di Alessandro Del Ninno
II 21 giugno scorso in Usa è stato presentato alla Camera dei Rappresentanti degli Stati Uniti un articolato progetto di legge federale sulla protezione dei dati personali, l'American Data Privacy and Protection Act, ADPPA, che, se approvato, diventerebbe (180 giorni dopo l'enactment presidenziale) il primo disegno di legge organico che si pone l'obiettivo di riconoscere ai consumatori americani i diritti fondamentali sui dati.
La proposta di legge Usa può essere letta anche comparativamente con il regolamento Ue sulla protezione dei dati (GDPR), per rilevarne tratti in comune e sostanziali differenze. Analizziamo allora solo alcuni aspetti, quelli fondamentali, dell'ADPPA.
Quanto all'applicazione soggettiva, l'ADPPA si applica alle cosiddette covered entities, cioè a qualsiasi persona fisica o giuridica (ad eccezione di quelle che agiscono in un contesto non commerciale) che da sola o con altri determina le finalità e le modalità della raccolta, del trattamento o del trasferimento dei dati e sia soggetta alla giurisdizione della Federal Trade Commission; oppure sia un operatore di telecomunicazioni (common carrier) soggetto alle norme in vigore del Communications Act del 1934; oppure sia un'organizzazione no-profit. Ancora: incorpori o includa qualsiasi entità o persona che controlla, è controllata da/o è sotto il comune controllo relativamente a una delle entità o persone appena sopra elencate.
Non si applica invece (a differenza del GDPR europeo) a enti governativi e qualsiasi persona che procede alla raccolta, al trattamento o al trasferimento dei dati per conto di entità governative a livello federale, statale, territoriale o locale.
L'ADPPA tutelerà i dati che identificano una persona fisica residente negli Usa; sono collegati o collegabili a tale residente; identificano, sono collegati o sono ragionevolmente collegabili a un dispositivo, inclusi gli identificatori univoci; sono derivati da altre informazioni. Non rientrano invece nella tutela dell'ADPPA i dati privati della loro capacità identificativa e i dati dei lavoratori; le informazioni disponibili pubblicamente e quelle dedotte esclusivamente per inferenza da svariate fonti di informazioni pubblicamente disponibili.
Come già accade nello Spazio economico europeo con il GDPR, anche l'ADPPA ha norme precise sulla tutela dei dati cosiddetti "sensibili" anche se, rispetto al GDPR che qualifica in via tassativa i "dati di particolare natura", nella definizione del legislatore americano tra i dati sensibili rientrano anche alcune informazioni che non sono "di particolare natura" sotto il GDPR. Per esempio, un numero di identificazione o di un documento emesso da una autorità governativa - passaporto o patente - sono considerati dati sensibili. Così come lo sono i numeri: di conti finanziari, di carte di debito bancario e di credito o le informazioni relative all'ammontare delle entrate su conti bancari o gli estratti conto. Sono inoltre dati sensibili: le comunicazioni private di una persona fisica come messaggi vocali, e-mail, sms, messaggi diretti o postali o le informazioni che identificano le parti di tali comunicazioni, comunicazioni vocali e qualsiasi informazione relativa alla trasmissione di tali comunicazioni, i dati che evidenziano la precisa geolocalizzazione, le credenziali di autenticazione a dispositivi e gli account creati. Ancora: i codici di accesso o di sicurezza relativi a un account o a un dispositivo, tutte le informazioni riferite a una persona minore di 17 anni, quelle sul calendario o contenute nell'agenda o nella rubrica, i log di testo o telefonici. Ma anche le foto, le registrazioni audio o video mantenute per uso privato, le informazioni che rivelano il contenuto o i servizi video richiesti o selezionati da una persona fisica presso un fornitore di servizi di trasmissione televisiva, servizi via cavo, servizi satellitari o servizi multimediali in streaming. Per il resto, la definizione di dati sensibili nell'ADPPA coincide con le informazioni di particolare natura identificate anche dal GDPR.
L'ADPPA reca poi precise disposizioni sull'Informativa da rendere ai consumatori, sui principi di minimizzazione e privacy by design, sulla tutela dei dati dei minori, sui diritti data protection dei consumatori (forte è la prospettiva commerciale nella proposta di legge Usa sui dati), sulle regole per marketing e profilazione commerciale (basata sull'opt-out) e sui mezzi di ricorso e di tutela.