Legislația federală privind confidențialitatea care ar preveni legile de confidențialitate ale statului cu un viitor incert

O nouă lege națională privind confidențialitatea care promite americanilor multe dintre aceleași drepturi la confidențialitate ale consumatorilor ca și Regulamentul general privind protecția datelor (GDPR) al Uniunii Europene se desfășoară prin Congresul SUA. Cu toate acestea, proiectul de lege propus nu îndeplinește protecția confidențialității datelor deja consacrate în legile și reglementările de stat în vigoare privind confidențialitatea.

Scopul legislației federale este de a oferi o bază unică, națională, pentru confidențialitatea datelor pentru consumatori, oferind în același timp supraveghere guvernamentală și aplicare de către Comisia Federală de Comerț (FTC). În realitate, propus Actul american de confidențialitate și protecție a datelor nu îndeplinește criteriile de referință stabilite în Legea privind confidențialitatea consumatorilor din California (CCPA) din 2018, sau în înlocuire Legea privind drepturile de confidențialitate din California (CPRA), care intră în vigoare la 1 ianuarie 2023, spun criticii.

Legea ar intra în sfera de competență a Comisia Federală de Comerț (FTC), ceea ce înseamnă că acoperă doar acele probleme deja abordate de FTC. Acestea includ frauda consumatorilor, furtul de identitate, confidențialitatea copiilor și unele probleme de securitate cibernetică.

Nancy Pelosi, o reprezentantă a Californiei care, în calitate de președinte al Camerei, are puterea de a împiedica proiectul de lege să ajungă la votul Camerei, a emis o declarație
la 1 septembrie, menționând că „Legea americană privind confidențialitatea și protecția datelor nu garantează aceleași protecții esențiale ale consumatorilor ca legile de confidențialitate existente din California”. Declarația ei este interpretată de experti în sensul că nu va susține proiectul de lege fără un nou limbaj de preempțiune pentru a proteja legile din California și l-ar ucide în loc să-l aducă la vot.

Într-o scrisoare deschisă pentru liderii Congresului, 10 procurori generali reprezentând state care au în prezent legi privind confidențialitatea au încurajat Congresul să adopte o legislație care stabilește doar o bază pentru confidențialitate. „Încurajăm Congresul să adopte o legislație care stabilește un nivel federal, nu un plafon, pentru drepturile critice de confidențialitate și respectă munca importantă deja întreprinsă de state pentru a oferi o protecție puternică a vieții private rezidenților noștri”, au scris ei. Ei au citat liniile de bază federale existente pentru alte legi, inclusiv protecția vieții private a consumatorilor existente, confidențialitatea copiilor și a sănătății și HIPAA. „Orice cadru federal de confidențialitate trebuie să lase statelor loc să legifereze în mod receptiv la schimbările în tehnologie și practicile de colectare a datelor”, au scris procurorii generali în scrisoare. „Acest lucru se datorează faptului că statele sunt mai bine echipate pentru a se adapta rapid la provocările prezentate de inovația tehnologică care ar putea evita supravegherea federală.”

Fundația Electronic Frontier, de asemenea a trimis o scrisoare lui Frank Pallone, președintele Comisiei pentru energie și comerț al Camerei și sponsor al proiectului de lege, cerând ca prevederile proiectului de lege federal să fie consolidate și să fie eliminată preempțiunea facturilor de confidențialitate a statului. Legea privind confidențialitatea informațiilor din Illinois, CCPA și Actul de broker de date din Vermont protejează deja consumatorii, iar alte state analizează propuneri similare. „În timp ce EFF sprijină legislația federală care protejează de fapt confidențialitatea datelor consumatorilor, ne-am opus de mult timp să facem acest lucru dacă prețul este preempționarea unor legi mai puternice de stat”, a scris EFF în scrisoare.

California se opune protecției slăbite

Proiectul de lege a atras, de asemenea, critici puternice din California, unde Agenția pentru Protecția Confidențialității din California a emis un memoriu care recomandă delegația Congresului din California, care reprezintă 12% din Camera Reprezentanților, să se opună proiectului de lege.

Legiuitorii și oficialii de stat din California citează mai multe domenii în care susțin că legea federală ar reduce protecția vieții private oferite în prezent de legile statale existente. Acestea includ reducerea protecției confidențialității pentru persoanele care văd servicii legate de avort și sănătatea mintală a adolescenților.

Proiectul de lege federal, așa cum este scris în prezent, nu permite Californiei să recupereze penalitățile bănești asociate cu aplicarea legii federale. În schimb, CCPA permite în prezent recuperarea unor penalități semnificative pentru încălcările legii de stat.

