection Agency(CPPA), un gruppo di cinque membri del consiglio di amministrazione che implementa e applica la legge.
• Tuttavia, l'ADPPA non crea alcuna agenzia specifica per il rispetto della legge e dipende invece dalla Commissione e dagli uffici dei procuratori generali degli Stati.

Prospettive future dell'ADPPA

L'American Data Privacy and Protection Act si è trovato di fronte a un momento cruciale, con la prelazione, l'innovazione, le tecnologie emergenti e le lacune di protezione in primo piano.

Detto questo, è in stallo da diversi anni e alcuni la definiscono una "legge morta".

Tuttavia, ha ottenuto un certo sostegno bipartisan e può fornire alcuni spunti interessanti su come potrebbe essere una futura legge federale per l'America.

Riassunto

Non è chiaro quando l'America approverà una legge federale sulla privacy dei dati, ma l'attuale versione dell'ADPPA fornisce una buona idea di come potrebbe in parte apparire.

La prima legge federale ufficiale americana deve garantire una protezione completa, senza lasciare spazio alle organizzazioni per sfruttare le ambiguità a scapito dei consumatori.

Dovrebbe stabilire una base significativa di diritti alla privacy, consentendo al contempo alle autorità di regolamentazione statali di affrontare problemi regionali specifici.

La protezione della privacy nell'era digitale è complessa e richiede una navigazione attenta.

È fondamentale bilanciare le autorità federali e statali, promuovere l'innovazione e stare al passo con la tecnologia per garantire un'adeguata protezione dei dati.

Nel frattempo, continueremo a seguire l'ADPPA e altri atti simili mentre si muovono (o non si muovono) per diventare potenzialmente leggi.

Per saperne di più su chi scrive

Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive