La privacy sotto la presidenza Biden: tutti i dossier aperti | Agenda Digitale

Stati Uniti e noi

La privacy sotto la presidenza Biden: tutti i dossier aperti

Da una legge federale per la protezione dei dati personali alla nuova leadership nelle agenzie governative, dalle Big Tech alla collaborazione con l’UE per il trasferimento dei dati, dalle misure su IA e 5G alla creazione di un’Autorità privacy. Tutti i temi sul tavolo e il possibile impatto del cambio di presidenza USA

24 Nov 2020
Monica Belfi

Legal Specialist, GDPR and Data Protection Specialist

A seguito dell’elezione di Joe Biden come quarantaseiesimo presidente degli Stati Uniti, l’Unione Europea ha dichiarato di avere “grandi aspettative” sul nuovo presidente “e la speranza è che le elezioni presidenziali americane portino a un ritorno all’impegno multilaterale nel commercio internazionale e alla possibilità di superare i conflitti del passato”, ha dichiarato il ministro tedesco dell’Economia, Peter Altmaier[1].

Tra le grandi aspettative ci sono anche nuove e forti regole che riguardano la privacy e i connessi diritti degli utenti nei confronti delle piattaforme big tech. Novità che – per forza di cose – avrebbero un impatto anche in Europa.

Sono, infatti, molti i temi che la nuova amministrazione si troverà ad affrontare da cui potrebbero derivare importanti effetti sulla privacy:

  • la potenziale legge federale che regolamenti in modo unitario in tutti gli Stati Uniti la protezione dei dati personali,
  • la nuova leadership nelle agenzie governative,
  • un possibile regolamento delle Big Tech,
  • la collaborazione con l’UE e con gli altri Paesi extra-US per il trasferimento dei dati,
  • misure su IA e 5G,
  • fino alla creazione di una Autorità indipendente dedicata alla tutela dei dati personali.

Una normativa federale mirata alla tutela dei dati personali

Uno dei temi su cui potremo vedere delle novità è lo sviluppo di una normativa unitaria, federale, focalizzata sul trattamento di dati personali, che potrebbe alleggerire gli oneri in capo alle imprese, che attualmente devono conformarsi a un complicato mosaico di leggi statali e locali sulla privacy.

LIVE DAL 6 MAGGIO
Ritorna Telco per l’Italia: 4 appuntamenti da non perdere!
Networking
Telco

Come ha affermato Janis Kestenbaum, dello studio legale Perkins Coie: “Possiamo aspettarci che la privacy sia un’area di maggiore attenzione durante l’amministrazione Biden”[2].

C’è, quindi, ottimismo sulla possibilità di una legislazione federale sulla privacy. “Penso davvero che in questo prossimo Congresso la normativa federale sulla privacy arriverà a una svolta, e che l’amministrazione Biden faciliterà il processo” ha affermato Alan Charles Raul, Partner di Sidley Austin[3].

Secondo Axios i riflettori di Biden sono puntati su privacy, sorveglianza e hate speech e il team di Biden si è già impegnato a creare una task force per indagare sulle molestie online, l’estremismo e la violenza[4].

Le diverse norme privacy negli Usa

Attualmente negli Stati Uniti non esiste una normativa federale unitaria equiparabile al GDPR. La disciplina della privacy negli Stati Uniti è contenuta in diverse normative federali e statali, molte delle quali principalmente orientate alla tutela dei consumatori, tra cui:

  • Federal Trade Commission Act, che si occupa di tutelare i consumatori da pratiche commerciali scorrette;
  • Financial Services Modernization Act (Gramm-Leach-Bliley Act – GLBA), a tutela dei consumatori nel settore dei servizi finanziari;
  • Health Insurance Portability and Accountability Act (HIPAA), che regolamenta le informazioni sanitarie utilizzata da ospedali, compagnie assicurative sanitarie, farmacie;
  • Children’s Online Privacy Protection Act, legge federale che pone severe restrizioni sulle attività online nei confronti di minori di 13 anni;
  • CAN-SPAM Act, che regolamenta la raccolta e l’uso dei numeri telefonici e indirizzi mail per finalità di marketing;
  • Telephone Consumer Protection Act (TCPA), sul telemarketing.

