Dopo California, Virginia, Colorado e Utah, il 28 aprile 2022 anche il Connecticut ha approvato una legge sulla privacy a tutela dei consumatori, il Connecticut Data Privacy Act (CDPA), che entrerà in vigore il primo luglio 2023.
I singoli Stati americani, in assenza di una legge federale, stanno lavorando per colmare il vuoto legislativo con proprie leggi statali. In generale, sono più di 30 gli Stati che hanno introdotto (o stanno per farlo) progetti di legge sulla privacy, ispirandosi a due modelli: il Washington Privacy Act – proposto nel 2019 e non ancora diventato legge – e il California Consumer Privacy Act – entrato in vigore il 1º Gennaio 2020. I due modelli non raggiungono la portata del General Data Protection Regulation europeo, ad oggi il modello più avanzato cui fare riferimento, ma rappresentano un buon punto di partenza nella tutela dei consumatori e nell’attribuzione di obblighi per le aziende che trattano dati personali.
L’obiettivo del CDPA è quello di proteggere i “consumatori” del Connecticut, coloro che agiscono unicamente in un contesto individuale o familiare (quindi non commerciale o lavorativo). Il nuovo testo normativo si applicherà a tutti i Titolari del Trattamento che: hanno attività nel paese o forniscono prodotti e servizi destinati ai consumatori del Connecticut, lavorano con i dati di oltre 100.000 consumatori (da cui sono esclusi i dati che servono per il completamento delle operazioni di pagamento di una transazione), ricavano il 25% del fatturato annuo dalla vendita dei dati di oltre 25.000 consumatori.
I dati personali ricavati, per esempio, da un profilo pubblico sui social media non saranno soggetti al CDPA perché non rientrano nella definizione di “dato personale”. Esso viene infatti definito come «qualsiasi informazione che è collegata, o è ragionevolmente collegabile, a una persona fisica identificata o identificabile», esclusi i dati de-identificati o le informazioni pubblicamente disponibili.
I «dati sensibili», invece, vengono definiti come quei dati che includono: l’origine razziale o etnica, le convinzioni religiose, lo stato mentale o fisico, lo stato di salute, l’orientamento sessuale, la cittadinanza o lo status di immigrazione, dati genetici o biometrici per identificare in maniera univoca una persona fisica, i dati personali di un bambino di 13 anni di età (“known child”), dati geolocalizzati.
Il CDPA richiede che i titolari che vogliano trattare dati personali sensibili di un consumatore debbano ottenere il consenso del consumatore, richiede espressamente che i titolari in questione mettano «in atto un meccanismo per consentire ai consumatori di revocare il consenso con la stessa facilità con cui è stato accordato». Per la raccolta di dati personali riguardanti i minori di 13 anni di età, bisogna ottenere il consenso di coloro che esercitano la patria potestà (genitori o eventuali tutori).
Tuttavia, il CDPA va oltre e afferma anche che i Titolari «non devono trattare i dati personali di un consumatore a fini di pubblicità mirata, o vendere i dati personali del consumatore senza il consenso del consumatore, in circostanze in cui un Titolare è effettivamente a conoscenza, e deliberatamente ignora che il consumatore abbia almeno tredici anni ma meno di sedici».
Ai consumatori vengono concessi i diritti di: sapere se un titolare del trattamento sta elaborando i dati personali di un consumatore, accedere a tali dati personali conservati dal titolare del trattamento, correggere le inesattezze di tali dati personali, cancellare tali dati personali, ottenere una copia di tali dati personali in un formato portabile e facilmente utilizzabile (se tecnicamente possibile), rinunciare al trattamento di tali dati personali ai fini di vendita dei dati personali, pubblicità mirata o profilazione.
Tra gli obblighi imposti al titolare, invece, ci sono: effettuare la minimizzazione dei dati (raccogliere e trattare solo i dati personali necessari), astenersi dal trattare dati personali per finalità non necessarie o incompatibili con le finalità alle quali ha acconsentito il consumatore, mettere in atto misure tecniche e organizzative per garantire la sicurezza del trattamento dei dati personali, fornire ai consumatori una informativa sulla privacy facilmente accessibile e comprensibile.
Nel caso di violazioni del CDPA, il consumatore del Connecticut non ha la possibilità di avvalersi del diritto privato per rivendicare i propri diritti in ambito privacy. L’ enforcement della legge sarà di esclusiva competenza del Procuratore Generale e del suo ufficio. In aggiunta, il CDPA istituisce un gruppo di lavoro (una task force) permanente che fornirà raccomandazioni sulle questioni che emergeranno in futuro riguardo le modifiche e i miglioramenti da apportare alla legge.
Ci si chiede se sia giusto affidare ai singoli Stati la soluzione di un problema grande e importante come possono esserlo le leggi sulla privacy e come faranno le aziende a rispettare una moltitudine di obblighi diversi. Il rischio è che la moltiplicazione delle leggi statali produca una frammentazione dei diritti dei cittadini americani.
