Guida American Data Privacy

Guida Pratica

AMERICAN DATA PRIVACY AND PROTECTION ACT

Profili pratici e operativi della proposta di legge federale USA sulla privacy

di Alessandro Del Ninno, Professore e Avvocato in Roma

Per la prima volta nella storia dell’ordinamento giuridico federale statunitense, il 21 Giugno 2022 è stato presentato alla Camera dei Rappresentanti degli Stati Uniti (House of Rappresentative) un articolato progetto di legge organico – il bill H.R. 8152 - American Data privacy and protection Act - ADPPA – che tra gli obiettivi dichiarati (nel titolo) ha quelli di riconoscere ai consumatori americani i diritti sulla privacy dei loro dati. L’American Data Privacy and Protection Act, se approvato, diventerebbe il primo disegno di legge federale organico sulla protezione dei dati personali e della privacy in USA. Composto da quattro Titoli (Titolo I “Doveri di Lealtà” – Titolo II “Diritti dei Consumatori sui dati” – Titolo III “Responsabilità delle aziende” e Titolo IV “Applicazione e Miscellanea”) per un totale di 28 articoli, l’ADPPA mira a fornire diritti specifici alle (sole) persone fisiche residenti negli USA (essendo esclusi, come nel Regolamento Generale UE sulla protezione dei dati personali 679/2016 (“GDPR”), i dati sulle persone giuridiche, ed anche – al contrario del GDPR – altre persone fisiche non residenti). Sono oggetto di protezione anche i dati dei minori di 17 anni. Il diritto di esercitare il controllo sui propri dati è incentrato sul consenso e sono introdotti una serie di obblighi per le aziende, comprese le organizzazioni no-profit (ma esclusi – al contrario del GDPR – i soggetti pubblici e le autorità governative), come l’obbligo di rispettare il principio di minimizzazione dei dati o di individuare corrette basi giuridiche per la raccolta, il trattamento e il trasferimento dei dati persone, l’obbligo di rendere l’Informativa sul trattamento, etc. L’ADPPA stabilisce inoltre il diritto degli interessati di accedere, correggere e cancellare i dati personali e specifici vincoli contro la profilazione e per rinunciare preventivamente (opt-out) alla pubblicità mirata. Inoltre, le aziende dovranno implementare specifiche misure di sicurezza per proteggere i dati personali da accessi non autorizzati e la Federal Trade Commission (FTC) emanerà una serie di regolamenti e linee guida attuative dei vari istituti dell’ADPPA. Quanto alla vigilanza sul rispetto dell’ADPPA, la competenza è in capo alla FTC e ai procuratori Generali dello Stato. Infine, a partire da quattro anni dopo l’entrata in vigore dell’ADPPA, i cittadini potranno intentare azioni civili per violazioni della legge e dei loro diritti privacy. È ovvio che tale importante iniziativa legislativa – per certi versi storica – va letta anche alla luce di similitudini e differenze con il Regolamento Generale UE sulla protezione dei dati personali 679/2016 (è l’approccio appunto adottato dal dossier). Se vi sono molti principi e istituti che l’ADPPA riprende direttamente dal GDPR (dai principi fondamentali del trattamento, alle basi giuridiche; dalla previsione del DPO all’Informativa sul trattamento), in rilevanti parti la proposta di legge federale USA si discosta – e molto – dall’impostazione data protection europea, a partire dalla prospettiva consumeristica che caratterizza l’impianto normativo USA, essendo protetti i diritti dei consumatori in un’ottica commerciale, più che i diritti e le libertà fondamentali (che è invece la primaria protezione a cui mira la normativa data protection di cui al GDPR).

Editore: SEAC S.p.A. Via Solteri 74 – 38121 Trento Tel. 0461/805111

C.F. 00865310221 - P.IVA 01530760220 Capitale sociale: Euro 43.600.000 i. v.

Internet: www.seac.it - E-mail: info@seac.it L’elaborazione dei testi, ancorchè curata con scrupolosa attenzione, esprime l’opinione della Seac e non impegna alcuna responsabilità.

Indice

01. L’AMERICAN DATA PRIVACY AND PROTECTION ACT . PROFILI GENERALI

> CHE COS’È L’ADPPA?

> GLI OBIETTIVI

> L’ENTRATA IN VIGORE

> LA STRUTTURA

> L’APPLICAZIONE SOGGETTIVA

> LE ALTRE FIGURE SOGGETTIVE DEFINITE O RICHIAMATE DALL’ADPPA

> ESISTE NELL’ADPPA UNA AUTORITÀ DI SORVEGLIANZA EQUIPARABILE AI GARANTI PRIVACY EUROPEI?

02. L’APPLICAZIONE OGGETTIVA DELL’ADPPA. I COVERED DATA

> COSA SONO I “ COVERED DATA ”?

> L’AMERICAN DATA PRIVACY AND PROTECTION ACT PREVEDE CATEGORIE DI DATI PERSONALI SENSIBILI? 03. IL TRATTAMENTO DEI DATI NELL’AMERICAN DATA PRIVACY AND PROTECTION ACT

> LE TRE CATEGORIE CONCETTUALI DI TRATTAMENTO DEI DATI

> LE ALTRE PRINCIPALI DEFINIZIONI GIURIDICHE

> IL CONSENSO AL TRATTAMENTO DEI DATI SECONDO L’ADPPA

> L’IMPOSTAZIONE DELLE REGOLE A TUTELA DEI DATI NELL’ADPPA È FONDATA SULL’APPROCCIO RISK BASED ?

III

04. ADPPA E GDPR

> ADPPA E GDPR: LE DEFINIZIONI GIURIDICHE IN COMUNE

> I PRINCIPI FONDAMENTALI DEL TRATTAMENTO DEI DATI

> I PRINCIPI DI NECESSITÀ, MINIMIZZAZIONE E PROPORZIONALITÀ DEL TRATTAMENTO DEI DATI

> GLI OBBLIGHI DI LEALTÀ NEL TRATTAMENTO DEI DATI SENSIBILI

05. I PRINCIPI DI “PRIVACY BY DESIGN”, “LOYALTY” E “TRANSPARENCY” NELL’ADPPA

> IL PRINCIPIO DI “PRIVACY BY DESIGN”

