Iubenda logo
Inizia la generazione

Documentazione

Indice dei contenuti

L’American Data Privacy and Protection Act (ADPPA): una panoramica

Mentre molte nuove leggi sulla privacy stanno diventando efficaci a livello statale, gli Stati Uniti non hanno ancora adottato una legge federale onnicomprensiva sulla privacy e la protezione dei Dati. Poi, se Bill H.R. 8152, l’American Data Privacy Protection Act (ADPPA), forte del sostegno bipartisan, dovesse passare, diventerebbe la prima legge federale sulla privacy dopo quasi due decenni di discussioni.

In questo post, ripercorreremo le principali definizioni e requisiti del disegno di legge, per avere un’idea più chiara di cosa accadrebbe se l’ADPPA venisse applicato.

A colpo d’occhio:

American Data Privacy and Protection Act (ADPPA)

Cos’è l’American Data Privacy Protection Act (ADPPA)?

Secondo il testo ufficiale, l’ADPPA è:

Un disegno di legge per fornire ai Consumatori i diritti fondamentali alla privacy dei Dati, creare forti meccanismi di sorveglianza e stabilire un’applicazione significativa.

L’ADPPA garantirebbe a tutti i Consumatori statunitensi significativi diritti alla riservatezza dei Dati, istituendo al contempo un sistema di monitoraggio per la raccolta e il trattamento dei Dati effettuato dalle entità interessate.

Come legge federale, l’ADPPA generalmente pregiudicherebbe altre leggi sulla privacy a livello statale che sono coperte dalle sue disposizioni, come il CPRA della California o il VCDPA della Virginia. Ciò significa che le entità che fanno affari negli Stati Uniti dovrebbero conformarsi all’ADPPA, poiché la maggior parte delle leggi statali non sarebbero più applicabili.

Prelazione delle leggi statali
Nessuno Stato o suddivisione politica di uno Stato può adottare, mantenere, applicare, prescrivere o mantenere in vigore qualsiasi legge, regolamento, regola, norma, requisito o altra disposizione avente forza ed effetto di legge di uno Stato, o suddivisione politica di uno Stato, contemplata dalle disposizioni della presente legge, o da una norma, regolamento o requisito promulgato ai sensi della presente legge.

Gli Stati Uniti. La Federal Trade Commission sarebbe principalmente responsabile dell’applicazione del disegno di legge. Secondo la bozza, la FTC dovrebbe istituire un nuovo ufficio chiamato “Bureau of Privacy”, che si occuperebbe di supervisionare e far rispettare il disegno di legge.

A chi si applica l’ADPPA?

L’American Data Privacy Protection Act si applicherebbe alle cosiddette “entità coperte”.

Il progetto di testo definisce un’entità coperta come “qualsiasi entità o persona diversa da una persona fisica che agisce in un contesto non commerciale, che da sola o insieme ad altri determina le finalità e i mezzi di raccolta, trattamento o trasferimento dei Dati coperti”. Questa ampia definizione copre la stragrande maggioranza delle imprese.

La definizione non include entità governative federali, statali, tribali, territoriali o locali, o qualsiasi persona o entità che raccolga ed elabori Dati per loro conto.

👉 Leggi la definizione ufficiale qui

Quali Dati Personali sono ConS ai sensi dell’ADPPA?

L’ADPPA definisce “Dati coperti” le informazioni che – da sole o in combinazione con altre informazioni – possono portare all’identificazione di, o sono collegate o ragionevolmente collegabili a, un individuo o al suo dispositivo. Questa definizione include anche Identificatori univoci, come gli indirizzi IP.

La definizione di “Dati coperti” non comprende invece:

  • Dati de-identificati;
  • Dati dipendenti;
  • informazioni accessibili al pubblico; oppure
  • deduzioni effettuate da più fonti indipendenti di informazioni accessibili al pubblico che non rivelano Dati sensibili coperti rispetto a un individuo.

L’American Data Privacy Protection Act comprende anche una sezione specifica dedicata ai “Dati sensibili coperti”: numeri di previdenza sociale e passaporto; informazioni sanitarie; numeri di conto finanziario, di carta di debito e di carta di credito; informazioni biometriche e genetiche; comunicazioni private; credenziali di accesso a qualsiasi account o dispositivo, solo per citarne alcuni.