L’intenzione di dotarsi di una legge federale si è concretizzata in diversi progetti di legge presentati al Congresso negli ultimi due anni, da ultimo il U.S. Setting an American Framework to Ensure Data Access, Transparency, and Accountability Act o Safe Data Act[5], proposto nel settembre 2020, che rappresenta la più recente fase dell’evoluzione della legislazione federale sulla privacy. Il disegno di legge è sponsorizzato dal Senatore Roger Wicker, che presiede la Commissione del Senato su Commercio, Scienza e Trasporti, e co-sponsorizzato da diversi altri repubblicani al Senato.

Il Safe Data Act combina le previsioni contenute in tre proposte legislative precedentemente introdotte: il progetto di discussione del “U.S. Consumer Data Protection Act”, il “Filter Bubble Transparency Act” e il “Deceptive Experiences To Online Users Reduction Act” (DETOUR Act)[6].

Il Safe Data Act è una versione aggiornata della bozza del testo United States Consumer Data Privacy Act del 2019, che già includeva alcuni obblighi per le aziende, tra cui:

  • ottenere un consenso esplicito per trattare e trasferire dati sensibili,
  • pubblicare delle privacy policy chiare, con l’obiettivo di incrementare la trasparenza nei confronti dei consumatori,
  • porre in essere valutazioni di impatto sulle attività di trattamento ad alto rischio,
  • ridurre al minimo la quantità di dati raccolti, trattati e conservati,
  • adottare politiche non-discriminatorie, per evitare che siano negati beni o servizi a coloro che esercitano i loro diritti. Se emanato, il Safe Data Act attribuirebbe agli interessati diritti di accesso, rettifica, cancellazione e portabilità, imporrebbe la designazione di responsabili della privacy e della sicurezza dei dati e la predisposizione di valutazioni annuali di impatto sulla privacy.

Il Safe Data Act estende la definizione di dati “non identificabili”, introduce apposite sezioni dedicate alla filter bubble transparency, agli algorithm ranking system e connected device derivati dal Filter Bubble Transparency Act. Ampio spazio è dedicato anche alle pratiche commerciali sleali e ingannevoli.

Dal DETOUR Act, il Safe Data Act deriva la disciplina dei dark patterns e manipulation of user interfaces e proibisce alle società di ottenere il consenso o i dati degli utenti attraverso interfacce che oscurano o alterano il processo decisionale o la libera scelta dell’utente.

L’applicazione del Safe Data Act sarebbe demandata alla Federal Trade Commission (FTC) e al State Attorney’s General, non sembrano al momento previsti la costituzione di un’autorità di controllo indipendente, né specifici diritti d’azione in capo agli interessati in caso di violazione[7].

Diverse organizzazioni a tutela della privacy e dei consumatori hanno richiesto l’istituzione di un’autorità indipendente dedicata alla protezione dei dati personali[8]. L’FTC, infatti, contribuisce a tutelare i diritti dei consumatori e promuovere la concorrenza, ma non è un’autorità focalizzata alla tutela dei dati personali.

A livello locale, poi, numerose norme disciplinano aspetti con forti impatti sulla privacy che vanno dalla sorveglianza, ai dati biometrici, ai requisiti per la notifica dei data breach. Gli Stati particolarmente attivi nel campo della protezione dei dati e della privacy sono il Massachusetts, New York, l’Illinois e la California. In quest’ultimo Stato, dopo la pur recente approvazione del California Consumer Privacy Act, il 3 novembre scorso, è stato approvato il California Privacy Rights Act (CPRA), che modifica e sostituisce il CCPA e che diventerà pienamente applicabile il primo gennaio 2023. La nuova legge estende i diritti dei consumatori, allineandosi maggiormente al GDPR, impone obblighi aggiuntivi alle imprese e istituisce il primo organismo nazionale dedicato alla regolamentazione e all’applicazione della normativa a tutela della privacy, la California Privacy Protection Agency (CCPA).

Anche l’approvazione del CPRA potrà dare una spinta all’approvazione, sulla medesima strada, di una norma unitaria federale.

