Perché EFF non supporta la California Proposition 24

A novembre, i californiani saranno chiamati a votare un'iniziativa di voto chiamata California Privacy Rights Act , o Proposition 24 . EFF non lo supporta; né EFF si oppone.

EFF lavora in tutto il paese per attuare e difendere le leggi che autorizzano gli utenti della tecnologia a controllare il modo in cui le aziende elaborano le loro informazioni personali. Le migliori leggi sulla privacy dei dati dei consumatori richiedono alle aziende di ottenere il consenso di consenso dei consumatori prima di elaborare i loro dati; bloccare l'elaborazione dei dati salvo quanto necessario per dare ai consumatori ciò che hanno chiesto (spesso chiamato "minimizzazione dei dati"); vietare gli schemi di "pagamento per la privacy" che spingono tutti i consumatori, in particolare quelli con redditi più bassi, a rinunciare ai loro diritti di privacy; e lasciare che i consumatori citino in giudizio aziende che infrangono queste regole. In California, abbiamo lavorato con altri fautori della privacy per cercare di approvare questo tipo di rafforzamento delle modifiche al nostro attuale California Consumer Privacy Act (CCPA).

Prop 24 non fa abbastanza per migliorare la privacy dei dati dei consumatori della California. È un miscuglio di passi parziali avanti e indietro. Comprende alcuni, ma non la maggior parte, degli emendamenti rafforzanti richiesti dai sostenitori della privacy. Questo post affronta alcune delle disposizioni di questa iniziativa elettorale di 52 pagine e alcune opportunità mancate.

Più costrizione a pagare per la nostra privacy

Prop 24 amplierebbe gli schemi di " pagamento per la privacy ". In particolare, l'iniziativa esonererebbe i "club di fidelizzazione" dal limite esistente della CCPA per le imprese che applicano prezzi diversi ai consumatori che esercitano i loro diritti alla privacy. Vedi Sez. 125 (a) (3). Questa modifica consentirebbe a un'azienda di trattenere uno sconto da un consumatore, a meno che il consumatore non consenta all'azienda di raccogliere dati granulari sulle proprie abitudini di acquisto e quindi trarre profitto dalla divulgazione di tali dati ad altre imprese. L'iniziativa inoltre estenderebbe una scappatoia CCPA esistente (consentendo "incentivi finanziari" per determinati trattamenti di dati) dalla semplice "vendita" di tali dati, alla "condivisione" di essi.

Sfortunatamente, i sistemi di pagamento per la privacy spingono tutti i californiani a rinunciare ai loro diritti sulla privacy. Peggio ancora, a causa delle evidenti disuguaglianze economiche della nostra società, questi schemi porteranno ingiustamente a una società di "abbienti" e "non abbienti".

Un'occasione mancata per i valori predefiniti di protezione della privacy

EFF sostiene un modello opt-in di elaborazione dei dati, in cui le aziende non possono raccogliere, utilizzare, condividere o archiviare le nostre informazioni senza prima ottenere il nostro consenso esplicito. Questo rende la privacy l'opzione predefinita. Gli studi dimostrano che le impostazioni predefinite sono importanti, poiché la maggior parte delle persone non modifica le impostazioni dei propri dispositivi e app. La privacy dovrebbe essere l'impostazione predefinita, in particolare quando si tratta di garantire ai consumatori il controllo su come le loro informazioni confluiscono in un complicato ecosistema di dati.

La CCPA, sebbene un'importante legge, pone l'onere per i consumatori di rinunciare alla conservazione e alla vendita delle loro informazioni. Ma la maggior parte delle persone non lo farà mai. Ciò consente alle aziende di continuare a conservare e vendere i propri dati, sebbene molte di queste persone non lo desiderino.

Ora è il momento di capovolgere l'impostazione predefinita e quindi garantire una solida protezione della privacy. Prop 24 perde l'occasione per farlo.

Un mezzo passo sulla minimizzazione dei dati

La regola di minimizzazione dei dati di Prop 24 è solo un passo in avanti parziale. Alle aziende deve essere vietato raccogliere informazioni personali di un consumatore oltre a quanto necessario per fornire al consumatore il bene o il servizio richiesto. Questo è stato l'approccio nel California AB 3119 di quest'anno (Asm. Wicks), sostenuto dalla coalizione sulla privacy.

Ma Prop 24 usa il metro sbagliato: invece di guardare alle aspettative del consumatore, Prop 24 guarda invece agli scopi del business. Vedi Sez. 100 (c). Peggio ancora, un'azienda può persino espandere la sua elaborazione a "un altro scopo divulgato [dell'azienda] compatibile con il contesto". Una politica sulla privacy di un'azienda potrebbe rivelare un vasto numero di scopi, molti dei quali potrebbero essere ritenuti compatibili con il contesto.

Poiché la regola di minimizzazione dell'iniziativa utilizza lo standard di ciò che un'azienda si aspetta piuttosto che ciò che i consumatori si aspettano, i californiani saranno sorpresi da come le aziende continuano a elaborare le loro informazioni, andando contro gli obiettivi della minimizzazione dei dati reali.

Erosione del diritto all'eliminazione

Prop 24 amplierebbe il potere di un'azienda di rifiutare la richiesta di un consumatore di cancellare i propri dati. In particolare, un'azienda potrebbe rifiutare quando ritiene che la conservazione "contribuirebbe a garantire sicurezza e integrità", vedere Sez. 125 (d) (2), ampiamente definito per includere la capacità di un sistema informativo di rilevare incidenti di sicurezza che compromettono i dati, vedere Sez. 140 (ac). Le aziende potrebbero obiettare che ciò consente la conservazione di grandi volumi di dati dei consumatori, nonostante le richieste di cancellazione, in nome del rilevamento di frodi adtech .