> IL PRINCIPIO DI LEALTÀ

> IL PRINCIPIO DI TRASPARENZA 38 > STRUTTURA E CONTENUTI DELL’INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI 39 06. I DIRITTI DEGLI INTERESSATI NELL’ADPPA 43 > QUALI SONO I DIRITTI DEGLI INTERESSATI RISPETTO AI DATI PERSONALI? 43 > GLI ASPETTI PROCEDURALI E LE TEMPISTICHE PER L’ESERCIZIO DEI DIRITTI DA PARTE DELL’INTERESSATO 46 > IN QUALI CASI IL TITOLARE DEL TRATTAMENTO PUÒ LEGITTIMAMENTE NEGARE ALL’INTERESSATO L’ESERCIZIO DEI DIRITTI? 48 07. LA REVOCA DEL CONSENSO AL TRATTAMENTO DA PARTE DELL’INTERESSATO. I MECCANISMI DI OPT-OUT 51 > IN QUALI CASI L’INTERESSATO PUÒ EFFETTUARE L’OPT-OUT E OPPORSI AL TRATTAMENTO? 51 > LE REGOLE PER TRATTARE I DATI PERSONALI DEI MINORI 53 > LE REGOLE PER I TRATTAMENTI DI DATI PERSONALI CHE SI BASANO SU ALGORITMI 53 08. LE MISURE DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI NELL’ADPPA 59 > LE REGOLE SULLE MISURE DI SICUREZZA NEL TRATTAMENTO DEI DATI PERSONALI 59

> LA FIGURA DEL PRIVACY AND DATA SECURITY OFFICER (DPSO)

> GLI ALTRI OBBLIGHI SPECIFICI DEI LARGE DATA HOLDERS

09. IL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI NELL’ADPPA

> GLI OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

> I RAPPORTI TRA TITOLARE E RESPONSABILE DEL TRATTAMENTO

> I PROGRAMMI DI CONFORMITÀ TECNICA

> LE LINEE GUIDA DI CONFORMITÀ

10. LA FEDERAL TRADE COMMISSION E IL NUOVO BUREAU OF PRIVACY 73 > I POTERI DEL BUREAU OF PRIVACY ISTITUITO ALL’INTERNO DELLA FTC 73 > LA FEDERAL TRADE COMMISSION QUALE AUTORITÀ DI SORVEGLIANZA 74 > IL FONDO DI SOSTEGNO ALLE VITTIME DELLA PRIVACY E DELLA SICUREZZA PREVISTO DALL’ADPPA 74 > LA DISCIPLINA DELLE AZIONI GIUDIZIARIE IN SEDE CIVILE E I POTERI DEI PROCURATORI GENERALI DEGLI STATI 74

> L’ADPPA E IL COORDINAMENTO TRA FTC, PROCURATORI GENERALI DEGLI STATI E – OVE PRESENTI – AUTORITÀ STATALI PRIVACY NELL’AMBITO DELLE AZIONI CIVILI PER VIOLAZIONE DELLA LEGGE

> LE AZIONI LEGALI E I RIMEDI CIVILISTICI RICONOSCIUTI AI SINGOLI INTERESSATI

> IL RAPPORTO TRA L’ADPPA E LE ALTRE NORME PRIVACY CONTENUTE IN LEGGI FEDERALI 78 > PUÒ UNO STATO DELLA CONFEDERAZIONE LEGIFERARE IN MATERIA DATA PROTECTION E QUALE È IL RAPPORTO TRA L’ADPPA E LE ALTRE NORME PRIVACY CONTENUTE IN LEGGI STATALI? 79

01. L’AMERICAN DATA PRIVACY AND PROTECTION ACT . PROFILI GENERALI > CHE COS’È L’ADPPA? Per la prima volta nella storia dell’ordinamento giuridico federale statunitense, il 21 Giu- gno 2022 è stato presentato alla Camera Dei Rappresentanti degli Stati Uniti ( House of Re- presentatives ) un articolato e complessivo progetto di legge – il bill H.R. 8152 - American Data privacy and protection Act - ADPPA – che tra gli obiettivi dichiarati (nel titolo) ha quelli di riconoscere ai consumatori i diritti fondamentali sulla privacy dei dati, creando solidi meccanismi di supervisione e garantendo un’applicazione significativa del nuovo quadro regolatorio. L’American Data Privacy and Protection Act, se approvato, diventerebbe il primo disegno di legge federale organico sulla protezione dei dati personali e della privacy in USA (appli- candosi con precedenza su analoghe leggi statali, ad eccezione di particolari disposizio- ni speciali di talune leggi statali e delle leggi privacy di Illinois e California, che ha la più avanzata legge sulla protezione dei dati personali negli Stati Uniti, la California Consumer Privacy Act - CCPA ). > GLI OBIETTIVI All’inizio di Gennaio 2022 la promulgazione della prima legge federale nazionale sulla pro- tezione dei dati era stata indicata tra gli obiettivi prioritari della legislatura (unitamen- te alla necessità di aggiornare le protezioni online per bambini e adolescenti e introdur- re la responsabilità per le piattaforme che diffondono disinformazione) dalla Future of Tech Commission del Congresso che aveva pubblicato “The Future of Tech: A Blueprint for Action” , rapporto che raccomanda un’agenda coordinata di politica tecnologica federale

per proteggere la privacy e la sicurezza di consumatori, bambini e famiglie e per salvaguar- dare il futuro dell’America dal potere smisurato delle grandi aziende tecnologiche. Il Piano d’azione affronta alcune delle sfide e delle opportunità più urgenti della politica tecnologica che l’economia, la società e persino la democrazia americana devono affron- tare. Il rapporto è il risultato del contributo di migliaia di americani che hanno partecipato a sondaggi pubblici nonché del contributo dei principali esperti e delinea raccomandazio- ni su sei questioni tecnologiche fondamentali: privacy dei dati; sicurezza delle piattafor- me; sicurezza informatica; concorrenza; innovazione tecnologica e accesso universale alla banda larga. Tra le principali raccomandazioni della Future of Tech Commission vi era appunto quella di promulgare una legge federale nazionale sulla privacy. L’ADPPA mira a fornire alle persone diritti specifici (anche con riferimento ai minori, la cui tutela è rafforzata prevedendo vincoli per il trattamento dei dati personali dei minori di 17 anni), come il diritto di esercitare il controllo sui propri dati mediante il filtro del consen- so e introduce una serie di obblighi per le aziende, comprese le organizzazioni non profit, come l’obbligo di rispettare il principio di minimizzazione dei dati o di individuare corrette basi giuridiche per la raccolta, il trattamento e il trasferimento dei dati persone. L’ADPPA stabilisce inoltre il diritto degli interessati di accedere, correggere e cancellare i dati personali e specifici vincoli contro la profilazione e per rinunciare preventivamente alla pubblicità mirata. Inoltre, le aziende dovranno implementare specifiche misure di si- curezza per proteggere i dati personali da accessi non autorizzati e la Federal Trade Com- mission (FTC) può emanare regolamenti esecutivi per conformarsi a questo requisito. Quanto alla vigilanza sul rispetto dell’ADPPA, la competenza è in capo alla FTC e ai procu- ratori Generali dello Stato. Infine, a partire da quattro anni dopo l’entrata in vigore dell’A- DPPA, i cittadini potranno intentare azioni civili per violazioni della legge e dei loro diritti privacy. Il 20 luglio 2022, l’ADPPA è stato approvato dalla Commissione per l’energia e il commer- cio della Camera con alcuni emendamenti, come l’individuazione della California Privacy Protection Authority (“CPPA”) come responsabile dell’applicazione dell’ADPPA in Cali- fornia, nonché l’esclusione delle piccole imprese dai ricorsi che possono essere avviati per violazione della privacy dai cittadini nell’ambito di azioni legali private. Al momento in cui si scrive, l’ADPPA è in fase di revisione e discussione da parte dell’intera Camera dei Rap- presentanti e, se approvato, sarà successivamente presentato al Senato.

