Dai piani alti del Congresso americano arriva una proposta di legge bipartisan che punta a mettere dei limiti all’operato dei data broker, compagnie che raccolgono e vendono enormi quantità di dati personali.
In un’era in cui la privacy digitale è sempre più fondamentale, le aziende attive nel settore dei data broker spuntano come funghi. Queste società raccolgono enormi quantità di dati personali che poi vendono a inserzionisti, governi e altri soggetti interessati. Lo fanno senza limiti, ma qualcosa potrebbe cambiare grazie ad una proposta di legge bipartisan presentata la settimana scorsa dai leader della Camera e del Senato degli Stati Uniti. La legge, chiamata “American Privacy Rights Act” o APRA, mira a delineare un quadro legale più stringente nel quale queste società possono operare.
I promotori dell’iniziativa, Cathy McMorris Rodgers del comitato Energy and Commerce della Camera e Maria Cantwell del comitato Commerce, Science and Transportation del Senato, hanno affermato che l’APRA rappresenta la migliore opportunità per stabilire uno standard di privacy e sicurezza dei dati nazionali che dà alle persone il diritto di controllare le proprie informazioni personali. Questo perché, nonostante svariati tentativi, il Congresso non è ancora riuscito a aggiornare in maniera significativa le leggi sulla privacy per adeguarle all’era dell’informazione, creando un vuoto legale pericoloso.
La proposta di legge prevede una serie di nuovi requisiti per queste aziende che limiterebbero e regolerebbero il modo in cui usano, conservano, proteggono e condividono i dati personali che raccolgono direttamente dai clienti. Non si tratta, tuttavia, delle misure forti che molti esperti avrebbero voluto vedere per regolamentare attivamente il settore. Pur essendo un passo importante, la legge si limita a inquadrare l’industria, senza imporre restrizioni significative. Per esempio, i broker di dati sarebbero proibiti dal pubblicizzare o commercializzare i loro dati per scopi di stalking o molestie, commettere furti d’identità o frodi, o impegnarsi in pratiche commerciali ingannevoli o scorrette.
Una delle novità più interessanti della proposta di legge è la creazione di un registro nazionale tenuto dalla Federal Trade Commission (FTC) per tracciare i data broker che gestiscono l’informazione di oltre 5.000 individui. Non solo il registro sarebbe pubblicamente consultabile, ma offrirebbe anche alle persone un modo per presentare richieste di “Non raccogliere” a tutti i broker registrati per i dati coperti entro 30 giorni. Queste misure costringerebbero i broker a essere più trasparenti sulla loro attività, attraverso una comunicazione “chiara, evidente, non fuorviante e facilmente accessibile” sui loro siti web che identifichi il loro modello di business e offra facilmente link per gli individui per optare per l’uscita.
Tuttavia, pur essendo una novità importante, il progetto di legge non basta a mettere i data broker in riga. Mantenere la trasparenza e l’autoregolazione come punti focali principali sono strategie di lobby dei broker di dati per mantenere l’onere sui consumatori. Di fatto il settore dei data broker è praticamente non regolamentato in molti paesi. Justin Sherman, un ricercatore e fellow presso la Duke University, ha documentato come questo settore operi nella totale mancanza di regole, rendendo quasi impossibile regolamentarlo.
Per fortuna, sembra che la normativa dell’APRA, seppur debole, sia solo l’inizio di un processo di regolamentazione sempre più stringente di queste attività. Infatti, sul tavolo del Congresso c’è anche una proposta di legge del senatore Ron Wyden di Oregon, il “Fourth Amendment Is Not For Sale Act“, che mira ad impedire alle agenzie di intelligence e di applicazione della legge di acquistare molti tipi di informazioni personali dai broker di dati senza un ordine del tribunale. Si tratta di misure ben più radicali rispetto a quelle previste dall’APRA, che lanciano un segnale chiaro: il tempo delle cowboys della privacy è finito.