Ομοσπονδιακός νόμος περί απορρήτου που θα προέτρεπε την κρατική νομοθεσία περί απορρήτου αντιμετωπίζει αβέβαιο μέλλον

Ένας νέος εθνικός νόμος περί απορρήτου που υπόσχεται στους Αμερικανούς πολλά από τα ίδια δικαιώματα προστασίας της ιδιωτικής ζωής των καταναλωτών με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ευρωπαϊκής Ένωσης βρίσκεται σε εξέλιξη στο Κογκρέσο των ΗΠΑ. Ωστόσο, το προτεινόμενο νομοσχέδιο υπολείπεται της προστασίας της ιδιωτικής ζωής των δεδομένων που έχουν ήδη κατοχυρωθεί στους υφιστάμενους νόμους και κανονισμούς περί απορρήτου του κράτους.

Στόχος της ομοσπονδιακής νομοθεσίας είναι να παράσχει ένα ενιαίο, εθνικό θεμέλιο για το απόρρητο των δεδομένων για τους καταναλωτές, παρέχοντας παράλληλα την κυβερνητική εποπτεία και επιβολή από την Ομοσπονδιακή Επιτροπή Εμπορίου (FTC). Στην πραγματικότητα, το προτεινόμενο Αμερικανικός νόμος περί απορρήτου και προστασίας δεδομένων αποτυγχάνει να ανταποκριθεί στα κριτήρια αναφοράς που ορίζονται στο Καταπολέμηση της ιδιωτικής ζωής των καταναλωτών (CCPA) του 2018, ή στην αντικατάσταση Νόμος περί απορρήτου της Καλιφόρνια (CPRA), η οποία τίθεται σε ισχύ την 1η Ιανουαρίου 2023, λένε οι επικριτές.

Ο νόμος θα εμπίπτει στην αρμοδιότητα του Ομοσπονδιακή Επιτροπή Εμπορίου (FTC), πράγμα που σημαίνει ότι καλύπτει μόνο εκείνα τα ζητήματα που έχουν ήδη αντιμετωπιστεί από την FTC. Αυτά περιλαμβάνουν την απάτη των καταναλωτών, την κλοπή ταυτότητας, το απόρρητο των παιδιών και ορισμένα ζητήματα ασφάλειας στον κυβερνοχώρο.

Η Nancy Pelosi, εκπρόσωπος της Καλιφόρνια, η οποία ως Πρόεδρος της Βουλής έχει τη δύναμη να εμποδίσει το νομοσχέδιο να φτάσει στο βήμα της Βουλής για ψήφιση, εξέδωσε δήλωση
την 1η Σεπτεμβρίου σημειώνοντας «ο Αμερικανικός νόμος περί απορρήτου και προστασίας δεδομένων δεν εγγυάται την ίδια βασική προστασία των καταναλωτών με τους υφιστάμενους νόμους περί απορρήτου της Καλιφόρνια». Η δήλωσή της ερμηνεύεται από ειδικούς ότι σημαίνει ότι δεν θα υποστηρίξει το νομοσχέδιο χωρίς νέα προληπτική γλώσσα για την προστασία των νόμων της Καλιφόρνια και ότι θα το σκοτώσει αντί να το φέρει σε ψηφοφορία.

