Approvato il 28 giugno scorso il California Consumer Privacy Act 2018 (qui il testo), la normativa sulla protezione dei dati personali più severa degli Stati Uniti.

La legge entrerà in vigore nel 2020 e, ovviamente, tutelerà i soli cittadini californiani; ma è probabile che molte compagnie USA vorranno evitare di dover approntare una procedura per gli individui del Golden State e un’altra per gli altri consumatori. Già molti operatori locali – i giganti della Sylicon Valley e non solo – sono “costretti” ad applicare le tutele GDPR se il loro business si rivolge anche ad individui europei (v. qui alcuni ragionamenti sul potenziale effetto domino del GDPR); fare i conti con una triplice compliance (California > normativa federale USA > Regolamento UE), sarebbe tecnicamente ostico oltre che oneroso.

Indubbiamente, il California Consumer Privacy Act 2018 presenta alcuni pronunciate similarità con il GPDR, sebbene vi siano ancora ampie differenze e benché si debba tener conto che la disciplina tutela gli individui solo in qualità di consumatori (e non anche come cittadini o fruitori di un pubblico servizio). Oltre a ciò, è bene sottolineare che – mentre il GDPR è applicabile anche ad un ciabattino – la disciplina californiana vincola solo le organizzazioni a scopo di lucro che:

  • ottengano ricavi per minimo 25 milioni di USD l’anno;
  • o che trattino i dati di minimo 50.000 individui o da altrettanti dispositivi;
  • oppure che ottengano almeno il 50% dei propri profitti dalla vendita di dati personali.

Insomma, una bella differenza.

Per quanto concerne il riecheggiare dei principi di tutela continentali, la normativa introduce:

  • il diritto di essere informati su quali dati sono trattati da un “business”, per quale finalità e da quale fonte sono stati attinti;
  • il diritto di conoscere con quali terzi i dati possono essere condivisi;
  • il diritto di opporsi a che i propri dati siano venduti a terzi (opt-out);
  • il divieto di vendita a terzi dei dati dei minori di 16 anni, salvo consenso (opt-in) che dovrà essere genitoriale se i dati sono di un minore di 13 anni;
  • il diritto di richiedere la cancellazione dei dati;
  • il diritto di agire contro l’azienda che si sia resa colpevole di una violazione dei dati personali;
  • il diritto di richiedere tutela al Procuratore Generale della California;

E’ istituito, inolte, l’obbligo per l’azienda che abbia subito un data breach di notificare entro 30 giorni l’avvenuta violazione all’Attorney General, pena la sanzione da 7.500 USD cada record violato.

Il punto più “tipicamente americano” della normativa è quello sulla differential privacy; o meglio, sulla possibilità di accordare condizioni diverse agli interessati che – ad esempio – si oppongano ad un trattamento (spesso, profilazione o cessione a terzi) più intensivo dei loro dati. L’Act 2018 vieta che si possano operare implicite forme di discriminazione in base alle scelte di privacy di un utente, ma non impedisce che qualche significativo vantaggio possa “ragonevolmente” essere accordato all’individuo che – adeguatamente informato – decida di cedere consapevolmente e volontariamente il proprio profilo consumer a fronte di determinati incentivi prospettati dal titolare sotto forma di benefici, sconti, convenzioni, etc.: sarà sufficiente un opt-in. Questi sono i passaggi più magmatici della disciplina e, per carenza (per volontà delle lobby?) di chiarezza nella tecnica redazionale, lasciano alcuni importanti margini di manovra alle aziende per “spremere” i dati dell’utente meno avveduto. Ad ogni buon conto, il principio fondamentale è che le condizioni di base di un offerta di beni o servizi non possono essere subire variazioni in pejus per il consumatore più restio a condividere le proprie informazioni.

Il California Consumer Privacy Act 2018 è stato approvato in tutta fretta; scaduto il termine di giovedì scorso, si sarebbe aperta la prospettiva di un voto popolare a novembre 2018 su una proposta di legge ben più restrittiva per le aziende (che avrebbe previsto un più ampio ricorso all’opt-in e la possibilità di chiedere danni alle aziende in caso di trattamento illecito). I promotori della normativa più restrittiva (qui il loro sito) avevavo promesso che avrebbero abbandonato l’iniziativa più aggressiva davanti all’approvazione entro il 28 giugno del California Consumer Privacy Act 2018, ritenuto un accettabile testo di compromesso. Compromesso che, dopo un’iniziale ostilità, è stato ritenuto accettabile anche dai giant tech timorosi di dover – in alternativa – piegarsi verso fine anno all’introduzione di disposizioni più pesanti.

Altri stati federali, stanno vagliando la possibilità di emanare a breve un normativa di privacy più stringente. Un’onda lunga sembra propagarsi attraverso gli USA dopo che in pochissimi mesi sono arrivati impulsi impossibili da ignorare quali il caso Cambridge Analytica, l’entrata in forza del GDPR ed, ora, la normativa dello Stato federale che ospita il gotha della rivoluzione digitale.