Dialogo con l’Ue per la definizione di regole per il trasferimento di dati personali

A seguito della sentenza della Corte di Giustizia dell’Unione Europea nella causa C-311/18 (cosiddetta Schrems II) del 16 luglio 2020, che ha invalidato il “Privacy Shield”, si è aperto un periodo di incertezza sul tema importantissimo dei trasferimenti di dati personali dall’UE agli Stati Uniti.

Con l’amministrazione Biden si auspica un intervento, pur non semplice, volto a trovare di comune accordo con la Commissione Europea una soluzione che permetta alle aziende il trasferimento dei dati personali negli USA nel rispetto dei principi sanciti e difesi dalla normativa europea.

Il compito non sarà facile, perchè i punti di disallineamento non sono di semplice soluzione. Ricordiamo che nella sentenza Schrems II ciò che è stato messo in discussione è stato, in particolare, il rilievo che le ingerenze risultanti da alcuni programmi di sorveglianza, in particolare i programmi fondati sull’articolo 702 del FISA e sull’E.O. 12333, non sarebbero soggette a requisiti che garantiscano, nel rispetto del principio di proporzionalità, un livello di protezione sostanzialmente equivalente a quello garantito dal diritto dell’Unione Europea. L’articolo 702 del FISA, infatti, non prevede alcuna limitazione all’autorizzazione per l’attuazione dei programmi di sorveglianza, né l’esistenza di garanzie per i cittadini stranieri potenzialmente oggetto di tali programmi. Inoltre, nei programmi di sorveglianza di cui sopra, non sono attribuiti diritti nei confronti delle autorità statunitensi azionabili dinanzi ai giudici, cosicché gli interessati non dispongono di un diritto di ricorso effettivo. L’esistenza di diritti effettivi e azionabili da parte delle persone i cui dati sono trasferiti è un rilevante criterio di cui deve tenere conto la Commissione europea nella valutazione di adeguatezza del livello di protezione garantito dal paese terzo.

Janis Kestenbaum dello studio legale Perkins Coie ritiene che “la transizione verso un’amministrazione Biden sarà anche in grado di spianare la strada ai negoziati con la Commissione Europea su una nuova versione del Privacy Shield”[9].

Sidley Austin Partner Alan Charles Raul, che in precedenza ha operato come Vice Presidente negli U.S. Privacy e Civil Liberties Board sotto il presidente George W. Bush, ha detto di augurarsi che sotto l’amministrazione Biden ci sarà una maggiore capacità di avere un dialogo efficace con l’UE e un pubblico più ricettivo nell’UE[10].

Poteri della Federal Trade Commission e delle agenzie governative

Uno degli aspetti su cui si attende di capire come si concretizzerà l’effetto della nuova amministrazione riguarda i poteri e le competenze della Federal Trade Commission, l’agenzia federale che si occupa di protezione dei consumatori e tutela della concorrenza. L’agenzia è già molto attiva nella tutela dei consumatori, ma ci si aspetta assuma una rilevanza ancora maggiore nella tutela della privacy: Janis Kestenbaum, che è stata consulente legale senior della presidente della FTC durante l’amministrazione Obama, ha affermato che Biden avrà l’opportunità di designare il presidente ed è anche probabile che abbia l’opportunità di nominare un nuovo commissario e, di conseguenza, potremo vedere un’applicazione delle norme sulla privacy da parte della FTC più rigorosa; la FCC (Federal Communications Commission) e la privacy potrebbero anche tornare in gioco, potenzialmente rilanciando uno sforzo dell’era Obama per implementare le regole di neutralità della rete[11].

Nel documento Privacy And Digital Rights For All, A blueprint for the next Administration, una coalizione di numerose tra le principali associazioni a tutela dei consumatori e della privacy ha chiesto all’amministrazione Biden di incoraggiare l’FTC e la FCC a:

  • Adottare le misure appropriate per far rispettare i diritti alla privacy degli individui, riconoscendo che le violazioni di tali diritti costituiscono un danno per i consumatori;
  • Applicare sanzioni significative, che abbiano un impatto reale sulle società che violano i diritti dei consumatori;
  • Richiedere cambiamenti significativi nelle pratiche commerciali delle aziende che si rendano colpevoli di violazioni;
  • Individuare e punire i trattamenti discriminatori in relazione a prodotti e servizi destinati ai bambini, nell’industria della tecnologia e dell’informatica e nelle comunicazioni;
  • Utilizzare la loro autorità per determinare regole che definiscano in modo chiaro le pratiche commerciali sleali e ingannevoli.

