Una nuova legge radicale che mira a riscrivere le regole di Internet in California entrerà in vigore il 1° gennaio.

La maggior parte delle aziende con un sito Web e clienti in California, vale a dire la maggior parte delle grandi aziende della nazione, deve seguire il nuovo regime, che dovrebbe rendere la vita online più trasparente e meno inquietante per gli utenti.

L'unico problema:nessuno sa come funzionano le nuove regole.

Il California Consumer Privacy Act è partito da una semplice premessa:le persone dovrebbero essere in grado di sapere se le aziende vendono le loro informazioni personali, vedere quali informazioni le aziende hanno già raccolto su di loro, e avere la possibilità di uscire dall'intero sistema.

Ma nulla è semplice quando si tratta dell'economia dei dati online ad alta velocità e in gran parte opaca. Per più di due decenni, le aziende tecnologiche hanno costruito un sistema profondamente intrecciato per tracciare le abitudini e le identità di milioni di utenti, ogni secondo di ogni giorno, e poi scambiare o vendere tali informazioni per perfezionare ulteriormente il marketing, pubblicità e strategia aziendale.

Grazie alla complessità tecnica del sistema e alla rapida tempistica di attuazione, una serie di domande fondamentali rimangono senza risposta. Cosa significa "vendere"? In che modo le aziende possono essere sicure di eliminare i dati della persona giusta? E semplicemente avere un sito web che tiene traccia di quante persone visitano ogni anno significa che devi guadare nel boschetto normativo?

L'ufficio del procuratore generale, che ha il compito sia di interpretare che di far rispettare la legge, ha pubblicato la prima tornata di bozze di regolamento solo all'inizio di ottobre. È improbabile che un set finale arrivi prima del 2020, e la legge non sarà applicata fino a luglio.

Intanto, le aziende si affannano per assicurarsi di non infrangere le basi della legge. Le grandi aziende stanno firmando accordi con aziende specializzate nella conformità per creare pulsanti "non vendere le mie informazioni personali" sui loro siti (e assicurarsi che funzionino effettivamente). Le piccole aziende stanno creando account di posta elettronica per gestire le richieste dei clienti, o semplicemente tenendo la testa bassa e scommettendo che il procuratore generale non si preoccuperà di prendersela con loro una volta avviata l'applicazione.

"Non c'è un avvocato per la privacy nel settore che non stia lavorando 24 ore su 24 in questo momento per prepararsi per il 1 gennaio, " ha detto Michael Hahn, consulente generale dell'Interactive Advertising Bureau, un gruppo industriale composto da aziende dell'ecosistema della pubblicità online.

Cominciò quando Alistair McTaggart, uno sviluppatore immobiliare di San Francisco, ha avuto una conversazione inquietante sulla privacy digitale con un ingegnere di Google a un cocktail party. Ha deciso di finanziare una campagna elettorale del 2018. I legislatori di Sacramento hanno raggiunto un accordo per trasformarlo in legge, e insolitamente per una legge che rischia di colpire società da miliardi di dollari, è rimasto sostanzialmente invariato grazie agli sforzi di lobbying fino al 2019.

Nell'economia dei dati, le informazioni personali degli utenti possono essere utilizzate in transazioni velocissime, come l'asta in tempo reale che si svolge dietro ogni annuncio online, e archiviati in database per decenni. Qualche volta, le aziende vendono informazioni personali:la posizione di qualcuno, età o anche nome, senza alcuna informazione di contatto, o modi semplici per verificare l'identità di quell'individuo.

Il risultato è un torbido mix di sorveglianza totale e tenuta dei registri sbrigativa, il che rende la risposta a richieste apparentemente semplici come "dimmi quali informazioni hai raccolto su di me" e "smetti di vendere le mie informazioni" sorprendentemente complesse.

Per le imprese, l'impatto è stato l'equivalente digitale di richiedere a ogni guidatore dello stato di installare un nuovo convertitore catalitico nella propria auto o affrontare una multa, senza condividere alcun nome di marca o specifiche tecniche dell'aggiornamento richiesto. Un rapporto del 2019 commissionato dall'ufficio del procuratore generale ha stimato che conformarsi alla legge potrebbe costare alle società interessate 55 miliardi di dollari in anticipo, con il potenziale per ulteriori 16 miliardi di dollari nel prossimo decennio.

I legislatori dietro le regole vedono il caos come necessario per tenere a freno un settore che opera senza controllo da decenni.

"È stato davvero il selvaggio West, " dice Bob Hertzberg (D–Van Nuys), il leader della maggioranza del Senato dello Stato della California che ha sostenuto il disegno di legge a Sacramento. "C'è sempre un po' di confusione, ma la chiave è tenere d'occhio l'orizzonte, e renderlo praticabile ma profondamente rivolto al futuro in termini di tutela dei consumatori".

