Credito:CC0 di pubblico dominio
La privacy dei dati negli Stati Uniti è, per molti versi, un vuoto legale. Sebbene ci siano protezioni limitate per i dati sanitari e finanziari, la culla delle più grandi aziende tecnologiche del mondo, come Apple, Amazon, Google e Meta (Facebook), manca di una legge federale completa sulla privacy dei dati. Ciò lascia ai cittadini statunitensi una protezione minima della privacy dei dati rispetto ai cittadini di altre nazioni. Ma potrebbe essere sul punto di cambiare.
Con un raro sostegno bipartisan, l'American Data and Privacy Protection Act è uscito dal Comitato per l'energia e il commercio della Camera dei rappresentanti degli Stati Uniti con un voto di 53-2 il 20 luglio 2022. Il disegno di legge deve ancora passare all'intera Camera e al Senato , e le trattative sono in corso. Data la strategia di gestione dei dati responsabile dell'amministrazione Biden, è probabile che il sostegno della Casa Bianca se una versione del disegno di legge passerà.
In qualità di studioso di diritto e avvocato che studia e pratica la tecnologia e la legge sulla privacy dei dati, ho seguito da vicino l'atto, noto come ADPPA. Se approvato, modificherà sostanzialmente la legge sulla privacy dei dati degli Stati Uniti.
L'ADPPA riempie il vuoto sulla privacy dei dati, crea una prelazione federale su alcune leggi statali sulla privacy dei dati, consente alle persone di intentare causa per violazioni e modifica sostanzialmente l'applicazione della legge sulla privacy dei dati. Come tutti i grandi cambiamenti, ADPPA sta ricevendo recensioni contrastanti da parte di media, studiosi e aziende. Ma molti vedono il disegno di legge come un trionfo per la privacy dei dati negli Stati Uniti, che fornisce uno standard nazionale necessario per le pratiche relative ai dati.
Chi e cosa regolerà l'ADPPA?
L'ADPPA si applicherebbe alle entità "coperte", intendendo qualsiasi entità che raccoglie, elabora o trasferisce dati coperti, comprese le organizzazioni non profit e le ditte individuali. Regola anche i fornitori di telefoni cellulari e Internet e altri vettori comuni, con potenziali modifiche alla normativa federale sulle comunicazioni. Non si applica agli enti governativi.
L'ADPPA definisce i dati "coperti" come qualsiasi informazione o dispositivo che identifica o può essere ragionevolmente collegato a una persona. Protegge anche i dati biometrici, i dati genetici e le informazioni di geolocalizzazione.
Il disegno di legge esclude tre categorie di big data:dati non identificati, dati dei dipendenti e informazioni pubblicamente disponibili. Quest'ultima categoria include account di social media con impostazioni sulla privacy aperte alla visualizzazione pubblica. Sebbene la ricerca abbia ripetutamente dimostrato che i dati non identificati possono essere facilmente reidentificati, l'ADPPA tenta di affrontarlo richiedendo agli enti interessati di adottare "misure tecniche, amministrative e fisiche ragionevoli per garantire che le informazioni non possano, in nessun momento, essere utilizzate per identificare nuovamente qualsiasi individuo o dispositivo."
Come ADPPA protegge i tuoi dati
L'atto richiederebbe che la raccolta dei dati sia il più minima possibile. Il disegno di legge consente alle entità interessate di raccogliere, utilizzare o condividere i dati di una persona solo quando ragionevolmente necessario e proporzionato a un prodotto o servizio richiesto dalla persona o per rispondere a una comunicazione avviata dalla persona. Consente la raccolta per l'autenticazione, gli incidenti di sicurezza, la prevenzione di attività illegali o gravi danni alle persone e il rispetto degli obblighi di legge.
Le persone otterrebbero i diritti di accesso e avrebbero un certo controllo sui propri dati. ADPPA offre agli utenti il diritto di correggere le imprecisioni e di eliminare potenzialmente i propri dati detenuti da soggetti interessati.
Il disegno di legge consente la raccolta di dati nell'ambito della ricerca per il bene pubblico. Consente la raccolta di dati per ricerche sottoposte a revisione paritaria o ricerche svolte nell'interesse pubblico, ad esempio per verificare se un sito Web è illegalmente discriminatorio. Questo è importante per i ricercatori che potrebbero altrimenti entrare in conflitto con i termini del sito o con le leggi sull'hacking.