Politiche di Cybersecurity

Un altro grande punto di attenzione per l’amministrazione recentemente instaurata strettamente legato alla privacy sarà costituito dalle politiche di cybersecurity che il Paese dovrà adottare.

Sidley Austin Partner Alan Charles Raul ha affermato che potremo aspettarci grande attenzione da parte della nuova amministrazione sulle politiche di sicurezza informatica. Raul ha, altresì, rilevato che il Cyberspace Solarium Commission in una sua relazione ha evidenziato come gli attacchi informatici siano la minaccia di sicurezza nazionale numero uno negli Stati Uniti, sia da un punto di vista geopolitico che economico affermando che il motivo dei continui problemi di sicurezza informatica deriverebbero dal “fallimento della strategia e della leadership” in questo ambito e che “è giunto il momento per una maggiore responsabilità del governo US contro gli attacchi informatici” [12].

Big Tech e regolamentazione delle piattaforme online

In molti attendono di vedere come l’amministrazione Biden gestirà le Big Tech e la Silicon Valley[13].

A differenza della precedente amministrazione, si prevede che Biden abbia un approccio più pratico, che potrà tradursi in una concreta regolamentazione e legislazione, in grado di governare i titani della tecnologia in particolare su disinformazione, privacy e antitrust.

Questo si potrebbe concretizzare non solo in un maggiore sforzo nel progetto di emanare una norma federale che regolamenti la privacy, ma anche in una più dura applicazione delle normative antitrust.

Biden, infatti, ha sostenuto che le aziende tecnologiche non stanno facendo abbastanza per combattere la disinformazione e l’hate speech, che si diffondono attraverso le piattaforme e che avrebbe sfidato le aziende tecnologiche per assicurarsi che i loro algoritmi non comportino discriminazioni. Ha, altresì, previsto ingenti investimenti nella ricerca e sviluppo per aiutare a promuovere la tecnologia 5G e l’Intelligenza Artificiale, tra le priorità dei prossimi anni[14].

Nello specifico Biden ha assunto una chiara posizione proponendo di revocare uno “scudo legale” noto come Sezione 230 del Communications Decency Ac, che avrebbe protetto i giganti come Google, Facebook, Amazon e Twitter da azioni legali per l’hosting o la rimozione di contenuti dannosi o fuorvianti[15]. Non ha chiarito come vorrebbe revocare lo “scudo”, ma ci si aspetta che l’industria tecnologica combatterà vigorosamente per difenderlo. “Un’enorme influenza politica sarà esercitata su Biden dalla lobby tecnologica e dai suoi alleati”, ha dichiarato Jeffrey Chester, capo del Center for Digital Democracy, un’associazione a difesa della privacy.

Ad ogni modo, nonostante l’industria si aspetti un’amministrazione Biden dura con le aziende, in particolare nelle aree antitrust, ha dichiarato Tom Wheeler, un democratico che è stato presidente della Commissione federale per le comunicazioni sotto Obama, la Silicon Valley sarà almeno soddisfatta della rinnovata stabilità[16].

Biden ha, altresì, all’ordine del giorno alcuni punti, come ad esempio gli investimenti in ricerca tecnologica finalizzati a connettere gli americani non ancora raggiunti dalla banda larga, nel tentativo di colmare un ancora ampio divario digitale, e delle politiche di immigrazione più aperte, che potrebbero essere ben accolte dalla Silicon Valley.

Un Progetto focalizzato sulla privacy e i diritti digitali dei consumatori per la nuova amministrazione Biden “Privacy And Digital Rights For All”, redatto dalle maggiori associazioni a difesa dei consumatori.