> L’ENTRATA IN VIGORE Ove approvato, l’ADPPA entrerà rapidamente in vigore (a differenza, ad esempio, del GDPR che diede tempo due anni ai titolari del trattamento europei per provvedere agli adegua- menti): l’articolo 408 (“ Effective Date ”) prevede che l’ADPPA entri in vigore 180 giorni dopo la sua formale adozione (negli USA il cosiddetto “ enactment ” è la firma del Presidente che converte i bills in legge). > LA STRUTTURA L’ADPPA è composto da quattro Titoli (Titolo I “Doveri di Lealtà” – Titolo II “Diritti dei Consumatori sui dati” – Titolo III “Responsabilità delle aziende” e Titolo IV “Applicazione e Miscellanea”) per un totale di 28 articoli (più l’intestazione). > L’APPLICAZIONE SOGGETTIVA Quanto all’applicazione soggettiva, l’ADPPA si applica alle cosiddette “ covered entities ”, cioè [ai sensi delle disposizioni di cui alla Section 2.9. (A) ADPPA] a: 1. qualsiasi persona giuridica o fisica (ad eccezione di persone fisiche che agiscono in un contesto non commerciale) che da sola o congiuntamente con altri determina le finalità e le modalità della raccolta, del trattamento o del trasferimento dei dati (cc.dd “ covered data ”, come sotto definiti) e • sia soggetta alla giurisdizione della Federal Trade Commission; oppure • sia un operatore di telecomunicazioni (“ common carrier ”) soggetto al Communica- tions Act del 1934 e sue successive modifiche, integrazioni e Atti esecutivi obbligatori; oppure • sia un’organizzazione no-profit; 2. incorpori o includa qualsiasi entità o persona che controlla, è controllata da o è sotto il comune controllo relativamente a una delle entità o persone appena sopra elencate. La Section 2.9. (B) ADPPA (“Esclusioni”) esclude dal concetto di “ covered entity ” i seguenti enti e persone, a cui dunque l’ADPPA non troverà applicazione: • gli enti governativi, come ad esempio un ente, un’autorità, un consiglio, un bureau, una commissione, un distretto, un’agenzia o una suddivisione politica del governo federale, statale o locale; • qualsiasi persona che procede alla raccolta, al trattamento o al trasferimento dei dati per conto di entità governative a livello federale, statale, territoriale o locale.

Dunque, rispetto al GDPR, tutta la sfera - diciamo - “pubblicistica” e dei soggetti pubblici USA, a qualsiasi livello, non è soggetta all’applicazione dell’ADPPA, che nasce specificata- mente per fornire tutela in un’ottica consumeristica (tanto che gli interessati sono anche formalmente i “consumatori”) e solo nel contesto dei rapporti privatistico-commerciali, con il grave vulnus rappresentato dal fatto che resta fuori dal perimetro dei “ foundational data privacy rights ” il diritto a non subire interferenze nella vita privata da parte di agenzie pubbliche, come ad esempio la National Security Agency o le agenzie per la sicurezza inter- na: esattamente i casi che hanno portato al divieto di trasferimento dei dati personali dalla UE verso gli USA, con i progressivi annullamenti da parte della Corte di Giustizia UE dei vari accordi USA-UE in materia (dal Safe Harbor al Privacy Shield ). Tornando alla definizione di entità soggette all’ADPPA, merita anche ricordare che l’articolo 2(7) prevede anche la specifica definizione di “Controllo” che con riferimento a una entità indica: a. la proprietà di, o il potere di votare, più del 50% delle azioni in circolazione di qualsiasi classe di titoli con diritto di voto dell’entità; b. il controllo sull’elezione della maggioranza degli amministratori dell’entità (o di per- sone che esercitano funzioni analoghe); oppure c. il potere di esercitare un’influenza sostanziale che porti al controllo sulla gestione dell’entità. > LE ALTRE FIGURE SOGGETTIVE DEFINITE O RICHIAMATE DALL’ADPPA Accanto alle “ covered entities ” l’ADPPA [cfr. artt. 2(25) e 2(26)] definisce nello specifico il “Service Provider” (“Fornitore di servizi”) e i “Service Provider Data” (“Dati del forni- tore di servizi”). Il primo è la persona fisica o un’entità che raccoglie, tratta o trasferisce dati soggetti alla normativa in esame per conto e sotto la direzione di un’entità soggetta all’ADPPA e che riceve dati da o per conto di un’entità in base a un contratto scritto, a con- dizione che il contratto soddisfi i requisiti – che esamineremo – dell’articolo 302 ADPPA. Per “dati del fornitore di servizi” si intendono i dati raccolti o trattati da un’entità soggetta all’ADPPA o ad essa trasferiti allo scopo di consentire al fornitore di servizi di svolgere un servizio o una funzione per conto e sotto la direzione di tale entità. Inoltre, come nel GDPR, anche l’ADPPA [cfr. art. 2(31)] definisce la figura del “terzo” e cioè: a. qualsiasi persona o entità che: • raccoglie, tratta o trasferisce dati di terzi (i “dati di terzi” sono definiti all’art. 2(33) come “i dati che l’entità-titolare del trattamento ha trasferito al terzo”]; e • non è un fornitore di servizi in relazione a tali dati; e