Σε μία ανοιχτή επιστολή στους ηγέτες του Κογκρέσου, 10 γενικοί εισαγγελείς που εκπροσωπούν πολιτείες που έχουν επί του παρόντος νόμους περί απορρήτου ενθάρρυναν το Κογκρέσο να εγκρίνει νομοθεσία που θέτει μόνο μια βάση για το απόρρητο. «Ενθαρρύνουμε το Κογκρέσο να υιοθετήσει νομοθεσία που θέτει ένα ομοσπονδιακό κατώτατο όριο, όχι ένα ανώτατο όριο, για τα κρίσιμα δικαιώματα απορρήτου και σέβεται το σημαντικό έργο που έχουν ήδη αναληφθεί από τις πολιτείες για την παροχή ισχυρής προστασίας της ιδιωτικής ζωής στους κατοίκους μας», έγραψαν. Ανέφεραν τις υπάρχουσες ομοσπονδιακές γραμμές βάσης για άλλους νόμους, συμπεριλαμβανομένων των υφιστάμενων προστασίας απορρήτου των καταναλωτών, του απορρήτου και της ιδιωτικής ζωής των παιδιών και του HIPAA. «Οποιοδήποτε ομοσπονδιακό πλαίσιο απορρήτου πρέπει να αφήνει περιθώριο στις πολιτείες να νομοθετούν με ανταπόκριση στις αλλαγές στην τεχνολογία και στις πρακτικές συλλογής δεδομένων», έγραψαν οι γενικοί εισαγγελείς στην επιστολή. «Αυτό συμβαίνει επειδή οι πολιτείες είναι καλύτερα εξοπλισμένες για να προσαρμοστούν γρήγορα στις προκλήσεις που παρουσιάζει η τεχνολογική καινοτομία που μπορεί να διαφεύγει της ομοσπονδιακής εποπτείας».

Το Electronic Frontier Foundation επίσης έστειλε μια επιστολή προς τον βουλευτή Frank Pallone, πρόεδρο της Επιτροπής Ενέργειας και Εμπορίου της Βουλής και χορηγό του νομοσχεδίου, ζητώντας να ενισχυθούν οι διατάξεις του ομοσπονδιακού νομοσχεδίου και να εξαλειφθεί η προκαταβολή των νομοσχεδίων περί ιδιωτικότητας του κράτους. Ο νόμος περί απορρήτου πληροφοριών του Ιλινόις, ο νόμος CCPA και ο νόμος για τους μεσολαβητές δεδομένων του Βερμόντ προστατεύουν ήδη τους καταναλωτές και άλλες πολιτείες εξετάζουν παρόμοιες προτάσεις. «Ενώ το EFF υποστηρίζει την ομοσπονδιακή νομοθεσία που προστατεύει στην πραγματικότητα το απόρρητο των δεδομένων των καταναλωτών, είμαστε εδώ και καιρό αντίθετοι σε κάτι τέτοιο, εάν το τίμημα είναι προνόμιο ισχυρότερων πολιτειακών νόμων», έγραψε το EFF στην επιστολή.

Η Καλιφόρνια αντιτίθεται στην εξασθενημένη προστασία

Το νομοσχέδιο προκάλεσε επίσης έντονη κριτική από την Καλιφόρνια, όπου εξέδωσε η Υπηρεσία Προστασίας Απορρήτου της Καλιφόρνια ένα μνημόνιο Αυτό συνιστά η αντιπροσωπεία του Κογκρέσου της Καλιφόρνια, που αποτελεί το 12% της Βουλής των Αντιπροσώπων, να αντιταχθεί στο νομοσχέδιο.

Οι νομοθέτες της Καλιφόρνια και οι πολιτειακοί αξιωματούχοι αναφέρουν πολλούς τομείς όπου ισχυρίζονται ότι ο ομοσπονδιακός νόμος θα μείωνε την προστασία της ιδιωτικής ζωής που παρέχεται επί του παρόντος από τους υπάρχοντες νόμους της πολιτείας. Αυτά περιλαμβάνουν τη μείωση της προστασίας της ιδιωτικής ζωής για άτομα που βλέπουν υπηρεσίες που σχετίζονται με την άμβλωση και την ψυχική υγεία των εφήβων.

Το ομοσπονδιακό νομοσχέδιο, όπως είναι γραμμένο επί του παρόντος, δεν επιτρέπει στην Καλιφόρνια να ανακτήσει τις χρηματικές ποινές που σχετίζονται με την επιβολή του ομοσπονδιακού νόμου. Αντίθετα, η CCPA επιτρέπει επί του παρόντος την ανάκτηση σημαντικών κυρώσεων για τις παραβιάσεις του κρατικού νόμου.