L'ADPPA ha anche una disposizione che affronta il problema del servizio condizionato al consenso:quelle fastidiose caselle "Accetto" che costringono le persone ad accettare un guazzabuglio di termini legali. Quando fai clic su una di queste caselle, rinunci contrattualmente ai tuoi diritti alla privacy come condizione per utilizzare semplicemente un servizio, visitare un sito Web o acquistare un prodotto. Il disegno di legge impedirà alle entità coperte di utilizzare il diritto contrattuale per aggirare le protezioni del disegno di legge.
Richiedo assistenza alla legge federale sulla sorveglianza elettronica
L'Electronic Communications Privacy Act degli Stati Uniti può fornire ai legislatori federali una guida per finalizzare l'ADPPA. Come l'ADPPA, la legislazione ECPA del 1986 ha comportato una massiccia revisione della legge sulla privacy elettronica degli Stati Uniti per affrontare gli effetti negativi sulla privacy individuale e sulle libertà civili derivanti dal progresso delle tecnologie di sorveglianza e comunicazione. Ancora una volta, i progressi nella sorveglianza e nelle tecnologie dei dati, come l'intelligenza artificiale, stanno incidendo in modo significativo sui diritti dei cittadini.
L'ECPA, ancora in vigore oggi, fornisce uno standard nazionale di base per le protezioni di sorveglianza elettronica. L'ECPA protegge le comunicazioni dall'intercettazione a meno che una delle parti della comunicazione non acconsenta. Ma l'ECPA non impedisce agli stati di approvare leggi più protettive, quindi gli stati possono scegliere di fornire maggiori diritti alla privacy. Il risultato finale:circa un quarto degli stati degli Stati Uniti richiede il consenso di tutte le parti per intercettare una comunicazione, fornendo così ai propri cittadini maggiori diritti alla privacy.
L'equilibrio federale/statale dell'ECPA funziona ormai da decenni e l'ECPA non ha sopraffatto i tribunali né distrutto il commercio.
Prelazione nazionale
Come redatto, l'ADPPA anticipa alcune legislazioni statali sulla privacy dei dati. Ciò influisce sul Consumer Privacy Act della California, sebbene non pregiudichi l'Illinois Biometric Information Privacy Act o le leggi statali che regolano specificamente la tecnologia di riconoscimento facciale. Le disposizioni di prelazione, tuttavia, sono in continuo mutamento mentre i membri della Camera continuano a negoziare il disegno di legge.
Gli standard nazionali di ADPPA forniscono requisiti di conformità uniformi, al servizio dell'efficienza economica; ma la sua prelazione della maggior parte delle leggi statali ha preoccupato alcuni studiosi e la California si oppone al suo passaggio.
Se esiste la prelazione, qualsiasi versione finale dell'ADPPA sarà la legge del paese, limitando gli stati a proteggere più fermamente la privacy dei dati dei propri cittadini.
Diritto privato di azione e applicazione
L'ADDPA prevede un diritto di azione privato, consentendo alle persone di citare in giudizio gli enti coperti che violano i loro diritti ai sensi dell'ADPPA. Ciò dà un grande impulso ai meccanismi di applicazione del disegno di legge, sebbene abbia restrizioni significative.
La Camera di Commercio degli Stati Uniti e l'industria tecnologica si oppongono a un diritto di azione privato, preferendo che l'applicazione dell'ADPPA sia limitata alla Federal Trade Commission. Ma la FTC ha molto meno personale e molte meno risorse rispetto agli avvocati statunitensi.
L'ECPA, per confronto, ha un diritto di azione privato. Non ha sopraffatto tribunali o imprese ed è probabile che le entità rispettino l'ECPA per evitare contenziosi civili. Inoltre, i tribunali hanno perfezionato i termini dell'ECPA, fornendo chiari precedenti e comprensibili linee guida di conformità.
Quanto sono grandi i cambiamenti?
Le modifiche alla legge sulla privacy dei dati degli Stati Uniti sono grandi, ma ADPPA offre la sicurezza e la protezione dei dati tanto necessarie ai cittadini statunitensi e credo che sia praticabile con modifiche.
Dato il funzionamento di Internet, i dati fluiscono regolarmente attraverso i confini internazionali, così tante aziende statunitensi hanno già implementato la conformità con le leggi di altre nazioni nei loro sistemi. Ciò include il regolamento generale sulla protezione dei dati dell'UE, una legge simile all'ADPPA. Facebook, ad esempio, fornisce a E.U. cittadini con le protezioni del GDPR, ma non offre tali protezioni ai cittadini statunitensi, perché non è obbligato a farlo.
Il Congresso ha fatto poco con la privacy dei dati, ma l'ADPPA è pronta a cambiarlo. + Esplora ulteriormente
Questo articolo è stato ripubblicato da The Conversation con licenza Creative Commons. Leggi l'articolo originale.