Alcune delle più importanti organizzazioni degli Stati Uniti a tutela della privacy, dei diritti civili e dei consumatori, tra cui Consumer Federation of America, Public Citizen, Privacy Rights Clearinghouse, Center for Digital Democracy, Color Of Change, Consumer Action, Campaign For A Commercial-Free Childhood, Electronic Privacy Information Center, hanno elaborato congiuntamente un progetto per la futura regolamentazione a protezione del diritto alla privacy e dei diritti digitali, da proporre all’amministrazione Biden[17]. Nel documento, le associazioni chiedono con urgenza un nuovo approccio alla privacy e alla protezione dei dati, individuando le seguenti priorità:

  • Promuovere la tutela della privacy e incoraggiare l’adozione di una norma federale unitaria;
  • Incoraggiare la ratifica della Convenzione 108+ del Consiglio d’Europa;
  • Realizzare una tutela della privacy che si occupi specificamente della giustizia razziale;
  • Istituire una National Algorithmic Accountability Initiative per indagare su come le nuove tecniche di raccolta dei dati, la pubblicità digitale e i processi decisionali automatizzati possano avere effetti discriminatori in settori quali l’alloggio, l’occupazione, la sanità, l’istruzione, i diritti di voto e i finanziamenti;
  • Garantire un processo aperto e inclusivo in relazione alla politica U.S. sull’Intelligenza Artificiale, promuovendo una legislazione federale basata sulle Linee Guida Universal Guidelines for Artificial Intelligence e i principi dell’OECD sull’IA;
  • Istituire un’Autorità per la protezione dei dati personali;
  • Garantire una rigorosa applicazione delle norme a tutela della privacy da parte dell’FTC e FCC;
  • Limitare la sorveglianza e l’accesso ai dati personali da parte del Governo.
  • Vietare o sospendere il riconoscimento facciale e altre misure di sorveglianza biometrica da parte delle autorità federali. In particolare, le associazioni chiedono alla nuova amministrazione di:
    • Migliorare i presupposti necessari per rendere lecita detta sorveglianza;
    • Fermare immediatamente la raccolta sproporzionata, l’uso, la conservazione di informazioni personali identificabili da parte del governo federale;
    • Promuovere una legislazione federale sulla privacy che preveda chiari limiti all’accesso del governo ai dati personali, incluse (i) regole chiare per l’emissione di un mandato finalizzato ad ottenere dati personali; (i) la necessità di esigere prove chiare e convincenti in merito fatto che l’interessato è sospettato di essere coinvolto in attività criminali e in merito al fatto che i dati personali che vengono richiesti costituirebbero prove materiali nel caso; (iii) prevedere una comunicazione preventiva alla persona interessata, salvo specifiche eccezioni, e assicurare il diritto di opporsi alla richiesta di comunicazione dei dati;
    • Riformare le leggi sulla sorveglianza U.S.A. in risposta alla sentenza della Corte di giustizia europea che invalida l’accordo sul Privacy Shield UE-USA, compresa la cessazione della raccolta massiva condotta nell’ambito dell’EO 12333 e ampliamento del ruolo della corte FISA nella sorveglianza ai sensi dell’EO 12333 e dell’articolo 702;
  • Proteggere i bambini e gli adolescenti dalla sorveglianza e dalle pratiche di marketing delle aziende;
  • Garantire che le autorità antitrust tengano conto della privacy, dei diritti digitali e dei diritti civili;
  • Proteggere i dati relativi alla salute degli americani.

Rapporti internazionali

Avranno certamente un inevitabile grande impatto sulla privacy, le relazioni che Biden intratterrà a livello internazionale, fuori dall’Unione Europea, in particolare con i Paesi dell’area Asia-Pacific.

La Associated Press[18] ha ipotizzato potenziali cambiamenti nelle relazioni tra gli Stati Uniti e la regione Asia-Pacific, in particolare con la Cina, che ha recentemente rivelato un progetto di legge sulla privacy.[19] Quello che ci si aspetta è che l’amministrazione Biden possa mantenere un approccio più moderato e meno conflittuale dell’era precedente nelle relazioni Cina-U.S., possibilmente cercando di lavorare insieme all’Europa, il che potrebbe avere un effetto calmante sui rapporti con la Cina.

