L'APRA fa i salti mortali con la pubblicità mirata

Image of Carlo Cilento

Pubblicato il 14 mag 2024 e modificato il 13 feb 2025 da Carlo Cilento

Il mese scorso il Congresso degli Stati Uniti ha presentato una nuova legge federale bicamerale sulla privacy: APRA (acronimo di American Privacy Rights Act). La proposta ha fatto parlare di sé nel settore della privacy, ma c'è una nota dolente per i professionisti del marketing e dell'ad tech: le regole sulla pubblicità mirata sono incomprensibili.

Ecco di cosa tratta l'APRA, cosa dice sulla pubblicità mirata e cosa pensiamo della legge nel suo complesso.

  1. Perché l'APRA è così importante?
  2. Cosa contiene l'APRA?
    1. Qual è l'ambito di applicazione dell'APRA?
    2. Quali diritti avete?
    3. Minimizzazione dei dati
  3. Che cosa significa l'APRA per la pubblicità?
    1. Pubblicità mirata: opt-out e limitazioni
    2. Pubblicità mirata e dati sensibili
  4. Com'è l'APRA nel complesso?
    1. Gli aspetti positivi
    2. Il male
    3. Il così e il così
  5. Conclusioni
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Immergiamoci!

Perché l'APRA è così importante?

Ad oggi, negli Stati Uniti manca una legge federale sulla privacy. Questo crea una pericolosa lacuna normativa e trasforma l'economia digitale in un libero mercato dei dati che è pronto per abusi dannosi, come abbiamo visto nell'incubo della privacy e dei diritti umani del dopo Dobbs.

La FTC sta facendo del suo meglio per colmare il vuoto e controllare i danni, ma non ha l'autorità per risolvere veramente la situazione. Nel frattempo, molti Stati si sono stancati di aspettare il Congresso e hanno approvato proprie leggi sulla privacy, tra cui la California, patria dei giganti della Silicon Valley.

L'APRA potrebbe colmare il divario normativo, portare un certo grado di uniformità in tutti gli Stati Uniti e introdurre alcune protezioni della privacy molto necessarie per gli americani. Infine, ma non meno importante, la legge potrebbe avere un impatto significativo sull'economia digitale globale nel suo complesso, dato il peso di GAFAM e di altri giganti tecnologici.

Cosa contiene l'APRA?

Possiamo fornire solo una panoramica molto generale dell'APRA perché si tratta di una normativa molto complessa. Cerchiamo di analizzare alcuni degli aspetti più importanti.

Qual è l'ambito di applicazione dell'APRA?

L'ambito di applicazione dell'APRA è piuttosto ampio, ma non si applica a tutti o a tutti i tipi di dati. Sono esenti le piccole imprese, il governo e i fornitori di servizi che lavorano per il governo.

La nozione di dati coperti è piuttosto ampia, non dissimile dalla nozione di dati personali del GDPR. Tuttavia, i dati dei dipendenti sono esenti dall'APRA (scelta discutibile). Inoltre, l'APRA non sostituisce leggi più specifiche come l'HIPAA.

Quali diritti avete?

L'APRA prevede diversi diritti, come il diritto di accesso ai dati coperti, il diritto di rettifica e cancellazione, la portabilità dei dati e il diritto di rinunciare alla pubblicità mirata e alla divulgazione dei dati.

L'APRA prevede anche un diritto di azione privata: potete fare causa a un'azienda che violi i vostri diritti. Questo aspetto è importante perché la tradizione giuridica statunitense prevede regole piuttosto complicate su chi può e chi non può fare causa.

Alcuni tipi di dati coperti sono considerati dati sensibili e possono essere divulgati solo previo consenso ( con alcune eccezioni). L'elenco comprende, tra l'altro, dati sanitari, informazioni precise sulla geolocalizzazione, dati relativi al comportamento sessuale, il contenuto delle comunicazioni personali, identificatori rilasciati dal governo come i numeri di previdenza sociale o di targa e qualsiasi dato relativo a un minore di 17 anni.

Due tipi specifici di dati sensibili meritano un'attenzione particolare: il comportamento degli utenti sui siti web e i dati comportamentali e di attività raccolti dai social media ad "alto impatto". Questi sono i dati che di solito vengono utilizzati per il retargeting. Pertanto, un requisito esplicito di opt-in per l'informativa è una questione importante per l'ad tech.

