Inasprire le norme sulla privacy: questa è la richiesta espressa dal CEO di Apple, Tim Cook, in una lettera inviata al Senato degli Stati Uniti, in cui ha espresso per l’ennesima volta il suo sostegno alla legge federale che inasprisce le normative sulla privacy. Il riferimento è alla proposta di legge bipartisan (“American Data Privacy and Protection Act”) che potrebbe finalmente porre fine ad una situazione di stallo vecchia di anni.

La lettera del CEO di Apple è indirizzata a Maria Cantwell ( rappresentante democratica dello Stato di Washington), presidente della commissione per il Commercio, la Scienza e i Trasporti del Senato degli Stati Uniti, a Frank Pallone (democratico anche lui, ma del New Jersey), presidente della commissione della Camera degli Stati Uniti per Energia e Commercio, e ai senatori Cathy McMorris Rodgers (repubblicana dello Stato di Washington) e Roger Wicker (repubblicano del Mississippi), membri della commissione per il Commercio del Senato i quali hanno appoggiato la nuova normativa.

In particolare, il disegno di legge fornirebbe indicazioni sul tipo di dati che le aziende possono raccogliere negli Stati Uniti, vietando al contempo le pratiche di pagamento per la privacy e imponendo più elevati livelli di sicurezza dei dati. Andiamo però a vedere cosa ha affermato Cook nella sua lettera.

La lettera di Tim Cook

“In Apple, crediamo che la privacy sia un diritto umano fondamentale. È per questo che abbiamo costantemente sostenuto una legislazione completa sulla privacy e abbiamo contribuito alla sua realizzazione quando possibile. È anche il motivo per cui abbiamo sempre creato prodotti e funzionalità che proteggono gli utenti e le loro informazioni per impostazione predefinita.”

È questo il punto centrale della missiva indirizzata da Tim Cook al Senato statunitense, in cui esorta i rappresentanti del popolo a far avanzare una legislazione sulla privacy più completa possibile e al più presto. Una lettera la quale va a calarsi in una situazione che vede il Congresso in prolungato stallo, provocato in particolare da due fattori:

  • la prelazione, o meno, della legge federale rispetto alle leggi statali;
  • l’esercizio del diritto privato.

In particolare, i democratici si oppongono alla prelazione di una legge federale sulle leggi dei singoli Stati  mostrandosi favorevoli all’esercizio del diritto privato da parte dei consumatori, mentre i repubblicani sono favorevoli a una legge federale prevalente sulle singole leggi statali, opponendosi invece all’esercizio del diritto privato, nel timore che possa generare un infinito numero di azioni legali da parte dei singoli contro le aziende considerate inadempienti, ammettendolo solo con forti limitazioni a casi specifici.

Occorre sottolineare come per Tim Cook la grande attenzione al tema della privacy non rappresenti una novità. Non più tardi di due mesi fa, infatti, l’amministratore delegato dell’azienda di Cupertino è intervenuto ad un evento sulla privacy organizzato da IAPP, affermando che Apple si batte per il rispetto dei propri utenti dalla possibile sorveglianza da parte di aziende che abusano della loro posizione.

Una posizione che ha riecheggiato la reazione dello stesso numero uno di Apple di fronte allo scandalo Cambridge Analytica, quando Cook non aveva avuto eccessivi peli sulla lingua affermando che la sua azienda avrebbe potuto guadagnare tonnellate di soldi monetizzando i dati della propria clientela, decidendo invece di non procedere su una strada pericolosissima, in quanto le informazioni personali rappresentano un diritto umano e una libertà civile.

Come è stato accolto il progetto di legge

Tra i punti salienti del nuovo progetto di legge c’è proprio il campo di applicazione, che sarebbe indirizzato ai cosiddetti “covered data” i quali sono definiti come “le informazioni che identificano o sono collegate o ragionevolmente collegabili a un individuo o un dispositivo che identifica o è collegato o ragionevolmente collegabile a uno o più individui, inclusi i dati derivati e identificatori univoci”. Una definizione dalla quale sono quindi esclusi i dati anonimizzati, quelli relativi ai dipendenti e le informazioni rese pubbliche.