Άλλες αλλαγές που θα έκανε η ADPPA για την Καλιφόρνια, που επί του παρόντος καλύπτονται από το CCPA:

• Κατάργηση της τρέχουσας εξαίρεσης από την αυτοματοποιημένη λήψη αποφάσεων
• Αντικατάσταση του ορισμού της Καλιφόρνια για Προσωπικά Δεδομένα με ορισμό του καλυμμένα δεδομένα που δεν περιλαμβάνει ορισμένα "προερχόμενα δεδομένα και μοναδικά αναγνωριστικά" σύμφωνα με τη νομοθεσία της Καλιφόρνια
• Κατάργηση ορισμένων προστασιών σε σχέση με τη μη αντεκδίκηση για την άσκηση των δικαιωμάτων απορρήτου
• Προσθήκη απαίτησης για τον έλεγχο ταυτότητας παγκόσμιων αιτημάτων εξαίρεσης — η νομοθεσία της Καλιφόρνια απαιτεί από τις επιχειρήσεις να τηρούν τα σήματα απορρήτου του προγράμματος περιήγησης ως εξαίρεση, ενώ η ADPPA απαιτεί ρητή δήλωση συμμετοχής για ευαίσθητες κατηγορίες

Η Debbie Reynolds, παγκόσμια ειδικός σε θέματα απορρήτου και προστασίας δεδομένων και διευθύνων σύμβουλος και επικεφαλής της Debbie Reynolds Consulting, λέει ότι το ομοσπονδιακό νομοσχέδιο περιορίζει τα δικαιώματα απορρήτου μόνο στον αρχικό καταναλωτή μιας συσκευής. Για παράδειγμα, εάν ένας ψηφιακός βοηθός, όπως η Alexa, βρίσκεται σε ένα γραφείο, μόνο η εταιρεία που αγόρασε την υπηρεσία Alexa θα προστατεύεται το απόρρητό της. Οποιοσδήποτε υπάλληλος που επιβαρύνεται από τη συσκευή και συζητά προσωπικές πληροφορίες δεν θα προστατεύεται από το νόμο αφού δεν ήταν αυτός καταναλωτής του σέρβις της συσκευής.

Η Fiona Campbell-Webster, διευθύντρια απορρήτου στη MediaMath και πρώην επικεφαλής νομικός σύμβουλος και υπεύθυνος παγκόσμιας προστασίας δεδομένων της Beeswax που βασίζεται σε cloud, μια εφαρμογή SaaS που εξαγοράστηκε από την Comcast, λέει ότι υπάρχουν συνέπειες στην πραγματική ζωή.

«Νομίζω ότι πρέπει να προσέχουμε, προτού οριστικοποιηθεί κάποιος από αυτούς τους νόμους, τι θα σημαίνει αυτό για την εμπειρία κατανάλωσης περιεχομένου αλληλεπίδρασης στο Διαδίκτυο», λέει. «Οι ανησυχίες για… τις ακούσιες συνέπειες των μεγάλων πλατφορμών που τελικά ελέγχουν τα πάντα».

Προειδοποιεί ότι το απόρρητο έχει ένα τίμημα. «Νομίζω ότι θα ήταν πραγματικά κρίμα να δούμε έναν κόσμο όπου τιμωρούμασταν αν δεν μπορούσαμε να πληρώσουμε για όλες αυτές τις διαφορετικές υπηρεσίες που τώρα παίρνουμε δωρεάν με έναν συγκεκριμένο τρόπο». Ορισμένες ακούσιες συνέπειες του νομοσχεδίου για την προστασία της ιδιωτικής ζωής, προειδοποίησε, θα μπορούσαν να επηρεάσουν αρνητικά τις μικρές εταιρείες, αναγκάζοντάς τες να πληρώσουν υψηλότερα κόστη προκειμένου να συμμορφωθούν με τους νέους κανονισμούς απορρήτου.