👉 Puoi accedere alla lista completa qui

Principi fondamentali dell’American Data Privacy and Protection Act

Nel Titolo I – Dovere di fedeltà, l’ADPPA definisce i suoi principi fondamentali:

  • Minimizzazione dei Dati: un’impresa dovrebbe limitare la raccolta, l’elaborazione e il trasferimento dei Dati coperti solo a quanto ragionevolmente Necessari e proporzionati per soddisfare una finalità consentita o fornire un Prodotto o Servizio specifico richiesto dall’individuo cui appartengono i Dati.
  • Doveri di fidelizzazione: comprendono principalmente quelle attività che l’ADPPA vieta, ovvero: il trattamento di Dati sensibili, ogniqualvolta non Necessari per fornire all’individuo un Servizio da lui richiesto, o il trasferimento di Dati Personali a terzi senza il ConS dell’individuo.
  • Privacy by design: le entità che raccolgono e trattano Dati Personali dovrebbero attuare misure di salvaguardia e pratiche di sicurezza, per garantire che la loro attività si svolga in sicurezza e nel rispetto delle leggi applicabili.
  • Fedeltà alle persone fisiche per quanto riguarda i Prezzi: le entità coperte sono tenute ad astenersi da ritorsioni nei confronti di un individuo per aver esercitato uno qualsiasi dei diritti garantiti dall’ADPPA, tra cui negare beni o Servizi, applicare prezzi o tariffe diversi o fornire un diverso livello di qualità.

Diritti dei Dati ConS ai sensi dell’ADPPA

I diritti dei Consumatori ai sensi del Titolo II dell’ADPPA comprendono:

  • ConSapevolezza del ConS: entro 90 giorni dall’emanazione dell’ADPPA, la FTC sarebbe tenuta a pubblicare una descrizione di ciascuna disposizione, diritto, obbligo e requisito della legge nel proprio sito web.
  • Trasparenza: ciascuna entità coperta rende disponibile al pubblico, in modo chiaro, visibile, di facile lettura e facilmente accessibile, una Privacy Policy che fornisca una rappresentazione dettagliata e accurata delle proprie attività di raccolta, trattamento e trasferimento dei Dati.
  • Titolare e controllo dei Dati: gli individui hanno il diritto di accedere, correggere, cancellare e portare i propri Dati.
  • Diritto di ConS e Obiezione: le entità devono fornire agli individui uno strumento per, tra l’altro, dare e revocare il loro ConS rispetto al trattamento o al trasferimento dei loro Dati coperti e opt-out dalla Pubblicità mirata.
  • Protezione Dati Bambini e Minori: le organizzazioni sono interessate a requisiti aggiuntivi quando sono coinvolti individui di età inferiore ai 17 anni. Ad esempio, è espressamente vietata la Pubblicità mirata, così come il trasferimento dei Dati a terzi, se non vi è un ConS esplicito da parte del minore coperto o del genitore o tutore del minore coperto.
  • Enti di riscossione terzi: gli enti di riscossione terzi pubblicano un’informativa chiara e visibile sul loro sito web e/o sulla loro app, informando le persone fisiche che sono un ente di riscossione terzo, utilizzando il linguaggio specificato dai regolamenti FTC.
  • Sicurezza Dati e Protezione dei Dati Coperti: le organizzazioni devono implementare e mantenere pratiche e procedure di sicurezza Dati che proteggano e proteggano Dati da accessi e acquisizioni non autorizzati.

Poiché il disegno di legge non ha completato la procedura legislativa né è stato approvato, non ci sono ancora requisiti legali effettivi. Tuttavia, qualora l’ADPPA diventasse efficace nel testo attuale, le entità coperte sarebbero interessate ai seguenti obblighi:

  • Una Privacy Policy: le politiche sulla privacy sono espressamente menzionate nel testo e dovrebbero almeno includere:
    • le informazioni di contatto del soggetto coperto;
    • gli estremi dei terzi destinatari dei Dati;
    • che tipo di Dati vengono raccolti e trattati e perché;
    • quali diritti hanno gli individui in relazione ai loro Dati e come possono esercitarli;
    • per quanto tempo l’organizzazione prevede di conservare i Dati.
  • Un meccanismo per raccogliere il consenso al trattamento dei dati sensibili coperti e per consentire alle persone fisiche di revocarlo.
  • Un meccanismo per rinunciare alla Pubblicità target.
  • Se sei un ente di riscossione di terze parti, una chiara informativa sul tuo sito web e/o app che informa gli individui della tua attività.
Cosa devo fare?

In questo momento, non c’è niente da fare per quanto riguarda l’ADPPA: il testo è ancora una bozza e la discussione potrebbe richiedere mesi. Tuttavia, il nostro team di iubenda monitorerà sempre la situazione e ti avviserà di eventuali modifiche e aggiornamenti.

👉 Assicuratevi di iscrivervi qui, e non perdetevi le ultime novità!

Una cosa che potresti fare, però, è verificare se una qualsiasi delle nuove leggi sulla privacy dello Stato americano si applica a te! Se questo è il caso, allora dovresti rispettare i loro requisiti.

Non preoccuparti, è più facile di quanto pensi!

Prendi questo quiz di 1 minuto e scopri

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com

Hai ancora domande?

Partecipa a uno dei nostri webinar gratuiti Scrivici via email Live chat