b. non include una persona o un’entità che raccoglie i dati da un’altra entità se le due entità sono collegate dalla proprietà comune o dal controllo societario e condividono un marchio comune, a meno che una di esse non sia un grande detentore di dati o che tali entità siano ciascuna collegata a un grande detentore di dati attraverso la proprietà comune o il controllo societario. Inoltre, l’art. 2(32) definisce anche il terzo nella sua particolare attività di collecting entity dei dati. La Third-party collecting entity difatti indica un’entità soggetta all’ADPPA la cui principale fonte di entrate deriva dal trattamento o dal trasferimento dei dati che detta entità non ha raccolto direttamente dalle persone collegate o collegabili ai dati. Per “prin- cipale fonte di entrate” si intende, per il periodo precedente di 12 mesi, una delle due se- guenti categorie: • più del 50% di tutti i ricavi dell’entità; oppure • l’ottenimento di entrate derivanti dal trattamento o dal trasferimento dei dati coperti di oltre 5.000.000 di persone fisiche che l’entità soggetta all’ADPPA non ha raccolto direttamente dalle persone fisiche a cui si riferiscono i dati. La definizione di “ Third-party collecting entity ” non include o si applica: • a entità soggette all’ADPPA nella misura in cui queste elaborano i dati dei dipendenti rac- colti da e ricevuti da una terza parte e relativi a qualsiasi individuo che sia un dipendente della terza parte al solo scopo di tale terza parte di fornire benefici al dipendente; • a fornitori di servizi come definiti all’articolo 2(25) (si veda sopra la relativa definizione) > ESISTE NELL’ADPPA UNA AUTORITÀ DI SORVEGLIANZA EQUIPARABILE AI GARANTI PRIVACY EUROPEI? L’articolo 2(28) dell’ADPPA introduce la definizione di “Autorità statale per la Privacy” che indica: • il responsabile della protezione dei consumatori di uno Stato; o • un’agenzia statale per la protezione dei consumatori con competenze in materia di protezione dei dati. È evidente che poteri e competenze dell’autorità di sorveglianza (che non è istituita a livel- lo federale) derivano dall’aggiunta di funzioni privacy (ove vi siano le relative competenze) ad agenzie ed enti statali già esistenti che si occupano di tutela dei consumatori. La configurazione nella legge federale americana sulla privacy della protezione dei dati come tematica prettamente commerciale e consumeristica è dunque evidente anche nella

scelta della individuazione delle autorità di sorveglianza. Un particolare potere (non di sorveglianza ma di enforcement) è dato anche ai Procuratori Generali dello Stato (una sorta di Ministro della Giustizia o di super-PM nell’ordinamento costituzionale americano): ai sensi della sezione 402 non solo l’Autorità statale per la pri- vacy ma anche i procuratori generali dello Stato possono difatti intentare un’azione civile a nome dello Stato in tutti i casi in cui abbiano motivo di ritenere che un interesse dei resi- denti di quello Stato sia stato, possa essere o sia danneggiato da trattamenti in violazione della legge svolti da una entità soggetta all’ADPPA o da un fornitore di servizi. In realtà un ruolo di sorveglianza, interpretativo ed esecutivo dell’ADPPA lo ha anche la Federal Trade Commission, la quale ha il potere – entro termini variabili da 90 giorni a 18 mesi dall’adozione dell’ADPPA – di emanare linee guide esecutive e interpretative. Ad esempio, è specificatamente previsto che la FTC adotti linee guide su come attuare il prin- cipio di “ privacy by design ”; sul principio di minimizzazione; sulla interpretazione – per interessati e entità soggette – dell’ADPPA, con la pubblicazione di due distinte sezioni (in dieci lingue) sul sito web della FTC; sulle eccezioni e limitazioni ulteriori ai diritti degli in- teressati; etc). Inoltre, una particolare Divisione all’interno della FTC sarà istituita specificatamente per la tutela dei minori, con un proprio Direttore. Peculiare che la Divisione si chiamerà (cfr. sezio- ne 205) “ Your Privacy and Marketing Division ” e avrà il compito di assistere la FTC nelle ini- ziative non solo di tutela dei minori (di 17 anni) ma anche su come impostare in conformità alla legge le attività e le comunicazioni di marketing rivolte ai minori. Dunque la situazione in USA risulta piuttosto diversa rispetto a quella europea quanto a po- teri, funzioni e accessibilità delle autorità di sorveglianza, a partire dal fatto che – come det- to – non solo non esiste una Authority federale per la protezione dei dati, ma poteri e com- petenze appaiono frammentate e in capo a diversi enti statali e federali (la FTC, appunto).

02. L’APPLICAZIONE OGGETTIVA DELL’ADPPA. I COVERED DATA > COSA SONO I “ COVERED DATA ”? Quanto all’applicazione oggettiva, l’ADPPA si applica ai cosiddetti “ covered data ” [cfr. ar- ticolo 2.8 (A) ADPPA], cioè – in linea generale – alle informazioni che – da sole o in com- binazione con altre informazioni: • identificano una persona fisica residente negli USA (la definizione di “ individual ”, di- fatti, ai sensi dell’art. 2.16 ADPPA è quella di persona fisica che risiede negli Stati Uniti); • sono collegate a una persona fisica residente negli USA; • sono ragionevolmente collegabili a una persona fisica residente negli USA; • identificano, sono collegate o sono ragionevolmente collegabili a un dispositivo [il quale è specificatamente definito all’articolo 2.12 ADPPA come “qualsiasi equipaggia- mento elettronico capace di trasmettere o di ricevere covered data che è progettato o finalizzato all’utilizzo da parte di una o più persone fisiche”) che a sua volta identifica, è collegabile o è ragionevolmente collegabile a detta persona fisica residente negli USA. Sono inclusi nella generale definizione di covered data che identificano persone fisiche o dispositivi anche i dati derivati [cioè, ai sensi dell’art. 2(11) ADPPA, i covered data “creati in quanto derivati da informazioni, dati, assunti, correlazioni, inferenze, predizioni o con- clusioni di fatto, prove, evidenze o altra fonte di informazione o dato relativi a una per- sona fisica o al dispositivo di una persona fisica”) e gli identificatori univoci [che ai sensi dell’articolo 2.35 ADPPA sono definiti come “identificatori che identificano o sono collegati o collegabili a una o più persone fisiche o a uno o più dispositivi, come ad esempio: indi- rizzi IP, cookies, beacons, pixel tags, identificatori mobile, numeri o codici assegnati ai consumatori, pseudonimi univoci, altri alias, numeri telefonici o altre forme persistenti o probabilistiche di identificazione collegate o collegabili a persone fisiche o a dispositivi”).

Il dato personale, per la legge americana, è dunque una informazione comunque riferita alle persone fisiche residenti negli USA, essendo esclusi, come nel GDPR, i dati sulle perso- ne giuridiche, ed anche – al contrario del GDPR – altre persone fisiche non residenti. Come è noto, la definizione assai ampia di “interessato” nel GDPR è invece totalmente svincolata da requisiti giuridici come la residenza e/o il domicilio nel territorio UE o la cittadinanza, estendendosi le tutele a qualsiasi persona fisica che – di fatto – si trova nel territorio della UE e i cui dati sono oggetto di trattamento (anche da parte di Titolare con sede all’estero e privi di una presenza in UE, che a quale punto dovranno nominare un rappresentante nella UE ai sensi dell’art. 27 del GDPR). Non rientrano invece nella definizione di “ covered data ” [cfr. articolo 2.8 (B) ADPPA]: • i dati privati della loro capacità identificativa (“ de-identified data ”); • i dati dei lavoratori; • le informazioni disponibili pubblicamente; • le informazioni dedotte esclusivamente per inferenza da svariate fonti di informazio- ni pubblicamente disponibili che tuttavia non rivelino covered data sensibili relativa- mente a una persona fisica. Quanto ai dati privati della loro capacità identificativa (“ de-identified data ”), l’articolo 2.10 dell’ADPPA li definisce come le informazioni che non identificano né sono collegate o ra- gionevolmente collegabili a una persona fisica o a un suo dispositivo, indipendentemente dalla circostanza se l’informazione sia aggregata, purchè l’entità interessata e soggetta all’ADPPA (“ covered entity ”): a. prenda ragionevoli misure di tipo tecnico, amministrativo e fisico per assicurare che l’informazione non possa, in nessun modo e in nessun momento, essere utilizzata per

re-identificare una persona fisica o un dispositivo; b. si impegni pubblicamente in modo chiaro e idoneo:

• a trattare e trasferire l’informazione esclusivamente in forma di dati privati della capacità identificativa senza alcun mezzo che ragionevolmente possa implicare la re-identificazione della persona fisica o del dispositivo; e • non tenti di rendere l’informazione nuovamente identificativa associandola a una persona fisica o a un dispositivo c. obblighi contrattualmente ogni persona fisica o giuridica che riceve l’informazione a rispettare tutte le prescrizioni legali e tecniche che precedono.

In sostanza, dunque, i “ de-identified data” dell’ADPPA sono i dati anonimi o anonimizzati di cui al Considerando 26 del GDPR (che a tali dati, parimenti, non si applica). Quanto ai dati dei lavoratori (“ employee data ”), che non sono “ covered data ”, per essi si intendono” [cfr. articolo 2.8 (C) ADPPA]: • le informazioni relative a un candidato a una posizione lavorativa raccolte da una entità soggetta all’ADPPA che agisce come potenziale datore di lavoro rispetto a tale candi- dato nel corso delle procedure selettive o di assunzione, purchè tali informazioni siano raccolte, trattate o trasferite dal potenziale datore di lavoro esclusivamente per scopi correlati allo stato del lavoratore come candidato attuale o precedente di tale datore di lavoro; • le informazioni professionali di contatto di un lavoratore, inclusi il suo nome, posi- zione lavorativa, titolo professionale, numero telefonico aziendale, indirizzo di lavo- ro, indirizzo di posta elettronica di lavoro fornito dal datore a un lavoratore che agisce nella propria capacità professionale, a condizione che tali informazioni siano raccolte, trattate o trasferite esclusivamente per scopi relativi alle attività professionali di tale lavoratore interessato; • informazioni di contatto di emergenza raccolte da un datore di lavoro che si riferiscono a un lavoratore di tale datore di lavoro, a condizione che tali informazioni siano raccol- te, trattate o trasferite esclusivamente allo scopo di avere in archivio informazioni di contatto riferite al lavoratore da utilizzare in caso di emergenza; • informazioni relative a un lavoratore (o a un coniuge a carico, o ad altro familiare o ad altro beneficiario di tale lavoratore) che il datore di lavoro raccoglie, elabora o trasfe- risce in quanto necessarie esclusivamente allo scopo di amministrare i benefici a cui tale lavoratore (o coniuge a carico, o altro familiare o beneficiario di tale lavoratore) ha diritto sulla base della sua posizione presso quel datore di lavoro. Importante inoltre ricordare che per “lavoratore” l’articolo 2(13) ADPPA intende (indi- pendentemente dal fatto che tale lavoratore sia retribuito, non retribuito o assunto su base temporanea): “qualsiasi lavoratore, direttore, funzionario, membro del personale, indivi- duo che lavora come appaltatore, tirocinante, volontario o stagista di un datore di lavoro”. A differenza del GDPR, che pur rinviando alle normative nazionali degli Stati membri le norme integrative dei principi generali del GDPR (cfr. art. 88 GDPR) tutela comunque anche i lavoratori quali “interessati”, la scelta del Legislatore USA è quella della totale esclusione di ogni forma di garanzia sugli “ employee data ” come sopra individuati.

Quanto alle cosiddette “informazioni disponibili pubblicamente”, come detto esclu- se dall’ambito di applicabilità dell’ADPPA, la legge americana ci fornisce all’articolo 2(23) una specifica definizione e un elenco di quelle che vanno considerate informazioni pubblicamente disponibili da escludere dall’ambito di applicazione. In linea generale, la dizione le “informazioni disponibili pubblicamente” sono quelle che una entità soggetta all’applicazione dell’ADPPA ritenga ragionevolmente siano state legalmente messe a disposizione e rese disponibili al pubblico in generale in quanto: • tratte da archivi governativi federali, statali, locali, a condizione che la entità soggetta all’ADPPA raccolga, processi e trasferisca tali informazioni in conformità a qualsiasi restrizione o condizione di utilizzo apposta alla relativa informazione dalla competente autorità governativa; • ampiamente diffuse dai media [ai sensi dell’articolo 2(36) per “mezzi di comunicazione ad ampia diffusione” si intendono “le informazioni disponibili al pubblico in generale, comprese le informazioni contenute in un elenco telefonico o in un elenco online, in un programma televisivo, Internet o radiofonico, nei mezzi di informazione o in un sito Internet disponibile al pubblico in generale su base illimitata, ma non include una rap- presentazione visiva oscena (come definita nella sezione 1460 del titolo 18 del Codice degli Stati Uniti)”]; • disponibili su siti web o nell’ambito di servizi online per tutto il pubblico, sia gratuita- mente che a pagamento, inclusi in casi in cui sia richiesto al pubblico di effettuare una procedura di login al sito web o al servizio online; le informazioni non si considerano a disposizione dei membri del pubblico in generale se la persona che le ha rese disponibili attraverso il sito web o il servizio online ha ristretto l’accesso alle informazioni ad una specifica audience [cfr. art. 2(23)B.(i) ADPPA]; • oggetto di rivelazione effettuata al pubblico in conformità a quanto previsto dalle nor- mative federali, statali o locali; • tratte da immagini relative alla presenza fisica di una persona fisica in un luogo pubbli- co, esclusi i dati raccolti da un dispositivo in possesso dell’interessato. • Infine, la dizione di “informazioni disponibili pubblicamente” non include in ogni caso: • qualsiasi rappresentazione visiva oscena (come definita ai fini della sezione 1460 del titolo 18, Codice penale degli Stati Uniti); • informazioni create dall’incrocio di altre informazioni tratte da svariate fonti indipen- denti pubblicamente disponibili che non rivelano dati sensibili dell’interessato; • informazioni biometriche;

