Gli americani meritano di più dell’attuale legge americana sui diritti della privacy

L’EFF teme che un nuovo disegno di legge federale congelerebbe le tutele sulla privacy dei dati dei consumatori in vigore, anticipando le leggi statali esistenti e impedendo agli Stati di crearetutele più forti in futuro . La legge federale dovrebbe essere la base su cui gli Stati possono costruire, non un tetto.

Invitiamo inoltre gli autori dell'American Privacy Rights Act (APRA) a rafforzare altre parti del disegno di legge. Dovrebbe essere più semplice denunciare le aziende che violano i nostri diritti. Il disegno di legge dovrebbe limitare la condivisione con il governo ed espandere la definizione di dati sensibili. E dovrebbe limitare le eccezioni che consentono alle aziende di sfruttare le nostre informazioni biometriche, i nostri cosiddetti dati “de-identificati” e i nostri dati ottenuti in programmi di “fedeltà” aziendale .

Nonostante le nostre preoccupazioni riguardo al disegno di legge APRA, siamo lieti che il Congresso stia orientando il dibattito verso un approccio che metta al primo posto la privacy nella regolamentazione online. Frenare la massiccia raccolta, uso improprio e trasferimento dei dati personali di tutti da parte delle aziende dovrebbe essere l’obiettivo unificante di coloro che hanno a cuore Internet. Questo dibattito è stato assente a livello federale nell’ultimo anno, dando respiro a progetti di legge imperfetti che si concentrano sulla censura e sul blocco dei contenuti, piuttosto che sulla privacy.

In generale, l’APRA richiederebbe alle aziende di ridurre al minimo il trattamento dei dati personali a quanto necessario, proporzionato e limitato a determinati scopi elencati. Richiederebbe specificamente il consenso per il trasferimento di dati sensibili e la maggior parte del trattamento di dati biometrici e genetici. Darebbe inoltre ai consumatori il diritto di accedere, correggere, cancellare ed esportare i propri dati. E consentirebbe ai consumatori di rinunciare universalmente alla raccolta dei propri dati personali da parte dei broker, utilizzando un registro gestito dalla Federal Trade Commission.

Accogliamo con favore molte di queste protezioni della privacy. Di seguito sono riportate alcune delle nostre massime priorità per correggere e rafforzare il disegno di legge APRA.

Consentire agli Stati di approvare leggi sulla privacy più severe

L’APRA non dovrebbe anticipare le leggi statali esistenti e future sulla privacy dei dati che sono più forti dell’attuale disegno di legge. La capacità di approvare leggi più severe a livello statale e locale è uno strumento importante nella lotta per la privacy dei dati. Chiediamo che il Congresso non comprometta i nostri diritti alla privacy minando proprio l’azione a livello statale che ha stimolato in primo luogo questo compromesso della legge federale sulla privacy dei dati.

Salvo eccezioni, l’APRA afferma che nessuno stato può “adottare, mantenere, far rispettare o continuare ad applicare” alcun requisito sulla privacy a livello statale affrontato dal nuovo disegno di legge. L'APRA consentirebbe il mantenimento di molte leggi statali settoriali sulla privacy, ma eviterebbe comunque la protezione dei dati biometrici , dei dati sulla posizione , dei segnali di tracciamento degli annunci online e forse anche delle protezioni della privacy nelle costituzioni statali o di altri limiti su ciò che le società private possono condividere con il governo. . A livello federale, l'APRA inoltre prevarrebbe erroneamente su molte parti del Federal Communications Act, comprese le disposizioni che limitano l'uso, la divulgazione e l'accesso da parte di una compagnia telefonica alle informazioni di rete proprietarie del cliente, comprese le informazioni sulla posizione.

Altrettanto importante, impedirebbe agli Stati di creare leggi sulla privacy più severe in futuro. Gli Stati sono più agili nell’approvare leggi per affrontare i nuovi danni alla privacy man mano che si presentano, rispetto al Congresso che per decenni non è riuscito ad aggiornare importanti protezioni. Ad esempio, se i legislatori dello stato di Washington volessero seguire il consiglio dell’EFF di vietare la pubblicità comportamentale online o di consentire ai suoi cittadini di citare in giudizio le aziende per non aver ridotto al minimo la raccolta di dati personali (disposizioni in cui l’APRA non è sufficiente), i legislatori statali non avrebbero il potere di farlo. quindi secondo il nuovo disegno di legge federale.

Rendi più semplice per gli individui far valere i propri diritti alla privacy

L’APRA dovrebbe impedire accordi di arbitrato forzato coercitivo e deroghe alle azioni collettive, consentire alle persone di citare in giudizio per danni previsti dalla legge e consentire loro di portare il loro caso nei tribunali statali. Questi diritti consentirebbero un’applicazione rigorosa e aiuterebbero le aziende a dare priorità alla privacy dei consumatori.

L’APRA ha un diritto d’azione privato, ma è una mezza misura che consente comunque alle aziende di eludere molte cause legali legittime. E il diritto di azione dei privati ​​non si applica ad alcune delle parti più importanti della legge, compreso il requisito centrale di minimizzazione dei dati.