Minimizzazione dei dati

L'APRA prevede un principio di minimizzazione dei dati: il trattamento dei dati coperti deve essere necessario, proporzionato e limitato. Il principio è accompagnato da un elenco di "finalità consentite", ossia di tipi specifici di trattamento che rispettano il principio della minimizzazione dei dati.

In pratica, abbiamo una regola ampia e un lungo elenco di complicate eccezioni. Il risultato è un sistema molto complesso e talvolta contraddittorio. Con ogni probabilità ci vorrà del tempo e della giurisprudenza per dare un senso a tutto questo.

Che cosa significa l'APRA per la pubblicità?

Pubblicità mirata: opt-out e limitazioni

A livello superficiale, l'APRA è abbastanza chiara: la pubblicità mirata è consentita su base opt-out. La pubblicità contestuale non è soggetta allo stesso requisito.

In particolare, la pubblicità è consentita solo sulla base dei dati già raccolti ai sensi dell'APRA. La norma non è ancora chiara al 100%, ma a prima vista sembra che non si possano raccogliere dati solo per la pubblicità. È possibile fare pubblicità solo sulla base di dati già controllati per uno scopo diverso.

Se questo è l'intento, l'idea ci piace molto. Limitare la pubblicità ai dati che già si controllano per altri scopi potrebbe limitare l'accumulo di dati che vediamo ovunque e contribuire a ridurre le impronte digitali senza vietare del tutto la pubblicità mirata.

Pubblicità mirata e dati sensibili

Le cose si complicano quando si parla di dati sensibili, perché non è chiaro come le regole sui dati sensibili interagiscano con le limitazioni sulla pubblicità mirata:

  • Le divulgazioni di dati sensibili in generale sono opt-in, a meno che non si applichi una delle diverse finalità specifiche (articolo 3, lettera b), paragrafo 1).
  • Una di queste finalità è la pubblicità mirata. La pubblicità mirata è consentita su base opt-out, ma con l'eccezione dei dati sensibili (par. 3(d)(15)).

Queste regole portano a conclusioni potenzialmente contraddittorie, come hanno notato i ragazzi di Bloomberg Law. La loro visione della privacy è atroce, ma fanno comunque due considerazioni valide: in primo luogo, se considerata al valore nominale, l'APRA potrebbe benissimo vietare la pubblicità mirata basata su dati sensibili (cosa che loro odierebbero e noi adoreremmo). In secondo luogo, la legge ha bisogno di chiarezza.

La mancanza di chiarezza è un grosso problema perché le restrizioni all'uso dei dati sensibili si applicano all'attività cross-site e ai dati comportamentali dei social media, che sono alla base della maggior parte delle pubblicità mirate. Le regole avrebbero un impatto massiccio sull'ad tech, ma sarebbe bello sapere in che modo.

In parole povere: la pubblicità mirata basata su dati sensibili è opt-in o del tutto illegale. La vostra ipotesi è valida quanto la nostra.

Com'è l'APRA nel complesso?

La legge ha un buon numero di aspetti positivi, mescolati ad alcune idee terribili e regole poco chiare.

Gli aspetti positivi

Il principio della minimizzazione dei dati mostra la chiara intenzione di superare la finzione del consenso e di fornire invece alle aziende un elenco di cose da fare e da non fare. Si tratta di un'ottima idea, poiché il consenso viene spesso estorto attraverso termini contrattuali iniqui o nascondendo clausole losche nella stampa fine. Con l'APRA, queste cose sono fuori dalla finestra.

Tra l'altro, l'APRA proibisce di raccogliere il consenso attraverso i modelli oscuri anche negli scenari specifici in cui il consenso è importante. Anche questa è una buona decisione! Siamo stanchi di lottare con interfacce utente impossibilmente oscure che vogliono più dati senza una buona ragione.

Ci piace anche il fatto che l'elenco dei dati sensibili sia piuttosto lungo e comprenda elementi come i dati precisi di geolocalizzazione, il contenuto delle comunicazioni personali e l'attività online cross-site. Vorremmo che anche questi dati fossero sensibili ai sensi del GDPR.

