I repubblicani della Camera hanno presentato il SECURE Data Act il 21 aprile 2026: un ampio disegno di legge federale sulla privacy che eliminerebbe ogni legge sulla privacy dei consumatori a livello statale negli Stati Uniti attraverso un'ampia prelazione federale. Se promulgata, la legislazione annullerebbe istantaneamente il CCPA/CPRA della California, il CDPA della Virginia, il CPA del Colorado e i quadri di privacy di circa altri 20 stati, sostituendoli con un unico standard federale applicato esclusivamente dalla FTC e dai procuratori generali statali, senza alcun diritto per i singoli cittadini di fare causa.
Cos'è il SECURE Data Act
Il "Securing and Establishing Consumer Uniform Rights and Enforcement over Data Act" è stato presentato dal Rappresentante Joyce della Pennsylvania per conto dei repubblicani della Camera. Sulla carta, il disegno di legge garantisce ai consumatori cinque diritti fondamentali: accesso ai propri dati personali, correzione di registrazioni inesatte, cancellazione dei dati, portabilità dei dati in un formato utilizzabile e la possibilità di rinunciare alla pubblicità mirata e alla vendita dei dati. Impone anche requisiti di minimizzazione dei dati e richiede il consenso per il trattamento di categorie sensibili di informazioni personali. È incluso un nuovo registro amministrato dalla FTC per i broker di dati.
Il disegno di legge si applica alle entità che gestiscono dati di 200.000 o più consumatori all'anno e hanno ricavi pari o superiori a 25 milioni di dollari, o a entità più piccole in cui almeno il 25% delle entrate deriva dalla vendita di dati personali. Questa soglia di 25 milioni di dollari è notevolmente inferiore al limite minimo di 40 milioni di dollari proposto nell'APRA, il che significa che il SECURE Data Act coprirebbe tecnicamente più piccole imprese, sebbene in pratica, i critici sostengano che le sue protezioni sostanziali più deboli annullino questo ambito più ampio.
Il problema della prelazione: 20 Stati perdono le loro leggi sulla privacy
L'elemento più consequenziale e controverso del SECURE Data Act è la sua clausola di prelazione. Il disegno di legge annullerebbe qualsiasi legge o disposizione statale che "si riferisce a" la sua materia. Si tratta di un linguaggio intenzionalmente ampio: abbastanza ampio da eliminare non solo gli statuti dedicati alla privacy dei consumatori come il CCPA, ma potenzialmente i registri statali dei broker di dati, le leggi sulla privacy biometrica e anche alcune normative settoriali.
Il CCPA della California e il suo successore più forte, il CPRA, rappresentano lo standard di riferimento della legge statunitense sulla privacy dei consumatori. Danno ai residenti della California il diritto di sapere quali dati le aziende raccolgono, il diritto di cancellarli, il diritto di rinunciare alla loro vendita e, in modo critico, un diritto di azione privato per alcuni fallimenti nella sicurezza dei dati. Il SECURE Data Act eliminerebbe tutto ciò, sostituendo le protezioni della California con una base federale più debole e rimuovendo la capacità dei cittadini di far valere in modo indipendente i propri diritti attraverso controversie legali.
Per i sostenitori della privacy, la prelazione federale in questa forma rappresenta un passo indietro, non in avanti. L'argomento a favore di uno standard federale è la coerenza per le aziende che operano oltre i confini statali, ma questa logica regge solo se lo standard federale è almeno altrettanto protettivo delle leggi statali più forti. Il SECURE Data Act non lo è. È progettato per ridurre l'onere di conformità per le grandi aziende tecnologiche e i broker di dati, non per rafforzare i diritti individuali alla privacy.
Nessun diritto di azione privata: Il divario di applicazione
Ai sensi del SECURE Data Act, l'autorità di controllo spetta interamente alla FTC e ai procuratori generali dello stato. Non esiste alcun diritto di azione privata, il che significa che un cittadino statunitense i cui diritti sui dati vengono violati non può intentare una causa contro l'azienda responsabile. Si tratta di una scelta deliberata degli estensori repubblicani e rispecchia l'approccio adottato in precedenti proposte federali sulla privacy come APRA.
L'effetto pratico della rimozione del contenzioso privato come meccanismo di applicazione è significativo. La FTC è cronicamente sottofinanziata rispetto alla scala dell'economia dei dati che sarebbe incaricata di sorvegliare. I procuratori generali statali hanno risorse limitate e devono dare priorità ai casi più gravi. Senza la minaccia di azioni legali collettive intentate direttamente dai cittadini, le aziende affrontano un rischio finanziario molto inferiore per le violazioni della privacy e la struttura degli incentivi per la conformità si indebolisce di conseguenza.
Cosa significa questo per la tua privacy digitale
Se il SECURE Data Act venisse approvato nella sua forma attuale, gli americani negli stati che attualmente hanno forti protezioni della privacy si ritroverebbero con meno diritti applicabili e meno rimedi legali quando tali diritti vengono violati. Il modello di rinuncia (opt-out) del disegno di legge per la pubblicità mirata, in cui i tuoi dati vengono raccolti per impostazione predefinita e devi richiedere attivamente l'esclusione, è più debole rispetto ai regimi di consenso preventivo (opt-in) che alcuni stati hanno iniziato a esplorare.
Da un punto di vista pratico della privacy, questa spinta legislativa sottolinea una realtà che gli utenti VPN comprendono già: i quadri giuridici sono uno strato di protezione della privacy, ma non sono l'unico e non sono permanenti. Una VPN crittografa il tuo traffico Internet e maschera la tua attività di navigazione al tuo ISP, impedendo la raccolta di dati a livello di rete che le leggi sulla privacy tentano di regolamentare a posteriori. Mentre la legislazione federale sulla privacy si orienta verso standard più deboli sotto la pressione dell'industria, gli strumenti di privacy a livello di rete diventano sempre più importanti come difesa di base.
Il disegno di legge deve ancora passare attraverso le commissioni e le due camere del Congresso. Deve affrontare l'opposizione delle organizzazioni per i diritti digitali e degli stati che hanno investito molto nei propri quadri di privacy. È improbabile che la California in particolare accetti la prelazione federale del CCPA senza una significativa battaglia politica.