• informazioni pubblicamente disponibili che combinate con altri dati soggetti alla ap- plicabilità dell’ADPPA; • informazioni genetiche; o • immagini intime di un interessato di cui sia nota la non consensualità alla loro diffusione. > L’AMERICAN DATA PRIVACY AND PROTECTION ACT PREVEDE CATEGORIE DI DATI PERSONALI SENSIBILI? Si. L’articolo 2(24) dell’ADPPA elenca una lunga lista di dati definiti “sensibili” (“ sensitive covered data ”). Rispetto al GDPR, che all’articolo 9, comma 1, qualifica in via tassativa e non estensibile analogicamente quali “dati di particolare natura” le informazioni persona- li che attengono alla sfera più intima della persona, nella definizione del Legislatore ame- ricano tra i dati sensibili rientrano anche talune informazioni che attengono a documenti personali, a identificativi elettronici o alla situazione finanziaria della persona (tutti ambiti esclusi dall’articolo 9, comma 1, GDPR). Ad esempio, un numero di identificazione o di un documento emesso da una autorità go- vernativa – come ad esempio il numero di passaporto o della patente – sono considerati dati sensibili nella misura in cui non vi siano obblighi normativi di esposizione in pubblico del documento. Più senso ha – invece - considerare, in questo gruppo, come dato sensibile il numero della tessera di sicurezza sociale, poiché idoneo comunque a rivelare informa- zioni socio-previdenziali a favore dell’interessato. Quanto alle informazioni di natura finanziaria, è considerato sensibile qualsiasi numero di conto finanziario, i numeri di carte di debito bancario, i numeri di carte di credito o le in- formazioni relative all’ammontare delle entrate su conti bancari o gli estratti conto. Sempre per quanto riguarda dati e informazioni che il Legislatore americano considera sensibili (mentre tali non sono nell’ottica GDPR), possono citarsi: le comunicazioni private di una persona fisica come messaggi vocali, e-mail, SMS, messaggi diretti o postali o le in- formazioni che identificano le parti di tali comunicazioni, comunicazioni vocali e qualsiasi informazione relativa alla trasmissione di tali comunicazioni, compresi i numeri di tele- fono chiamati, i numeri di telefono dai quali le chiamate sono state effettuate, l’ora in cui sono state effettuate le chiamate, la durata della chiamata e le informazioni sull’ubicazio- ne delle parti della chiamata, a meno che l’entità soggetta all’ADPPA non sia il mittente o il destinatario della comunicazione. Non sono “dati sensibili” riservati ai sensi dell’articolo 2(24) ADPPA le comunicazioni effettuate da o verso un dispositivo fornito da un datore di lavoro a un dipendente nella misura in cui tale datore di lavoro fornisca un avviso chiaro

che il datore potrà accedere a tali comunicazioni. Sempre a differenza del GDPR, l’ADPPA considera sensibili anche: i dati di ubicazione idonei a evidenziare la precisa geolocalizzazione, le credenziali di autenticazione a dispositivi e gli account creati; i codici di accesso o di sicurezza relativi a un account o a un dispositivo. Con riferimento ai dati idonei a rivelare l’esatta e precisa geolocalizzazione, inoltre, l’articolo 2(20) ADPPA ulteriormente definisce (contrariamente al GDPR che non offre una analoga e precisa definizione) le “informazioni sull’esatta geolocalizzazione” come le informazioni che rivelano l’ubicazione fisica - passata o presente - di una persona fisica o di un dispositi- vo che identifica o è collegato o ragionevolmente collegabile a una o più persone fisiche, con una precisione sufficiente a identificare le informazioni di localizzazione a livello stradale o la posizione di una persona fisica entro un raggio di 1.000 piedi o meno. Non sono invece “informazioni sull’esatta geolocalizzazione” quelle che possono trarsi esclusivamente dal contenuto visivo di un’immagine. Per quanto riguarda i dati dei minori, sono considerate sensibili tutte le informazioni riferite a una persona minore di 17 anni che un titolare del trattamento tratti consapevolmente. Tutta una sezione dell’articolo 2(24) ADPPA è relativa a informazioni, immagini e contenuti assolutamente riservati e conservati su supporti o dispositivi. Sono dunque “dati sensibili”: le informazioni sul calendario o quelle contenute nell’agenda o nella rubrica, i log di testo o telefonici; le foto, le registrazioni audio o video mantenute per uso privato da una perso- na fisica, indipendentemente dal fatto che tali informazioni siano archiviate sul dispositivo dell’individuo o in una posizione separata sul dispositivo di una persona fisica; una fotogra- fia, un film, una registrazione video o similari che mostri le parti intime di una persona fisica, nudo o in indumento intimo. Si tratta, come è intuibile, di tipici e possibili contenuti riservati che possono essere conservati dall’interessato nei vari folder di uno smartphone. Particolare, poi, che siano considerate sensibili anche le informazioni che rivelano il con- tenuto o i servizi video richiesti o selezionati da una persona fisica presso un fornitore di servizi di trasmissione televisiva, servizi via cavo, servizi satellitari o servizi multimediali in streaming. Non solo – come ci si aspetterebbe – i contenuti o i servizi selezionati e in grado di rivelare l’orientamento sessuale del richiedente, ma in generale qualsiasi conte- nuto o servizio richiesto. Per il resto, la definizione di “dati sensibili” nell’ADPPA coincide con le informazioni di particolare natura identificate anche dal GDPR: • le informazioni idonee a rivelare il comportamento o l’orientamento sessuale, quan- do la loro rivelazione non sia coerente con le ragionevoli aspettative di riservatezza dell’interessato;

• qualsiasi informazione che descrive o rivela la salute fisica, mentale, la disabilità, la dia- gnosi, le terapie sanitarie e i trattamenti sanitari passati presenti o futuri di una persona fisica; • i dati biometrici; • i dati genetici. L’articolo 2(3) dell’ADPPA definisce le “informazioni biometriche” come dati generati dall’elaborazione tecnologica delle caratteristiche biologiche, fisiche o fisiologiche univo- che di una persona fisica che è collegato o ragionevolmente collegabile a una persona fisica, inclusi:

• impronte digitali; • impronte vocali; • scansioni dell’iride o della retina; • mappatura facciale o mappatura manuale, geometria o modelli; o • andatura o movimenti fisici di identificazione personale.

Come già chiarito dal GDPR (cfr. Considerando 51) anche per il Legislatore USA Il termine “informazioni biometriche” non include: • una fotografia digitale o fisica; • una registrazione audio o video; o • dati generati da una fotografia digitale o fisica o da una registrazione audio o video che non possono essere utilizzati per identificare una persona fisica. L’articolo 2(15) dell’ADPPA definisce le “informazioni genetiche” come i dati, indipenden- temente dal formato, che riguardano le caratteristiche genetiche di una persona, incluse: a. i dati di sequenza grezzi che risultano dal sequenziamento dell’estratto completo di una persona fisica o di una parte dell’acido desossiribonucleico (DNA) estratto; b. le informazioni genotipiche e fenotipiche risultanti dall’analisi dei dati della sequenza grezza. Infine, sono dati sensibili anche quelli raccolti, trattati o trasferiti allo specifico scopo di identificare tutte le categorie di dati sopra elencate e discusse, restando inoltre fermo che la Federal Trade Commission può anche in futuro integrare in via regolatoria l’elenco dell’ADPPA con riferimento ai dati sensibili, anche a seguito di qualsiasi nuovo metodo di raccolta, trattamento o trasferimento dei dati, includendo qualsiasi categoria aggiuntiva di dati da ritenere sensibili e da sottoporre al medesimo livello di protezione garantito per i dati sensibili dell’art. 2(24) appena sopra analizzato.