Infine, ma non meno importante, l'APRA protegge grandi quantità di dati sanitari che non rientrano nell'ambito dell'HIPAA. Questi dati sono stati un problema importante dopo la sentenza Dobbs contro Jackson.

Il male

Molte sezioni dell'APRA sono esenti da azioni private, comprese alcune regole cruciali sulla minimizzazione dei dati. In altre parole, alcune delle norme più importanti dell'APRA possono essere applicate solo dagli avvocati generali, dalla Federal Trade Commission e da altre istituzioni, mentre i cittadini non possono fare causa direttamente.

L'intento è quello di evitare una marea di cause contro le aziende, il che è comprensibile. Tuttavia, riteniamo che l'esenzione sia troppo ampia e che, nella pratica, possa vanificare la legge.

Inoltre, come abbiamo detto, le norme sulla pubblicità mirata e sui dati sensibili sono oscure e contraddittorie. E non finisce qui: le norme sui dati sensibili sono formulate in modo così poco chiaro da poter essere interpretate come più permissive delle norme generali in determinati scenari. Questo non ha assolutamente senso e aumenta ulteriormente l'incertezza.

Infine, ma non meno importante, l'APRA non si applica ai dati dei dipendenti. Si tratta di un'idea terribile, perché l'uso del bossware è un problema urgente. Se il Congresso ritiene che la privacy dei dipendenti sia meglio affrontata da un'altra legge, così sia, ma i lavoratori hanno bisogno di quella legge ieri.

Il così e il così

Infine, c'è la spinosa questione della prelazione statale. In poche parole, la prelazione significa che l'APRA "sovrascrive" le leggi statali sulla privacy (tranne quelle di nicchia).

La prelazione statale è un'arma a doppio taglio. Da un lato, la legge statunitense sulla privacy è attualmente un mosaico disordinato, che rende complicata la conformità per le aziende che operano a livello nazionale. La prelazione renderebbe le norme sostanzialmente uguali e alleggerirebbe l'onere della conformità.

D'altro canto, alcuni Stati hanno emanato leggi piuttosto severe, talvolta più forti dell'APRA. Non vogliono vederle prevaricate dalla legge federale e spingono affinché l'APRA stabilisca un limite minimo piuttosto che massimo in termini di diritti alla privacy.

Il problema non è affatto nuovo. Non molto tempo fa, il predecessore dell'APRA (ADPPA) si è scontrato con un'opposizione feroce per la prelazione e il disegno di legge alla fine non è stato approvato. Si spera che questa volta il Congresso trovi una soluzione, anche se ciò comporta dei compromessi.

Conclusioni

In un tempo relativamente breve abbiamo assistito al divieto di TikTok, alle restrizioni sulla vendita di dati ad "avversari stranieri", alla proposta dell'APRA e all'approvazione da parte della Camera del 4th Amendment Is Not For Sale Act (uno sviluppo meno discusso ma piuttosto importante).

Sebbene alcune di queste leggi siano controverse, non si può negare che la privacy stia guadagnando slancio a livello politico. Questo potrebbe essere il momento giusto per il Congresso per siglare l'accordo su una legge federale sulla privacy di cui c'è grande bisogno. Detto questo, l'APRA deve ancora essere appianata e la questione della prelazione statale potrebbe mettere i bastoni tra le ruote ai negoziati.

Ora tutti gli occhi sono puntati sul Congresso. Dato il peso degli Stati Uniti nell'economia digitale, una forte legge federale sulla privacy sarebbe un importante passo avanti non solo per gli Stati Uniti, ma anche per la privacy globale.

Abbiamo costruito Simple Analytics perché crediamo in un web rispettoso della privacy. Aiutiamo i nostri clienti a capire il loro traffico e a espandere il loro pubblico senza raccogliere nemmeno un bit di dati personali. Il nostro strumento di analisi web è facile da imparare, personalizzabile e dotato di un assistente AI. Se tutto questo vi sembra interessante, provateci!

GA4 è complesso. Prova Simple Analytics

GA4 è come essere seduti nella cabina di pilotaggio di un aereo senza licenza di pilota

Inizia gratis ora