Ο Καναδάς εξετάζει παρόμοια νομοθεσία

Οι ΗΠΑ δεν είναι η μόνη χώρα της Βόρειας Αμερικής που εργάζεται για να δημιουργήσει ένα νέο, εθνικό νομοσχέδιο για την προστασία της ιδιωτικής ζωής. Ο Καναδάς εισήγαγε τον πολυαναμενόμενο νόμο για την εφαρμογή του ψηφιακού χάρτη, 2022 — Μπιλ C-27 — το οποίο αντικαθιστά ένα παρόμοιο νομοσχέδιο που απέτυχε να περάσει από το καναδικό κοινοβούλιο τον Αύγουστο του 2021. Το νομοσχέδιο θα θεσπίσει τον νόμο περί προστασίας της ιδιωτικής ζωής των καταναλωτών (CPPA), τον νόμο του Δικαστηρίου Προσωπικών Πληροφοριών και Προστασίας Δεδομένων και τον Νόμο περί Τεχνητής Νοημοσύνης και Δεδομένων, καθώς και τροποποίηση άλλων υφιστάμενων πράξεων.

«Αυτός είναι ένας πολύ σημαντικός νόμος για τον Καναδά», λέει ο David Goodis, συνεργάτης στο INQ Law στο Τορόντο. «Θα εφαρμοστεί σε όλες τις επαρχίες και τις περιοχές εκτός από τη Βρετανική Κολομβία, την Αλμπέρτα και το Κεμπέκ. Το Κεμπέκ ψήφισε το δικό του νέο, ενημερωμένο νόμο νωρίτερα φέτος. BC και η Αλμπέρτα εξετάζουν το ενδεχόμενο να ενημερώσουν τους πολύ παλιούς πλέον νόμους τους. Εκτός από το Κεμπέκ, ο CPPA θα είναι ο πιο σύγχρονος και αυστηρός νόμος για την προστασία της ιδιωτικής ζωής στον Καναδά και θα είναι περίπου στο ίδιο επίπεδο με τον Ευρωπαϊκό GDPR και τον CCPA της Καλιφόρνια».

Υπάρχουν μερικές σημαντικές διαφορές μεταξύ του παλιού Bill C-11 και του νέου Bill C-27, λέει ο Goodis. «Υπάρχουν πολλά νέα καθήκοντα σε οργανισμούς που ενδέχεται να επισύρουν χρηματικές κυρώσεις εάν δεν τηρηθούν. Για παράδειγμα, οι οργανισμοί θα πρέπει να εφαρμόσουν ένα πρόγραμμα διαχείρισης απορρήτου, να διασφαλίσουν ότι οι πάροχοι υπηρεσιών τους διαθέτουν ισοδύναμη προστασία απορρήτου κατά τη μεταφορά προσωπικών πληροφοριών από την εταιρεία στον πάροχο υπηρεσιών και να διασφαλίσουν ότι ένας πάροχος υπηρεσιών που ανακαλύπτει παραβίαση ασφάλειας θα ειδοποιήσει τον οργανισμό. Υπάρχει επίσης ένα εντελώς νέο τμήμα της νομοθεσίας που αντιμετωπίζει τις συγκεκριμένες ανησυχίες σχετικά με την προστασία της ιδιωτικής ζωής των παιδιών», εξηγεί.

Επιπλέον, σύμφωνα με ανάλυση
από την παγκόσμια επιχειρηματική δικηγορική εταιρεία DLA Piper, το παλιό νομοσχέδιο δεν αντικατέστησε τους επαρχιακούς νόμους που είναι «ουσιαστικά παρόμοιοι» με τον ομοσπονδιακό νόμο, πράγμα που σήμαινε ότι οι επαρχίες του Κεμπέκ, της Αλμπέρτα και της Βρετανικής Κολομβίας θα μπορούσαν να εφαρμόσουν τους νόμους τους. του ομοσπονδιακού. Ενώ το νέο νομοσχέδιο επιτρέπει στην ομοσπονδιακή κυβέρνηση να αποφασίσει εάν οι επαρχιακοί νόμοι είναι ουσιαστικά παρόμοιοι και επομένως επιτρέπεται να ισχύουν, δεν είναι ακόμη σαφές εάν η Αλμπέρτα και η Βρετανική Κολομβία θα ψηφίσουν — το Κεμπέκ, το οποίο ενημέρωσε τη νομοθεσία περί απορρήτου το 2021, αναμένεται να εξαιρεθεί.