Le aziende interessate dalle nuove regole hanno rinunciato ad opporvisi una volta che era chiaro che sarebbero diventate legge. Ora vogliono solo capire cosa sta succedendo.

In una riunione all'inizio di dicembre a Los Angeles, rappresentanti di potenti gruppi commerciali e individui interessati allo stesso modo si sono messi in fila per esprimere non tanto opposizione quanto confusione come parte del periodo di commento che darà forma alla prossima tornata di progetti di regolamento.

Peter Watson, membro del consiglio di amministrazione della California Self-Storage Association, ha posto una domanda fondamentale:quali imprese devono seguire la legge?

Il CCPA si applica solo alle aziende con più di $ 25 milioni di entrate o accesso alle informazioni personali di più di 50, 000 persone. Quindi, se una società di self-storage ha le informazioni di 10, 000 attuali ed ex inquilini, ma più di 50, 000 persone visitano il suo sito web ogni anno, condividendo così i propri indirizzi IP con l'azienda, si qualifica?

Altre domande ruotavano intorno a quella che sembra una contraddizione:in alcuni casi, le aziende potrebbero aver bisogno di chiedere ulteriori informazioni personali per soddisfare la richiesta di un utente di eliminare o ottenere una copia di tutte le proprie informazioni personali. Potrebbero sapere che una persona di nome Maria Garcia ha 36 anni, gli piacciono i camion e i drammi legali, e accede regolarmente da un telefono nel centro di Los Angeles, ma se qualcuno manda un'e-mail affermando di essere Maria Garcia e chiede tutte quelle informazioni su se stesso, come può un'azienda essere sicura che sia quella giusta? Possono chiedere ulteriori informazioni personali, come un'e-mail specifica o un numero di previdenza sociale, verificare?

Bo Kim, avvocato della Camera di Commercio della California, ha iniziato con la richiesta di spostare la scadenza a gennaio 2021, ha poi evidenziato un modo in cui il progetto di regolamento si scontra con i limiti della conoscenza umana. Una disposizione impone alle aziende di condividere, nelle loro politiche sulla privacy, il valore dei dati personali di un singolo utente.

"La stragrande maggioranza delle aziende interessate dal CCPA utilizza la tecnologia ma non sono aziende tecnologiche, " Kim ha detto. "Come tale, non vi è alcun valore particolare dei dati allocati su alcun bilancio esistente."

L'impatto più ampio della nuova legge ricade sull'economia pubblicitaria online e sulle aziende, inclusi giganti della tecnologia come Facebook e Google e società di media come il Los Angeles Times, che si affidano ad essa.

Il meccanismo principale del mondo degli annunci online si chiama offerta in tempo reale:dietro ogni annuncio su una pagina web (incluso questo), c'è una serie quasi istantanea di transazioni in corso.

La pagina stessa, attraverso l'uso di tracker digitali, raccoglie dati sul lettore. Quindi, la pagina invia queste informazioni utente nella pipeline insieme a un determinato insieme di regole, ad esempio quali tipi di annunci è disposto a mostrare, e a che prezzo Uno scambio di annunci quindi organizza immediatamente un'asta per lo spazio e l'utente, spesso cercano l'offerta più alta tra gli acquirenti di annunci che hanno anche preinserito i loro target preferiti, i prezzi e l'aspetto dei loro annunci. Una volta che l'intero processo ha avuto luogo, in pochi microsecondi, viene visualizzato l'annuncio.

Oggi, ogni entità lungo il percorso in genere salva tutti i dati che può per dopo. Maggiori sono le informazioni che una pagina conosce su un utente, più alto è il prezzo che può addebitare per un annuncio e ogni piccola fetta di informazione può essere aggiunta a un profilo del consumatore, che può essere venduto ad altre società in cerca di un pubblico più mirato.

Questa pratica ha permesso al settore della tecnologia pubblicitaria di accumulare profili di consumatori su milioni di persone. La nuova legge autorizza i californiani a fermare quella sorveglianza sul nascere.

Il CCPA non interrompe la catena di offerte in tempo reale del trasferimento dei dati e della visualizzazione degli annunci - e McTaggart è stato chiaro che non era mai stato questo l'intento - ma consente agli utenti di rinunciare alla seconda fase del processo, dove i loro dati sono archiviati e confezionati per essere venduti in futuro.

Coloro che si disattivano probabilmente vedranno meno annunci iper-mirati, i tipi che mostrano agli utenti un annuncio per un prodotto che hanno lasciato non acquistato a metà della procedura di pagamento, o che sembrano mostrare stranamente un annuncio per un negozio che hanno visitato pochi giorni prima. In combinazione con più richieste di cancellazione, gli utenti potrebbero eventualmente vedere solo annunci correlati alla pagina che stanno visitando:annunci di auto su un articolo sulle auto, o annunci di consegna di pasti su un sito web di prodotti alimentari.