Lo strumento preferito dalle aziende che cercano di sbarazzarsi delle cause legali sulla privacy è quello di seppellire nei loro termini di servizio le disposizioni che costringono gli individui all’arbitrato privato e prevengono azioni legali collettive. L’APRA non affronta le deroghe alle azioni collettive e impedisce solo l’arbitrato forzato per i bambini e le persone che lamentano un danno “sostanziale” alla privacy. Inoltre, i danni legali e l’applicazione dei diritti da parte dei tribunali statali sono essenziali, perché molte volte i tribunali federali faticano ancora a riconoscere come reale il danno alla privacy , basandosi invece su una visione ristretta che non riconosce la privacy come un diritto umano. Inoltre, il disegno di legge consentirebbe alle aziende di porre rimedio alle violazioni piuttosto che affrontare una causa legale, incentivando le aziende a eludere la legge finché non vengono scoperte.

Limitare le eccezioni per la condivisione con il governo

L’APRA dovrebbe colmare una lacuna che potrebbe consentire ai data broker di vendere dati al governo e dovrebbe richiedere al governo di ottenere un’ordinanza del tribunale prima di imporre la divulgazione dei dati degli utenti. Questo è importante perché la sorveglianza aziendale e la sorveglianza governativa sono spesso la stessa cosa .

Secondo l'APRA, gli appaltatori governativi non sono tenuti a seguire la tutela della privacy prevista dal disegno di legge. Questi includono qualsiasi "entità che raccoglie, elabora, conserva o trasferisce dati coperti per conto di un ente governativo federale, statale, tribale, territoriale o locale, nella misura in cui tale entità agisce come fornitore di servizi per l'ente governativo .” In generale, questa disposizione potrebbe proteggere i data broker che vendono informazioni biometriche e informazioni sulla posizione al governo. In effetti, Clearview AI aveva precedentemente sostenuto di essere esente dalla rigorosa legge biometrica dell'Illinois utilizzando un'eccezione simile per gli appaltatori. Questo è un punto che necessita di una revisione perché altre parti del disegno di legge impediscono giustamente agli enti interessati (esclusi gli appaltatori pubblici) di vendere dati al governo ai fini dell’individuazione di frodi, sicurezza pubblica e individuazione di attività criminali.

L’APRA consente inoltre alle entità di trasferire dati personali al governo in base a un “mandato legale, mandato di comparizione amministrativo o altra forma di processo legale”. L'EFF sollecita che il requisito venga rafforzato almeno tramite un'ordinanza del tribunale o un mandato con tempestivo avviso al consumatore. Tutele come questa non sono uniche , e sono particolarmente importanti sulla scia della decisione Dobbs .

Rafforzare la definizione di dati sensibili

L'APRA ha rafforzato la protezione dei dati sensibili e include un lungo elenco di 18 categorie di dati sensibili, come: dati biometrici, geolocalizzazione precisa, comunicazioni private e attività online di un individuo nel tempo e sui siti web. Questa è una buona lista a cui si può aggiungere. Chiediamo al Congresso di aggiungere altre categorie, come lo stato di immigrazione, l'appartenenza sindacale, la storia lavorativa, le relazioni familiari e sociali e qualsiasi dato coperto trattato in modo tale da violare la ragionevole aspettativa di privacy di una persona. La sensibilità dei dati dipende dal contesto , il che significa che qualsiasi dato può essere sensibile a seconda di come viene utilizzato. Il disegno di legge dovrebbe essere modificato per riflettere questo.

Limita altre eccezioni per dati biometrici, dati anonimi e programmi fedeltà

Una parte importante di qualsiasi disegno di legge è assicurarsi che le eccezioni non inghiottiscano la regola. Le eccezioni dell'APRA su informazioni biometriche, dati anonimizzati e programmi fedeltà dovrebbero essere ridotte.

Nell'APRA, per informazioni biometriche si intendono i dati "generati dalla misurazione o dall'elaborazione delle caratteristiche biologiche, fisiche o fisiologiche uniche dell'individuo che sono collegate o ragionevolmente collegabili all'individuo" ed escludono "metadati associati a una fotografia digitale o fisica o a un file audio o registrazione video che non può essere utilizzata per identificare un individuo." L'EFF teme che questa definizione non protegga le informazioni biometriche utilizzate per l'analisi di sentimenti, dati demografici ed emozioni e potrebbe essere utilizzata per sostenere che gli identificatori biometrici con hash non sono coperti.

I dati anonimizzati sono esclusi dalla definizione di dati personali coperta dall'APRA e le aziende e i fornitori di servizi possono trasformare i dati personali in dati anonimizzati per elaborarli come preferiscono. Il problema con i dati anonimizzati è che molte volte non lo sono . Inoltre, molte persone non vogliono che i dati privati ​​che archiviano in maniera confidenziale presso un'azienda vengano poi utilizzati per migliorare il prodotto dell'azienda o addestrarne l'algoritmo, anche se i dati sarebbero stati deidentificati.

Molte aziende soggette all'APRA possono ospitare programmi fedeltà e vendere tali dati con il consenso opt-in. I programmi fedeltà sono un tipo di schema di pagamento per la privacy che spinge le persone a rinunciare ai propri diritti alla privacy come se fossero una merce. Peggio ancora, a causa delle evidenti disuguaglianze economiche della nostra società, questi schemi porteranno ingiustamente a una società di “chi ha” e “non abbienti” in termini di privacy. Come minimo, la legge dovrebbe essere modificata per impedire alle aziende di vendere i dati ottenuti da un programma fedeltà.

Accogliamo con favore l'approccio del Congresso che mette al primo posto la privacy nell'APRA e incoraggiamo gli autori a migliorare il disegno di legge per garantire che la privacy sia protetta per le generazioni a venire.