03. IL TRATTAMENTO DEI DATI NELL’AMERICAN DATA PRIVACY AND PROTECTION ACT

> LE TRE CATEGORIE CONCETTUALI DI TRATTAMENTO DEI DATI L’articolo 2 del ADPPA configura sostanzialmente tre categorie concettuali di trattamento, qualificandole e definendole nello specifico: • la raccolta;

• il trattamento; • il trasferimento.

In linea generale, la definizione di trattamento che si ritrova all’articolo 2(21) dell’ADPPA coincide con quella del GDPR: “qualsiasi operazione o insieme di operazioni effettuate sui dati soggetti alla legge, inclusa l’a- nalisi, l’organizzazione, la strutturazione, la conservazione, l’uso o qualsiasi altra operazione di gestione che abbia ad oggetto i covered data”. È però interessante la separata definizione di “raccolta”/”raccogliere” [“Collect/Col- lection”, cfr. art. 2(2) ADPPA]. Questa operazione, che potrebbe rientrare semplicemente in quella di “trattamento” sopra vista, è invece connotata da una precisa e voluta impronta commerciale e consumeristica: i termini “raccogliere” e “raccolta” indicano l’acquisto, il noleggio, la raccolta, l’ottenimento, la ricezione, l’accesso o l’acquisizione di dati persona- li soggetti all’ADPPA con qualsiasi mezzo: se c’era qualche dubbio sulla prospettiva com- merciale e consumeristica dell’ADPPA, la specifica previsione della possibilità di acquisto con qualsiasi mezzo dei dati personali sdogana ampiamente la possibilità della cosiddetta commerciabilità dei dati e della data monetization. Nello stesso solco si innesta anche la definizione di “trasferimento” [cfr. art. 2(34) ADPPA]: indica la divulgazione, il rilascio, la condivisione, la diffusione, la messa a disposizione o la concessione in licenza per iscritto,

per via elettronica o con qualsiasi altro mezzo dei dati (che dunque possono essere oggetto anche di licenze commerciali).

> LE ALTRE PRINCIPALI DEFINIZIONI GIURIDICHE Le altre definizioni giuridiche contenute all’articolo 2 del ADPPA evidenziano aspetti e scelte legislative interessanti. A partire dalla definizione dei cosiddetti “Large data holder” [cfr. art. 2(17) ADPPA], che identifica una particolare categoria di entità soggette all’ADPPA per le quali sono previste peculiari disposizioni, come vedremo. L’ADPPA definisce “Grande detentore di dati personali” una entità o un fornitore di servizi che nell’ultimo anno solare: a. abbia avuto entrate lorde annuali pari o superiori a 250.000.000 di dollari (per “entra- te” l’ADPPA intende le entrate lorde che un’entità o un fornitore di servizi - non orga- nizzato per svolgere attività per il proprio profitto o per quello dei suoi membri - abbia ricevuto in qualsiasi forma, da tutte le fonti, senza sottrarre alcun costo o spesa, inclusi contributi, doni, sovvenzioni, quote o altre valutazioni, entrate da investimenti o pro- venti dalla vendita di proprietà reali o personali); e b. abbia raccolto, trattato o trasferito: • i dati personali soggetti all’ADPPA riferiti ad almeno 5.000.000 di persone fisiche o a dispositivi che identificano o sono collegati o ragionevolmente collegabili a uno o più persone fisiche; e • i dati sensibili riferiti ad oltre 200.000 persone fisiche o a dispositivi che identificano o sono collegati o ragionevolmente collegabili a uno o più persone fisiche. La definizione di Large Data Holder non comprende in ogni caso le ipotesi in cui l’entità soggetta all’ADPPA o il fornitore di servizi – pur potendo rientrare nella definizione vista in base ai parametri numerici e quantitativi appena sopra visti - raccoglie e tratta:

• indirizzi e-mail personali; • numeri di telefono personali;

• le credenziali di una persona fisica o di un dispositivo per consentire all’individuo o al dispositivo di effettuare il log-in e di accedere a un account amministrato dall’entità o dal fornitore di servizi. Altra definizione è quella di “Algoritmo” [cfr. art. 2(2) ADPPA], considerato che in ma- teria di trattamenti basati su algoritmi l’ADPPA prevede specifiche prescrizioni. Per “al- goritmo” si intende nella legge americana sui dati un processo computazionale che uti- lizza tecniche di apprendimento automatico, di elaborazione del linguaggio naturale, di

intelligenza artificiale o altre tecniche di elaborazione computazionale di complessità simi- le o superiore, che prende una decisione o facilita il processo decisionale umano in relazio- ne ai dati soggetti all’ADPPA, anche per determinare la fornitura di prodotti o servizi o per classificare, ordinare, promuovere, raccomandare, amplificare o determinare in modo si- mile la consegna o la visualizzazione di informazioni a una persona fisica. Come è facilmente intuibile, questa definizione – che da un punto di vista tecnologico è in linea con le definizioni di “algoritmo” e di “Intelligenza Artificiale” che ad esempio possia- mo ritrovare nella proposta di Regolamento generale UE sull’IA (AI Act) – appare comunque essere caratterizzata da un ambito applicativo che è quello commerciale e consumeristico: il riferimento alla fornitura di prodotti e servizi, a sistemi di rating e di raccomandazione, alle modalità peculiari di visualizzazione delle informazioni (probabilmente basate su profila- zione) rimandano difatti a contesti appunto commerciali e consumeristici. Sono molte altre le definizioni che caratterizzano l’ADPPA quale normativa data protection intensamente caratterizzata da un’impronta commerciale e consumeristica. Si pensi alla definizione di “ricerca di mercato” di cui all’articolo 2(18). Per “ricerca di mercato” si intende la raccolta (intesa come abbiamo visto sora, anche come “acquisto”), il trattamento o il trasferimento di dati ragionevolmente necessari e proporzionati per ef- fettuare ricerche nel mercato o la commercializzazione e il marketing di prodotti, servizi o idee, laddove i dati non sono: a. integrati in un prodotto o servizio; b. utilizzati in altro modo per contattare una persona fisica o un dispositivo di una persona fisica; o c. utilizzati per inviare pubblicità o comunicazioni marketing a una persona fisica o al suo dispositivo. O si pensi, anche, alla definizione di “pubblicità mirata” che significa “mostrare a una persona fisica o a un dispositivo identificato da un identificatore unico una pubblicità o un contenuto online selezionati in base a preferenze, caratteristiche o interessi noti o previsti associati alla persona fisica o al dispositivo identificato da un identificatore unico”. La definizione non include invece: • la pubblicità o le comunicazioni marketing trasmesse a una persona fisica o a un suo dispositivo in risposta a una richiesta specifica di informazioni o a un feedback di detta persona fisica; • la pubblicità contestuale, ovvero quando una pubblicità viene visualizzata in base al contenuto o al luogo in cui viene visualizzata e non varia in base a chi sta visualizzando

