Dopo anni di lavoro e tentativi legislativi falliti, è stata recentemente pubblicata una bozza di legge federale sulla privacy dei dati. La Commissione per l'Energia e il Commercio della Camera degli Stati Uniti ha pubblicato l'American Privacy Rights Act il 7 aprile 2024. Diverse questioni hanno ostacolato l'approvazione della legislazione in passato, ad esempio se gli Stati potessero emanare regole più severe e se i singoli potessero citare in giudizio le aziende per violazioni della privacy.
Con l'American Privacy Rights Act del 2024, il governo degli Stati Uniti ha istituito la prima politica nazionale sulla privacy, stabilendo i diritti nazionali sulla privacy dei dati dei consumatori e anche gli standard per la sicurezza dei dati. Sono escluse dalla legislazione entità specifiche, tra cui piccole imprese, governi, enti che lavorano per conto dei governi e il National Center for Missing and Exploited Children (NCMEC). Le organizzazioni non profit fraudolente sono tenute solo a rispettare gli standard di sicurezza dei dati. Come parte della legge, la Federal Trade Commission (FTC) istituirà un nuovo ufficio per far rispettare le violazioni, che saranno trattate come una pratica sleale o ingannevole ai sensi della legge FTC.
"Questa bozza di legge bipartisan e bicamerale è la migliore opportunità che abbiamo avuto da decenni per stabilire uno standard nazionale sulla privacy dei dati e sicurezza che dia alle persone il diritto di controllare le proprie informazioni personali", hanno dichiarato Cathy McMorris Rodgers (R-WA), presidente della Commissione Energia e Commercio della Camera, e Maria Cantwell (D-WA), presidente della Commissione Senato per il Commercio, la Scienza e i Trasporti, nel comunicato stampa. "Questa legge storica rappresenta la somma di anni di sforzi in buona fede sia alla Camera che al Senato. Il documento raggiunge un equilibrio significativo su questioni che sono critiche per far passare al Congresso una legislazione completa sulla privacy dei dati. Gli americani meritano il diritto di controllare i propri dati e speriamo che i nostri colleghi alla Camera e al Senato si uniranno a noi per far approvare questa legge."
Una delle parti fondamentali della Legge è che sostituisce le attuali leggi statali sulla privacy eterogenee, denominate preemption. Poiché le aziende dovevano rispettare le leggi dello stato in cui risiedeva il cliente, era difficile garantire il rispetto delle diverse leggi in molti stati.
Tuttavia, in alcuni casi gli stati possono comunque approvare proprie leggi sulla privacy, come per i diritti civili e la tutela dei consumatori. Durante la stesura dell'APRA, i legislatori hanno preservato gli standard degli stati chiave, come California, Illinois e Washington.
La bozza APRA di 140 pagine dettaglia standard e processi specifici riguardanti la privacy dei dati. Ecco cinque parti chiave della nuova legge.
I legislatori hanno utilizzato il testo del California Consumer Privacy Rights Act (CCPA) che conferisce agli individui danneggiati da una violazione dei dati il potere di citare in giudizio le aziende. Dalla causa, i consumatori possono ottenere il risarcimento in caso di danni effettivi, provvedimenti ingiuntivi, provvedimenti dichiarativi e ragionevoli spese legali. I residenti in California possono ricevere risarcimenti previsti dalla legge anche in base al CCPA.
Le organizzazioni dovranno avere un'informativa sulla privacy che illustri in dettaglio i processi di raccolta dei dati e le modalità di rinuncia da parte dei consumatori. La legge limita inoltre la raccolta e il trasferimento di specifici tipi di dati, come informazioni biometriche o genetiche, senza il consenso espresso e affermativo dell'individuo, salvo espressa autorizzazione da uno scopo dichiarato consentito.
L'APRA dà ai cittadini americani la possibilità di impedire alle aziende e ai broker di dati di trasferire o vendere i loro dati. I consumatori possono anche disattivare la pubblicità mirata. Inoltre, la legge richiede il consenso del consumatore affinché le aziende possano trasferire dati sensibili a terze parti.
Come parte della legislazione, la FTC terrà un registro dei broker di dati. Tutti i broker di dati dovranno inoltre gestire un sito web pubblico in cui identificarsi come broker di dati. I consumatori, comprese le persone con disabilità, devono essere in grado di controllare i dati e di rifiutare la raccolta sul sito web utilizzando un meccanismo di "non raccolta".
Mentre la maggior parte delle aziende può nominare un responsabile della privacy o un responsabile dei dati, i grandi titolari di dati devono designare entrambi, oltre a rispettare requisiti aggiuntivi come la presentazione annuale alla FTC. Le aziende non sono obbligate a creare una posizione autonoma, ma possono aggiungere queste responsabilità a un ruolo esistente.
Poiché la legge è ancora in fase di bozza di discussione, i prossimi passaggi non sono ancora stati definiti. Non è stata fissata una data ufficiale per il voto o l'approvazione del disegno di legge. A causa delle implicazioni sia per le aziende che per i consumatori, gli americani devono seguire attentamente le discussioni e le aziende devono iniziare a prepararsi a rispettare le normative, che entreranno in vigore 180 giorni dopo l'approvazione.