Guida pratica all'American Data Privacy & Protection Act - ADPPA
I profili pratici e operativi della proposta di legge federale USA sulla privacy.
SEAC Editore
Per la prima volta nella storia dell’ordinamento giuridico federale statunitense, il 21 Giugno 2022 è stato presentato alla Camera dei Rappresentanti degli Stati Uniti (House of Rappresentative) un articolato progetto di legge organico – il bill H.R. 8152 - American Data Privacy and Protection Act - ADPPA – che tra gli obiettivi dichiarati (nel titolo) ha quelli di riconoscere ai consumatori americani i diritti sulla privacy dei loro dati. L’American Data Privacy and Protection Act, se approvato, diventerebbe il primo disegno di legge federale organico sulla protezione dei dati personali e della privacy in USA.
Composto da quattro Titoli (Titolo I “Doveri di Lealtà” – Titolo II “Diritti dei Consumatori sui dati” – Titolo III “Responsabilità delle aziende” e Titolo IV “Applicazione e Miscellanea”) per un totale di 28 articoli, l’ADPPA mira a fornire diritti specifici alle (sole) persone fisiche residenti negli USA (essendo esclusi, come nel Regolamento Generale UE sulla protezione dei dati personali 679/2016 (“GDPR”), i dati sulle persone giuridiche, ed anche – al contrario del GDPR – altre persone fisiche non residenti). Sono oggetto di protezione anche i dati dei minori di 17 anni. Il diritto di esercitare il controllo sui propri dati è incentrato sul consenso e sono introdotti una serie di obblighi per le aziende, comprese le organizzazioni no-profit (ma esclusi – al contrario del GDPR – i soggetti pubblici e le autorità governative), come l’obbligo di rispettare il principio di minimizzazione dei dati o di individuare corrette basi giuridiche per la raccolta, il trattamento e il trasferimento dei dati persone, l’obbligo di rendere l’Informativa sul trattamento, etc.
L’ADPPA stabilisce inoltre il diritto degli interessati di accedere, correggere e cancellare i dati personali e specifici vincoli contro la profilazione e per rinunciare preventivamente (opt-out) alla pubblicità mirata. Inoltre, le aziende dovranno implementare specifiche misure di sicurezza per proteggere i dati personali da accessi non autorizzati e la Federal Trade Commission (FTC) emanerà una serie di regolamenti e linee guida attuative dei vari istituti dell’ADPPA.
Quanto alla vigilanza sul rispetto dell’ADPPA, la competenza è in capo alla FTC e ai procuratori Generali dello Stato. Infine, a partire da quattro anni dopo l’entrata in vigore dell’ADPPA, i cittadini potranno intentare azioni civili per violazioni della legge e dei loro diritti privacy. È ovvio che tale importante iniziativa legislativa – per certi versi storica – va letta anche alla luce di similitudini e differenze con il Regolamento Generale UE sulla protezione dei dati personali 679/2016 (è l’approccio appunto adottato dal dossier). Se vi sono molti principi e istituti che l’ADPPA riprende direttamente dal GDPR (dai principi fondamentali del trattamento, alle basi giuridiche; dalla previsione del DPO all’Informativa sul trattamento), in rilevanti parti la proposta di legge federale USA si discosta – e molto – dall’impostazione data protection europea, a partire dalla prospettiva consumeristica che caratterizza l’impianto normativo USA, essendo protetti i diritti dei consumatori in un’ottica commerciale, più che i diritti e le libertà fondamentali (che è invece la primaria protezione a cui mira la normativa data protection di cui al GDPR). Visualizza il documento allegato
Composto da quattro Titoli (Titolo I “Doveri di Lealtà” – Titolo II “Diritti dei Consumatori sui dati” – Titolo III “Responsabilità delle aziende” e Titolo IV “Applicazione e Miscellanea”) per un totale di 28 articoli, l’ADPPA mira a fornire diritti specifici alle (sole) persone fisiche residenti negli USA (essendo esclusi, come nel Regolamento Generale UE sulla protezione dei dati personali 679/2016 (“GDPR”), i dati sulle persone giuridiche, ed anche – al contrario del GDPR – altre persone fisiche non residenti). Sono oggetto di protezione anche i dati dei minori di 17 anni. Il diritto di esercitare il controllo sui propri dati è incentrato sul consenso e sono introdotti una serie di obblighi per le aziende, comprese le organizzazioni no-profit (ma esclusi – al contrario del GDPR – i soggetti pubblici e le autorità governative), come l’obbligo di rispettare il principio di minimizzazione dei dati o di individuare corrette basi giuridiche per la raccolta, il trattamento e il trasferimento dei dati persone, l’obbligo di rendere l’Informativa sul trattamento, etc.
L’ADPPA stabilisce inoltre il diritto degli interessati di accedere, correggere e cancellare i dati personali e specifici vincoli contro la profilazione e per rinunciare preventivamente (opt-out) alla pubblicità mirata. Inoltre, le aziende dovranno implementare specifiche misure di sicurezza per proteggere i dati personali da accessi non autorizzati e la Federal Trade Commission (FTC) emanerà una serie di regolamenti e linee guida attuative dei vari istituti dell’ADPPA.
Quanto alla vigilanza sul rispetto dell’ADPPA, la competenza è in capo alla FTC e ai procuratori Generali dello Stato. Infine, a partire da quattro anni dopo l’entrata in vigore dell’ADPPA, i cittadini potranno intentare azioni civili per violazioni della legge e dei loro diritti privacy. È ovvio che tale importante iniziativa legislativa – per certi versi storica – va letta anche alla luce di similitudini e differenze con il Regolamento Generale UE sulla protezione dei dati personali 679/2016 (è l’approccio appunto adottato dal dossier). Se vi sono molti principi e istituti che l’ADPPA riprende direttamente dal GDPR (dai principi fondamentali del trattamento, alle basi giuridiche; dalla previsione del DPO all’Informativa sul trattamento), in rilevanti parti la proposta di legge federale USA si discosta – e molto – dall’impostazione data protection europea, a partire dalla prospettiva consumeristica che caratterizza l’impianto normativo USA, essendo protetti i diritti dei consumatori in un’ottica commerciale, più che i diritti e le libertà fondamentali (che è invece la primaria protezione a cui mira la normativa data protection di cui al GDPR). Visualizza il documento allegato