la pubblicità (non è dunque mirata o targettizzata); oppure • il trattamento dei dati esclusivamente finalizzato alla misurazione della pubblicità e dei suoi contenuti in termini di prestazioni, portata, frequenza, compresa la misurazione indipendente. Si pensi, anche, alla definizione di “ material ” (che potremmo tradurre in italiano con “so- stanziale”) di cui all’art. 2(19) ADPPA che indica, in relazione a un atto, a una pratica o a una dichiarazione di un’entità (compresa una dichiarazione fatta dall’entità in un’informativa sulla privacy o in una comunicazione analoga agli individui), che comporta la raccolta, il trattamento o il trasferimento di dati che tale atto, pratica o dichiarazione può influenzare la decisione o il comportamento di una persona fisica in merito a un prodotto o servizio. > IL CONSENSO AL TRATTAMENTO DEI DATI SECONDO L’ADPPA L’articolo 2(1) ADPPA introduce la definizione del “consenso espresso e dichiarato”, da in- tendersi – in generale – come qualsiasi atto dichiarativo da parte di una persona fisica che comunica chiaramente la sua autorizzazione libera, specifica, informata e inequivocabile per un atto o una pratica, in risposta a una richiesta specifica che soddisfa particolari re- quisiti (previsti dal comma successivo) avanzata da parte di un’entità soggetta all’ADPPA. Questi i requisiti che la richiesta deve avere: a. la richiesta di consenso deve essere contenuta in una separata Informativa, redatta in maniera chiara e comprensibile - rilasciata alla persona fisica attraverso il mezzo di co- municazione principale utilizzato per rivolgersi all’interessato quando ad esso si offre un prodotto o un servizio; b. l’Informativa deve descrivere l’atto o la pratica per cui si richiede il consenso dell’indi- viduo e, inoltre: • deve indicare chiaramente le categorie specifiche di dati che l’entità soggetta all’A- DPPA deve raccogliere, trattare e trasferire per ogni atto o pratica; • deve distinguere chiaramente tra qualsiasi atto o pratica necessaria per soddisfare una richiesta dell’individuo e qualsiasi atto o pratica che ha un altro scopo; e • deve includere un titolo ben visibile e deve essere redatta in un linguaggio di facile comprensione che consenta a una persona fisica di identificare e comprendere le finalità del trattamento per la quale viene richiesto il consenso e quali dati l’entità andrà a raccogliere, trattare o trasferire per tali finalità del trattamento; c. la richiesta deve indicare chiaramente i diritti dell’individuo in materia di consenso;

d. la richiesta deve essere redatta in modo facilmente accessibile e utilizzabile da persone con disabilità; e. la richiesta deve essere resa disponibile al pubblico in ogni lingua in cui l’entità soggetta all’ADPPA fornisce un prodotto o un servizio per il quale è richiesta l’autorizzazione o nella lingua in cui l’entità svolge qualsiasi attività relativa a qualsiasi prodotto o servizio per il quale i dati protetti dell’interessato possono essere raccolti, trattati o trasferiti. L’ADPPA considera valido esclusivamente il consenso espresso, negando validità a quello tacito: è vietato difatti a qualsiasi entità soggetta all’ADPPA dedurre un “consenso espres- so affermativo” a un atto o a una pratica dall’inazione dell’interessato o dalla circostanza che questi continua ad utilizzare un prodotto o un servizio che gli è stato fornito dall’entità medesima. Così come sono vietate pratiche ingannevoli che danno vita a quello che l’ADPPA definisce come “consenso pretestuoso”, cioè le pratiche volte all’ottenimento del consenso espresso mediante l’uso di qualsiasi dichiarazione o rappresentazione falsa, fittizia, fraudolenta o materialmente fuorviante; oppure mediante la progettazione, la modifica o la manipola- zione di qualsiasi interfaccia utente con lo scopo o l’effetto sostanziale di oscurare, sovver- tire o compromettere l’autonomia, il processo decisionale o la scelta di una persona fisica di fornire tale consenso o qualsiasi dato personale coperto dall’ADPPA. Comparando la definizione relativa al consenso contenuta nell’ADPPA con la corrispon- dente definizione di consenso nel GDPR, emergono tratti in comune ma anche profonde differenze. Partendo da queste ultime, è evidente come il Legislatore americano sembri non distin- guere con chiarezza il consenso al trattamento dei dati personali dal consenso contrattua- le, tanto è vero che la richiesta è indirizzata all’interessato nel momento in cui il titolare del trattamento offre un prodotto o un servizio. Inoltre, sempre in questa prospettiva, il consenso copre non tanto il trattamento, quanto l’atto o la pratica connessa al rapporto di prodotto o di servizio. Non è cioè richiamato – in sede definitoria del consenso - il tratta- mento (che ragionevolmente dovrebbe essere invece coperto dalla acquisizione del con- senso, almeno ricorrendo determinati requisiti), che pure l’articolo 2(21) ADPPA definisce specificatamente (“qualsiasi operazione o insieme di operazioni effettuate sui dati soggetti alla legge, inclusa l’analisi, l’organizzazione, la strutturazione, la conservazione, l’uso o qualsiasi altra operazio- ne di gestione che abbia ad oggetto i covered data”).

Page 1 Page 2 Page 3 Page 4 Page 5 Page 6 Page 7 Page 8 Page 9 Page 10 Page 11 Page 12 Page 13 Page 14 Page 15 Page 16 Page 17 Page 18 Page 19 Page 20 Page 21 Page 22 Page 23 Page 24 Page 25 Page 26 Page 27 Page 28 Page 29 Page 30 Page 31 Page 32 Page 33 Page 34 Page 35 Page 36 Page 37 Page 38 Page 39 Page 40 Page 41 Page 42 Page 43 Page 44 Page 45 Page 46 Page 47 Page 48 Page 49 Page 50 Page 51 Page 52 Page 53 Page 54 Page 55 Page 56 Page 57 Page 58 Page 59 Page 60 Page 61 Page 62 Page 63 Page 64 Page 65 Page 66 Page 67 Page 68 Page 69 Page 70 Page 71 Page 72 Page 73 Page 74 Page 75 Page 76 Page 77 Page 78 Page 79 Page 80 Page 81 Page 82

Made with FlippingBook Online newsletter maker