Alte modificări pe care le-ar face ADPPA pentru California, acoperite în prezent de CCPA:

• Eliminarea renunțării curente la luarea automată a deciziilor
• Înlocuind definiția din California a Informații personale cu o definiţie a date acoperite care nu include unele „date derivate și identificatori unici” conform legislației din California
• Înlăturarea anumitor protecții în ceea ce privește nerepresalia pentru exercitarea drepturilor la confidențialitate
• Adăugarea unei cerințe de autentificare a solicitărilor globale de renunțare — Legea din California impune companiilor să onoreze semnalele de confidențialitate ale browserului ca renunțare, în timp ce ADPPA necesită o înscriere explicită pentru categoriile sensibile

Debbie Reynolds, expert global în confidențialitatea și protecția datelor și CEO și director de confidențialitate al Debbie Reynolds Consulting, spune că proiectul de lege federal limitează drepturile de confidențialitate doar la consumatorul inițial al unui dispozitiv. De exemplu, dacă un asistent digital, cum ar fi Alexa, se află într-un birou, numai compania care a achiziționat serviciul Alexa ar avea confidențialitatea protejată. Orice angajat care este deasupra capului dispozitivului care discută informații private nu ar fi protejat de lege, deoarece nu au fost consumator de serviciul dispozitivului.

Fiona Campbell-Webster, director de confidențialitate la MediaMath și fostul consilier juridic șef și ofițer global de protecție a datelor al Beeswax, o aplicație SaaS achiziționată de Comcast, susține că există consecințe în viața reală.

„Cred că trebuie să fim atenți, înainte ca aceste legi să fie finalizate, ce va însemna asta pentru experiența de a consuma conținut de interacțiune pe internet”, spune ea. „Preocupările cu privire la... consecințele neintenționate ale platformelor mari care controlează în cele din urmă totul.”

Ea avertizează că intimitatea are un preț. „Cred că ar fi o adevărată rușine să vedem o lume în care am fost penalizați dacă nu am putea plăti pentru toate aceste servicii diferite pe care acum le primim gratuit într-un anumit fel.” Unele consecințe nedorite ale legii de confidențialitate, a avertizat ea, ar putea avea un impact negativ asupra companiilor mici, obligându-le să plătească costuri mai mari pentru a respecta noile reglementări de confidențialitate.

Canada ia în considerare o legislație similară

SUA nu este singura țară nord-americană care lucrează pentru a crea o nouă lege națională de confidențialitate. Canada a introdus mult așteptatul Act de implementare a Cartei digitale, 2022 - Proiectul de lege C-27 — care înlocuiește un proiect de lege similar care nu a trecut de Parlamentul canadian în august 2021. Proiectul de lege va adopta Legea privind protecția vieții private a consumatorilor (CPPA), Legea privind informațiile personale și Tribunalul pentru protecția datelor și Legea privind inteligența artificială și datele, precum și modificarea altor acte existente.

„Aceasta este o lege foarte importantă pentru Canada”, spune David Goodis, partener la INQ Law din Toronto. „Se va aplica în toate provinciile și teritoriile, cu excepția British Columbia, Alberta și Quebec. Quebec a adoptat propria lege nouă, actualizată la începutul acestui an. BC și Alberta iau în considerare actualizarea legilor lor, acum foarte vechi. În afară de Quebec, CPPA va fi cea mai modernă și strictă lege privind confidențialitatea din Canada și, aproximativ, la egalitate cu GDPR din Europa și CCPA din California.”

Există câteva diferențe semnificative între vechiul proiect de lege C-11 și noul proiect de lege C-27, spune Goodis. „Există câteva obligații noi impuse organizațiilor care pot atrage penalități bănești dacă nu sunt respectate. De exemplu, organizațiile vor trebui să implementeze un program de management al confidențialității, să se asigure că furnizorii lor de servicii au o protecție echivalentă a confidențialității atunci când transferă informații personale de la companie către furnizorul de servicii și să se asigure că un furnizor de servicii care descoperă o încălcare a securității notifică organizația. Există, de asemenea, o parte complet nouă a legislației care abordează preocupările specifice legate de protejarea vieții private a copiilor”, explică el.

În plus, conform analiză
de la firma globală de avocatură de afaceri DLA Piper, vechiul proiect de lege nu a înlocuit legile provinciale care sunt „substanțial asemănătoare” cu legea federală, ceea ce însemna că provinciile Quebec, Alberta și British Columbia ar fi putut să-și aplice legile. a celui federal. În timp ce noul proiect de lege permite guvernului federal să decidă dacă legile provinciale sunt similare în mod substanțial și, prin urmare, sunt permise să rămână în vigoare, nu este încă clar dacă Alberta și Columbia Britanică vor fi aprobate - Quebec, care și-a actualizat legea privind confidențialitatea în 2021, este de așteptat să fie scutit.