
USA: Dati di geolocalizzazione: normativa vigente e obblighi futuri
Immagine di Freepik
View 9.3K
words 2.1K read in 10 minutes, 36 Seconds
Negli Stati Uniti, i dati di tracciamento della posizione costituiscono dati personali. Secondo l'accordo multi-stato raggiunto da 40 procuratori generali degli Stati Uniti ("AG") il 14 novembre 2022, sull'uso dei dati di tracciamento della posizione, le aziende dovrebbero essere consapevoli di come la tecnologia di tracciamento della posizione dovrebbe essere utilizzata in conformità con la protezione dei dati e norme sulla riservatezza. OneTrust DataGuidance fornisce una panoramica degli obblighi relativi all'uso della tecnologia di tracciamento della posizione e di quelli specificatamente descritti nell'accordo, compresi quelli relativi al consenso, alla divulgazione, ai controlli dell'account e ai limiti sull'uso e la conservazione dei dati, come evidenziato nell'accordo.
Regolamentazione dei dati sulla posizione negli Stati Uniti
Fondamentalmente, l'accordo evidenzia il divieto di fornire false dichiarazioni agli utenti in merito alle informazioni sulla posizione dei singoli utenti nella cronologia delle posizioni, nonché ai controlli delle attività web e delle app.
Il Children's Online Privacy Protection Act del 1998 ("COPPA") della Federal Trade Commission ("FTC") considera le informazioni personali come "informazioni di geolocalizzazione", definendole più in generale come informazioni sufficienti per identificare il nome della strada o il nome di una città o paese.
Più in generale, i principi di autoregolamentazione della Digital Advertising Alliance ("DAA") ("i principi DAA"), vale a dire l'applicazione dei principi di autoregolamentazione all'ambiente mobile ("i principi di orientamento mobile"), forniscono orientamenti sulla pubblicità su siti web e all'interno di applicazioni mobili. In particolare, i Mobile Guidance Principles affermano che i "dati sulla posizione" includono valori univoci assegnati o attribuiti a un dispositivo o una combinazione univoca di caratteristiche associate a un dispositivo, se combinati con dati sulla posizione precisi. Nello specifico, i "dati di localizzazione precisi" possono includere dati ottenuti da tecniche di triangolazione di ripetitori di celle o Wi-Fi o coordinate di latitudine-longitudine ottenute tramite la tecnologia GPS. I dati precisi sulla posizione non includono i dati che non sono associati a un individuo o dispositivo specifico,
Cosa dice la legislazione statunitense sull'utilizzo dei dati sulla posizione?
L'attuale legislazione sui dati di tracciamento della posizione negli Stati Uniti include il California Consumer Privacy Act del 2018 ("CCPA"). In particolare, i dati di "geolocalizzazione" sono considerati "informazioni personali" ai sensi del §1798.140(o)(1)(G) del CCPA. Di conseguenza, i residenti in California hanno il diritto di essere informati delle aziende che raccolgono le loro informazioni personali, della raccolta di "dati di geolocalizzazione" come categoria di informazioni personali raccolte, delle fonti da cui sono state raccolte e delle parti specifiche di informazioni personali raccolte dal consumatore.
Inoltre, il California Privacy Rights Act del 2020 ("CPRA") estende ulteriormente la regolamentazione dei dati di tracciamento della posizione, affermando che i dati precisi di geolocalizzazione di un consumatore sono considerati "informazioni personali sensibili". Il CPRA definisce "dati di geolocalizzazione precisa" qualsiasi dato derivato da un dispositivo e utilizzato o destinato a essere utilizzato per localizzare un consumatore all'interno di un'area geografica uguale o inferiore all'area di un cerchio con un raggio di 1.850 piedi. Di conseguenza, i consumatori ai sensi del CPRA hanno il diritto di rinunciare all'utilizzo dei propri dati di geolocalizzazione precisi per la pubblicità basata sulla posizione o sul comportamento, la profilazione dei consumatori o la profilazione automatizzata.
Tuttavia, la regolamentazione dei dati di tracciamento della posizione non è interamente limitata al CCPA e al CPRA. Il Virginia Consumer Data Protection Act ("CDPA") fornisce una definizione più completa di "dati di geolocalizzazione precisi", ovvero informazioni derivate dalla tecnologia, tra cui GPS, coordinate di latitudine e longitudine di livello o altri meccanismi che identificano direttamente la posizione specifica di una persona fisica con precisione e accuratezza entro un raggio di 1.750 piedi.
Takeaways dall'insediamento per le organizzazioni
Controlli sull'utilizzo dei dati sulla posizione
Ripensando al recente accordo, gli AG hanno sottolineato che le aziende dovrebbero inviare una notifica pop-up agli utenti che hanno la cronologia delle posizioni e l'attività web e delle app abilitate al momento della notifica, che rivela se queste impostazioni raccolgono informazioni sulla posizione e istruisce gli utenti come disabilitare ciascuna impostazione, eliminare i dati raccolti dall'impostazione e impostare i limiti di conservazione dei dati. Tuttavia, l'accordo prevede che gli utenti che hanno disabilitato le impostazioni di notifica sul proprio dispositivo potrebbero non ricevere la suddetta notifica pop-up.