Il presidente della Camera Roberto Fico, con riferimento al tema in cima all’agenda diplomatica di Biden, ovvero il rapporto con la Cina, in particolare sul fronte tecnologico, dell’Intelligenza Artificiale, delle biotecnologie e della rete 5G ha affermato: “Su questo terreno, e in generale rispetto alla posizione statunitense verso la Cina, è lecito attendersi una sostanziale continuità. Biden, anche nella campagna elettorale, si è particolarmente concentrato sulla minaccia tecnologica e cibernetica, chiamando tutti gli alleati a uno sforzo comune”.


Note e bibliografia

  1. UE: “Grandi aspettative” dopo l’elezione di Biden negli USA, Chiara Gentili, https://sicurezzainternazionale.luiss.it/2020/11/09/ue-grandi-aspettative-lelezione-biden-negli-usa/
  2. https://www.perkinscoie.com/en/news-insights/janis-kestenbaum-quoted-in-the-privacy-advisorwhat-could-a-biden-administration-mean-for-privacy-cybersecurity.html
  3. What could a Biden administration mean for privacy, cybersecurity? Jedidiah Bracy, https://iapp.org/news/a/what-could-a-biden-administration-mean-for-privacy-cybersecurity/
  4. Tech’s Biden-era reset, Scott Rosenberg, Ashley Gold, Kyle Daly, https://www.axios.com/tech-industry-policy-biden-era-reset-41c27988-fab2-4e3b-baf2-62d1282de96a.html
  5. Revisiting the Need for Federal Data Privacy Legislation, https://www.commerce.senate.gov/2020/9/revisiting-the-need-for-federal-data-privacy-legislation
  6. Consolidating US privacy legislation: The SAFE DATA Act, Fellow Müge Fazlioglu. hps://iapp.org/news/a/consolidating-u-s-privacy-legislation-the-safe-data-act/
  7. How the 2020 elections will shape the federal privacy debate, Cameron F. Kerry and Caitlin Chin, https://www.brookings.edu/blog/techtank/2020/10/26/how-the-2020-elections-will-shape-the-federal-privacy-debate/
  8. Privacy And Digital Rights For All, A blueprint for the next Administration, https://www.citizen.org/article/public-citizen-transition-memos-a-blueprint-for-the-next-administration/
  9. https://www.perkinscoie.com/en/news-insights/janis-kestenbaum-quoted-in-the-privacy-advisorwhat-could-a-biden-administration-mean-for-privacy-cybersecurity.html
  10. What could a Biden administration mean for privacy, cybersecurity? Jedidiah Bracy, https://iapp.org/news/a/what-could-a-biden-administration-mean-for-privacy-cybersecurity/
  11. What could a Biden administration mean for privacy, cybersecurity? Jedidiah Bracy, https://iapp.org/news/a/what-could-a-biden-administration-mean-for-privacy-cybersecurity/
  12. https://www.solarium.gov/, in What could a Biden administration mean for privacy, cybersecurity? Jedidiah Bracy, https://iapp.org/news/a/what-could-a-biden-administration-mean-for-privacy-cybersecurity/
  13. Big Tech and international relationships in What could a Biden administration mean for privacy, cybersecurity? Jedidiah Bracy
  14. Biden to bring new wave of Washington scrutiny for tech giants, John Hendel, https://www.politico.com/news/2020/11/09/biden-scrutiny-tech-giants-434979
  15. Biden Is Expected to Keep Scrutiny of Tech Front and Center, by Cecilia Kang, David McCabe and Jack Nicas, The New York Times
  16. Biden Is Expected to Keep Scrutiny of Tech Front and Center, by Cecilia Kang, David McCabe and Jack Nicas, The New York Times
  17. https://www.citizen.org/article/public-citizen-transition-memos-a-blueprint-for-the-next-administration/
  18. https://apnews.com/article/joe-biden-donald-trump-virus-outbreak-tokyo-china- df5633b08ccf9ad845568de26e2f89e9
  19. A worried Asia wonders: What will Joe Biden do? Foster Klug, https://apnews.com/article/joe-biden-donald-trump-virus-outbreak-tokyo-china-df5633b08ccf9ad845568de26e2f89e9

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Banda larga
@RIPRODUZIONE RISERVATA

Articolo 1 di 4