Negli USA ad inizio Giugno, è stata presentata la bozza dell’ADPPA (American Data Privacy and Protection Act). Il 23 dello stesso mese, prima di essere presentata definitivamente alla Camera dei Rappresentanti, è stata discussa da apposita sottocommissione della Camera e ad oggi si è in attesa di approvazione di quella che potrebbe essere la prima normativa federale in grado di offrire importanti garanzie in materia privacy.
Gli aspetti chiave della proposta
L’ADPPA è per certi versi simile ad altra normativa sulla privacy già in vigore all’interno degli Stati Uniti.
Tuttavia, si differenzia dalla precedente per due aspetti fondamentali che hanno già fatto discutere buona parte della dottrina: da un lato, consentirebbe agli interessati – similmente al GDPR – di esercitare i diritti posti a presidio della tutela dei dati personali, agendo in giudizio per l’ottenimento del risarcimento del danno connesso alla lesione degli stessi; dall’altro, essendo una legge federale, prevarrebbe sulle leggi statali, comprese quelle nazionali già emanate da California, Colorado, Connecticut, Utah e Virginia.
Tentiamo di analizzare, quindi, i punti chiave della proposta:
- interessanti, inoltre, le previsioni per le società la cui fonte di guadagno principale proviene dall’elaborazione o dal trasferimento di dati non raccolti direttamente dagli interessati. Questi soggetti dovranno rispettare le norme di controllo della FTC e, se raccolgono dati per un numero di persone o dispositivi superiore ad una certa soglia, dovranno registrarsi presso la FTC;
- la proposta conferisce diritti specifici agli interessati – quali l’accesso, la rettifica, la cancellazione – e, in alcuni casi, subordina il trattamento all’ottenimento di uno specifico consenso;
- similmente a quanto previsto dal GDPR, per dati si intendono l’insieme delle informazioni che identificano o sono collegate o ragionevolmente collegabili a un individuo.
- si applicherebbe a tutte le società che trattano dati personali – incluse le organizzazioni non profit – e particolari previsioni più stringenti troverebbero applicazione nei confronti dei c.d. “large data holders” o dei “service providers”;
- si imporrebbe il rispetto di alcuni principi similari a quelli previsti dal GDPR, quale quello di minimizzazione; di protezione rafforzata per alcune tipologie di dati, come per esempio i dati particolari; di informazione degli interessati rispetto alle modalità di trattamento dei dati personali;
- particolari forme di tutela verrebbero riconosciute nei confronti dei minori dei 17 anni: in particolare sarebbe sempre preclusa la pubblicità mirata;
- verrebbe inibito l’uso di algoritmi capaci di discriminare i beneficiari di un determinato servizio e richieste le valutazioni d’impatto.
Considerazioni
Certo, forse ancora è troppo presto per comprendere quali impatti partici potrà avere una proposta tanto discussa e non ancora approvata. In ogni caso, è fuor di dubbio che, specie dopo la nota sentenza Shrems II della Corte di Giustizia, per gli Stati Uniti si è fatta sempre più pressante l’esigenza di regolamentare la disciplina a livello federale. Rinviando, per il momento, tutte i quesiti connessi alle analogie e alle differenze con il GDPR, si osserva come l’approccio basato sulla minimizzazione dei dati, i limiti alla pubblicità mirata, gli obblighi di compliance e di valutazione d’impatto imposti ai titolari del trattamento siano importanti passi in avanti per la disciplina americana di settore.
Avv. Marta Cogode