L'Ufficio Pubblicitario Interattivo, un consorzio che comprende la maggior parte dei principali editori inserzionisti, e società di tecnologia pubblicitaria negli Stati Uniti, ha trascorso gran parte del 2019 a convocare riunioni per capire come le migliaia di aziende lungo la pipeline potessero onorare le richieste degli utenti di rinunciare alla vendita dei propri dati. È venuto fuori un complesso quadro di contratti e tag digitali che soddisfano funzionalmente il desiderio di un utente di non vendere i propri dati ai dati stessi, come un'etichetta a inchiostro su un pezzo di merce.

Google ha effettuato l'accesso a questo sistema a dicembre, e ha fornito ai suoi clienti, che includono la maggior parte dei siti Web su Internet, un toolkit per creare questo sistema di opt-out nei propri siti.

Facebook, in particolare, ha dichiarato in un post sul blog che non aveva bisogno di cambiare le sue pratiche per conformarsi alla legge. L'argomento dell'azienda si impernia sulle definizioni di vendite e di terzi, partendo dal presupposto che, poiché Facebook è l'unica entità che raccoglie e monetizza dati personali all'interno del proprio sistema, non effettua vendite di dati dell'utente a terzi.

Se un numero sufficiente di persone si disconnette e chiede che i propri dati vengano cancellati, questo potrebbe avere l'effetto di tagliare i ricavi pubblicitari in modo generalizzato. Gli inserzionisti sono disposti a pagare un premio per un target di qualità superiore:aziende di pannolini, Per esempio, vogliono mostrare i loro annunci specificamente alle neomamme, non un visitatore casuale del sito web. Ecco come Google, che costruisce profili in base alle ricerche degli utenti, utilizzo dell'app, e qualsiasi altra informazione che può ottenere dai dispositivi, è diventata una società da 930 miliardi di dollari. E Facebook ha raccolto ricompense simili dalla sua raccolta di dati comportamentali generati dagli utenti.

Ma la maggior parte degli esperti del settore sembra pensare che è improbabile che la nuova legge influisca sui profitti delle aziende basate sui dati (oltre al costo della conformità di base), semplicemente perché è improbabile che la maggior parte degli utenti si preoccupi di rinunciare.

"La gente dice di sì, "dice Ben Barokas, amministratore delegato della società di gestione della conformità SourcePoint. "Anche quando c'è la possibilità di dire di no, forse il 10% delle persone dice di no" alla vendita dei propri dati per mostrare pubblicità più mirata.

Regolamento generale sulla protezione dei dati in Europa, o GDPR, è un utile punto di confronto. Sotto quel regime, gli utenti hanno dovuto scegliere attivamente di essere tracciati online e di vendere i propri dati, una disposizione che alcuni attivisti hanno spinto per essere inclusa nella legge della California. Ma ancora, non ci sono dati chiari che le entrate pubblicitarie complessive abbiano subito un calo a lungo termine dopo l'entrata in vigore della legge nel maggio 2018, e alcuni rapporti mostrano che il 95% degli utenti sceglie di essere tracciato in cambio dell'accesso a siti Web e servizi.

Anche se le aziende si affrettano a conformarsi, le persone dietro il CCPA si stanno preparando a introdurre una nuova tornata di regolamenti sulla privacy sotto forma di una misura elettorale del 2020. I principali cambiamenti includono la creazione di un'agenzia distinta per far rispettare le leggi, piuttosto che lasciarlo all'ufficio dell'AG, creare un sistema di opt-in per gli utenti sotto i 16 anni, e limitare ulteriormente l'uso di ciò che l'iniziativa chiama "informazioni personali sensibili, " che include dati come posizione, stato di salute e orientamento sessuale.

McTaggart spera che il prossimo round, con un'agenzia per la privacy finanziata e dotata di personale, può stabilire un nuovo standard per Internet nel suo insieme.

"Pensiamo che farà per la privacy ciò che il California Air Resources Board ha fatto per la qualità dell'aria a livello nazionale, "Ha detto McTaggart.

Ha detto che l'intento non era quello di distruggere nessuna attività commerciale, ma per assicurarsi che le aziende utilizzassero i dati dei consumatori in modo sicuro. O per estendere l'analogia dell'auto allo smog digitale dell'economia dei dati:"Pensiamo che le auto vadano bene, e capiamo che Los Angeles ha molte macchine, ma sarebbe bello vedere tutta LA in una giornata limpida".

©2019 Los Angeles Times
Distribuito da Tribune Content Agency, LLC.