Inoltre, l'iniziativa ridurrebbe il dovere di un'impresa di trasmettere la richiesta di cancellazione di un consumatore alle entità a valle che hanno ottenuto i dati di quel consumatore da quell'azienda. In particolare, un'azienda potrebbe rifiutare se ciò richiedesse "uno sforzo sproporzionato". Vedi Sez. 105 (c) (1). Tuttavia sarebbe estremamente oneroso per un consumatore identificare queste entità a valle e quindi inviare loro ulteriori richieste di cancellazione.

Più debole privacy biometrica

Prop 24 porrebbe fine alla protezione CCPA delle informazioni biometriche (come il DNA o le impronte facciali), quando il business che elabora tali informazioni non le utilizza per stabilire l'identità di un individuo o intende farlo. Vedi Sez. 140 (c). Un'azienda potrebbe in seguito cambiare rotta e utilizzare le stesse informazioni biometriche per stabilire l'identità di un individuo, a quel punto si applicherebbe la CCPA, ma l'elaborazione non regolamentata sarebbe già avvenuta.

Più miscelazione di dati

Prop 24 amplierebbe il potere dei fornitori di servizi (che elaborano i dati per le imprese) per combinare gruppi di dati dei consumatori che ottengono da diverse aziende o direttamente dai consumatori. In particolare, un fornitore di servizi potrebbe farlo per "qualsiasi scopo commerciale" che verrà successivamente definito dalla normativa. Vedi Sec. 140 (ag) (1) e 185 (e) (10). Sebbene questo potere di combinazione non possa estendersi alla pubblicità per i consumatori che rinunciano, vedere Sez. 140 (e) (6), molti consumatori non rinunciano e, anche per quanto riguarda loro, i set di dati combinati possono essere utilizzati per molti altri scopi .

Nessuna applicazione da parte dei consumatori

Prop 24 non autorizza i consumatori a citare in giudizio aziende che violano i loro diritti alla privacy. Senza un'applicazione efficace, una legge è solo un pezzo di carta. Non è sufficiente autorizzare un'agenzia governativa a far rispettare la legge, sia che si tratti di un'unità del Procuratore Generale della California (come attualmente sotto CCPA), sia di una nuova agenzia indipendente per la protezione dei dati (come proposto da Prop 24). Nessuna agenzia disporrà di risorse sufficienti per far rispettare tutte le violazioni di una legge e ogni agenzia è a rischio di influenza eccessiva da parte delle imprese sulle decisioni di esecuzione.

I consumatori hanno bisogno di un diritto di azione privato, quindi possono fare il lavoro quando i regolatori non possono – o non lo faranno. Ecco il motivo per cui molti federali bollette in materia di privacy dei dati dei consumatori hanno il diritto privato di azione.

Altri mezzi passaggi

Alcune disposizioni del Prop 24 sono passi in avanti parziali, quindi non ci opponiamo completamente all'iniziativa, ma non la supportiamo neppure, perché i passi in avanti sono solo parziali e devono essere valutati rispetto ai passi indietro e alle opportunità mancate. Per esempio:

• Esiste un nuovo diritto di rinunciare a determinati usi di ciò che Prop 24 chiama informazioni personali "sensibili", vedere 121, ma molti dati non protetti sono anche altamente sensibili (come lo stato di immigrazione e le relazioni familiari) e la protezione della privacy il valore predefinito dovrebbe essere opt-in e non opt-out.
• Esiste un nuovo diritto di rinuncia a ciò che Prop 24 chiama "condivisione" dei dati, vedere 120 (a), e un nuovo limite alla "condivisione" dei dati da parte di terzi, vedere Sez. 115 (d), ma Prop 24 limita queste nuove regole di "condivisione" solo ai dati per gli annunci comportamentali di contesti diversi, vedi Sez. 140 (ah).
• Mentre EFF sostiene le leggi che impongono alle aziende di conformarsi a " Do Not Track " e segnali del browser simili mostrati dai consumatori, Prop 24 offre ad ogni azienda la scelta unilaterale se rispettare quelle che l'iniziativa chiama "preferenza o segnali di opt-out" o invece di rispettare il mandato esistente della CCPA di pubblicare un link "Non vendere" sul proprio sito Web. Vedi 135 (b). Una forte protezione della privacy richiederebbe a tutte le aziende di rispettare i segnali di esclusione dell'utente e di pubblicare un link "non vendere" sui propri siti Web.
• Vi è una piccola espansione del diritto di azione privato della CCPA per le violazioni dei dati, vedere 150 (a) (1), e la rimozione dell'ostacolo di avviso e cura all'attuazione del Procuratore Generale, vedere Sez. 155 (b), ma Prop 24 lascia i consumatori impotenti a far rispettare quasi tutte le garanzie. Ancora una volta, tutte le misure di tutela della privacy devono essere applicate con un solido diritto di azione privato. In particolare, l'iniziativa di voto sulla privacy dei dati originale nel 2018 aveva un diritto di azione privato, ma questa misura di esecuzione è stata eliminata come parte del compromesso che ha portato all'emanazione legislativa della CCPA.

Conclusione

EFF continuerà a lavorare con altri sostenitori della privacy per approvare nuove protezioni dei dati dei consumatori in California e in tutto il paese. Ma non supporteremo Prop 24.