Il progetto di legge non si basa né sulle leggi privacy già esistenti negli Stati Uniti, come ad esempio quelle approvate in California, Connecticut, Colorado, Utah e Virginia, né al General Data Protection Regulation (GDPR) europeo, sebbene alcune definizioni e concetti siano ad esso riconducibili. Può quindi essere considerato un nuovo modello e come tale è stato salutato dai primi commenti, pur essendo chiaro che servirà un lavoro di integrazione.

In questo novero non va inclusa la presidente della Commissione Commercio del Senato, Maria Cantwell, considerata una delle voci più autorevoli tra coloro che da tempo lavorano per il conseguimento di un accordo. È stata proprio lei ad affermare la necessità di una legge federale non solo forte, ma tale da non consentire scappatoie o zone grigie, in modo da permettere ai consumatori statunitensi di conseguire una significativa protezione della privacy, tale da permettere loro di proteggere i propri diritti immediatamente e non dopo anni.

Ritenendo la bozza non abbastanza forte, proprio lei ha pubblicato una rivisitazione di un suo precedente disegno di legge, il Consumer Online Privacy Rights Act, presentato per la prima volta nel 2019, in cui un danno sostanziale alla privacy di un individuo sarebbe sanzionato con multe superiori ai mille dollari, equiparandolo ad un danno fisico, mentale o in termini di reputazione.

Il suo progetto di legge impedirebbe poi l’utilizzazione da parte delle aziende di accordi con gli utenti tesi a costringerli a sottoporsi ad arbitrato al fine di risolvere le controversie piuttosto che portare la vicenda nelle aule di tribunale. Una risposta a quanto sostenuto nel progetto bipartisan, il quale non impedisce alle aziende di costringere i clienti a ricorrere all’arbitrato, con l’eccezione dei casi in cui siano implicati soggetti di età inferiore ai diciassette anni.

Una corsa contro il tempo

Il maggiore ostacolo per il progetto di legge federale sulla privacy può essere considerato il tempo. L’avvicinarsi delle elezioni di midterm rende sempre più probabile un mutamento della maggioranza, con i repubblicani molto avanti nei sondaggi e in grado di riprendere il controllo di entrambi i rami del Parlamento.

Inoltre, anche la commissione del Senato per il Commercio si appresta a notevoli cambiamenti. In particolare dovrebbe lasciare Wicker, il quale si è speso molto per il conseguimento di un accordo tra le parti, destinato a trasferirsi a quella per i Servizi Armati. Proprio dal sostituto potrebbe quindi dipendere la prosecuzione del cammino del provvedimento o il suo definitivo insabbiamento.

In un quadro di questo genere la lettera di Tim Cook  sembra destinata a incidere, considerato il suo rilievo nell’ambito dell’economia statunitense, ma solo sino ad un certo punto. Potrebbe quindi ricrearsi la situazione di stallo che ha visto cinque Stati dell’Unione procedere per conto loro. I cinque sono:

  1. la California (California Consumer Privacy Act  e California Privacy Rights Act);
  2. la Virginia (Virginia Consumer Data Protection Act);
  3. il Colorado (Colorado Privacy Act);
  4. lo Utah (Utah Consumer Privacy Act);
  5. il Connecticut (Connecticut Data Privacy Act)

Si tratta però di provvedimenti molto diversi tra di loro. Se le leggi del Colorado e del Connecticut sembrano recepire le preoccupazioni relative alla difesa dei consumatori, il Virginia Consumer Data Protection Act sembra invece meno attento a questo aspetto. Non a caso le aziende che hanno la residenza in questo Stato, lo hanno fortemente sostenuto a partire da Amazon, che ha una sede ad Arlington.

In questo quadro, però, spicca la legge emanata dalla California, la più rigorosa in assoluto, che sembra accogliere in toto le istanze che hanno ispirato il Regolamento Generale della Protezione dei Dati (GDPR) europeo. Il problema è che questo provvedimento non ha comunque rallentato o circoscritto le rendite di posizione dei grandi giganti tecnologici. Lo ha ricordato Syd Terry, capo di staff della rappresentante dell’Illinois Jan Schakowsky, il quale ha poi commentato che considererebbe un fallimento la produzione di risultati analoghi da parte della legge federale sulla privacy.

Perché è importante la legge

La discussione in atto negli Stati Uniti fa capire il rilievo sempre maggiore che ha assunto con il trascorrere del tempo la questione relativa alla privacy e alla raccolta delle informazioni personali degli individui. La raccolta massiccia di questi dati da un numero sempre maggiore di servizi del mondo digitale, testimonia al di là delle parole la loro importanza strategica, tanto da essere diventati oggetto di scontro tra i governi di Stati Uniti e Cina (ma non solo).

In particolare, per le aziende queste informazioni rappresentano una risorsa fondamentale. Si tratti di piccole, medie o grandi società, tutte sono solite costruire i propri modelli di business approfittando della disponibilità dei dati in questione. Per le stesse aziende è quindi fondamentale non avere lacci e lacciuoli tali da impedirne lo sfruttamento.

Il problema è che senza filtri adeguati si apre la strada ad una serie di abusi di non poco conto. L’esempio in tal senso è rappresentato dal già ricordato scandalo Cambridge Analytica, avvenuto nel 2018, con la raccolta da parte della società dei dati personali di 87 milioni di account Facebook senza il loro consenso, con il successivo impiego per scopi di propaganda politica. Uno scandalo il quale ha intaccato enormemente la reputazione di Mark Zuckerberg.

La polemica rovente dell’epoca, però, non sembra aver particolarmente impressionato le grandi aziende, i cui lobbisti continuano ad operare indisturbati al Congresso e in tutte le assemblee elettive, per cercare di stoppare qualsiasi provvedimento teso a contenerne gli appetiti. Nel farlo, però, sembrano aver adottato una tattica estremamente accorta: da un lato si dichiarano favorevoli a legislazioni severe in grado di proteggere i consumatori, mentre dall’altro cercano di svuotare di contenuto reale le leggi.

Il loro operato è favorito proprio dal fatto che manca una legge quadro a livello federale, permettendo in tal modo il proliferare di leggi Stato per Stato, dando luogo ad una sorta di puzzle in cui può entrare di tutto. La legge federale, quindi, dovrebbe essere più severa possibile, rischiando però di non arrivare in porto proprio per i veti incrociati tra repubblicani e democratici.

In questo quadro la nuova legge federale potrebbe essere una prima soluzione, ma il timore è che a conti fatti non riesca a porre un effettivo argine agli interessi privati delle aziende. A sintetizzare queste paure è stata Evan Greer, direttrice del gruppo per i diritti digitali Fight for the Future, secondo la quale alla fine la legge federale potrebbe avere di privacy solo il nome.

Il punto di vista delle aziende, in realtà, è che il provvedimento dovrebbe cancellare le restrizioni più severe delle singole leggi statali, esprimendo linee guida cui tutti si dovrebbero attenere. Un punto di vista che va a collidere, in particolare, con le posizioni della Federal Trade Commission (FTC), cui spetta il compito di vigilare sulle grandi aziende tecnologiche al fine di impedire loro abusi in tema di privacy e concorrenza.

La stessa FTC, con la conferma di Alvaro Bedoya in qualità di quinto componente, vede al momento una maggioranza democratico (3 su 5), tale da far temere alle lobby un maggiore controllo sul tema. Come sta avvenendo proprio in questi giorni con le indagini sulla divisione VR di Meta, dovute a potenziali violazioni delle norme sulla concorrenza. La speranza delle grandi imprese è appunto in una sconfitta democratica alle prossime elezioni di medio termine, tale da porre le premesse per un atteggiamento più conciliante del Congresso.

Leggi anche: Data Privacy Day: Italia tra i primi Paesi in Europa per violazioni del GDPR