Andando avanti, secondo l'insediamento, l'ubicazione e le tecnologie, le pagine dovrebbero essere progettate e presentate in modo chiaro e ben visibile. Ciò include la divulgazione, come parte del flusso di consenso esplicito per la cronologia delle posizioni, dei modi in cui i dati sulla posizione precedentemente archiviati nella cronologia delle posizioni sono stati anonimizzati o resi anonimi. Nello specifico, tali informazioni dovrebbero essere presentate quando gli utenti abilitano o viene richiesto di abilitare la cronologia delle posizioni all'interno della pagina dei dati dell'account e della privacy. Inoltre, le informazioni specifiche da fornire in merito alle impostazioni dell'account relative alla posizione dovrebbero includere:
- fonti delle informazioni sulla posizione per l'impostazione dell'account relativa alla posizione;
- scopi per i quali l'account relativo alla posizione conserva e utilizza le informazioni sulla posizione;
- conservazione delle informazioni sulla posizione memorizzate all'interno dell'account di un utente quando l'impostazione dell'account relativa alla posizione è abilitata e i controlli di eliminazione sono disponibili per gli utenti; e
- se l'impostazione dell'account relativa alla posizione raccoglie informazioni sulla posizione anche quando gli utenti non utilizzano un servizio aziendale specifico.
Più in generale, l'accordo prevede che gli utenti debbano essere informati, via e-mail, di eventuali modifiche alle politiche sulla privacy riguardanti la raccolta, l'uso e l'archiviazione delle informazioni sulla posizione. Nell'informativa sulla privacy deve essere fornito anche un collegamento alla pagina delle tecnologie di localizzazione.
Controlli sull'account
In particolare, l'accordo prevede che, nella pagina dei dati dell'account e della privacy, debba essere utilizzata la seguente lingua: "Le informazioni sulla posizione vengono salvate e utilizzate in base alle tue impostazioni". Scopri di più'.
Gli utenti devono quindi avere la possibilità di disabilitare un'impostazione dell'account correlata alla posizione ed eliminare le informazioni sulla posizione memorizzate dall'impostazione in un unico flusso continuo, senza dover passare a una superficie o pagina separata.
Politiche e pratiche di tracciamento della posizione
In base ai principi DAA, le società che raccolgono dati sulla posizione devono fornire un "avviso avanzato" della raccolta e dell'utilizzo da parte di terzi di dati sulla posizione precisi da o tramite l'applicazione della società.
In particolare, i Mobile Guidance Principles stabiliscono che l'avviso rafforzato costituisce un metodo o una combinazione di metodi che "forniscono un avviso rafforzato altrettanto chiaro, significativo e prominente". È necessario fornire un avviso della raccolta di dati precisi sulla posizione e un avviso ben visibile del trasferimento di questi dati a terzi, per le applicazioni scaricabili come parte del processo di download di un'applicazione, al momento dell'apertura dell'applicazione o al momento in cui i dati viene raccolto. Allo stesso modo, le prime parti dovrebbero fornire un collegamento ben visibile a un'informativa contenente il fatto che sono stati raccolti dati precisi sulla posizione, le istruzioni per l'accesso e l'utilizzo di uno strumento per fornire o revocare il consenso e un impegno da parte della prima parte ad aderire ai Principi di guida mobile . Queste informazioni dovrebbero essere fornite come parte del processo di download di un'applicazione su un dispositivo e prima che l'applicazione venga installata, al momento della prima apertura dell'applicazione o al momento in cui vengono raccolti dati precisi sulla posizione. Inoltre, tali informazioni dovrebbero essere incluse nelle impostazioni delle applicazioni o nell'informativa sulla privacy.
Tuttavia, i Mobile Guidance Principles chiariscono che laddove una terza parte raccolga dati precisi sull'ubicazione da una prima parte senza autorizzazione, la prima parte non è obbligata a fornire un preavviso maggiore di tale raccolta.
Allo stesso modo, l'accordo delinea che una pagina web dovrebbe essere mantenuta, rivelando politiche e pratiche riguardanti: i tipi e le fonti di informazioni sulla posizione raccolte; e se o in quali circostanze le informazioni sulla posizione raccolte e/o conservate siano informazioni precise sulla posizione.
L'accordo stabilisce inoltre che la pagina web dovrebbe mostrare in che modo l'abilitazione di ogni impostazione dell'account correlata alla posizione influisce sulla raccolta, la conservazione e/o l'uso delle informazioni sulla posizione, inclusa la precisione e la frequenza dei dati raccolti, e se ogni impostazione si applica a tutti i dispositivi allo stesso account. Allo stesso modo, la pagina Web dovrebbe descrivere in dettaglio come e in che misura gli utenti sono in grado di limitare il proprio account e le informazioni sulla posizione raccolte o conservate sugli utenti, inclusa la misura in cui le informazioni sulla posizione vengono raccolte, conservate o utilizzate quando le impostazioni relative alla posizione sono Disabilitato.
Inoltre, la pagina Web dovrebbe chiarire in che modo gli utenti possono trovare informazioni sullo stato delle loro impostazioni relative alla posizione e disabilitarle, oltre agli scopi per i quali le informazioni vengono raccolte, incluso in particolare il modo in cui le informazioni sulla posizione vengono utilizzate per pubblicità, scopi di ricerca, tendenze e creazione di profili utente. Su questo, l'accordo aggiunge che la pagina web dovrebbe dimostrare come e fino a che punto gli utenti possono limitare l'uso di tali dati e il fatto che gli utenti non possono impedire l'uso delle informazioni sulla posizione nella pubblicità mediante la personalizzazione dell'annuncio.
Per quanto riguarda la conservazione dei dati, l'accordo delinea che dovrebbe essere descritto il periodo di conservazione predefinito per ciascun tipo di informazioni sulla posizione e i motivi per conservare tali informazioni, insieme a come gli utenti possono impostare i periodi di conservazione automatica e cancellazione in considerazione, incluso un collegamento al controlli. Allo stesso modo, l'accordo chiarisce che le informazioni su quali tipi di informazioni sulla posizione vengono raccolte dagli utenti quando vengono disconnessi dai loro account, per quanto tempo queste informazioni vengono conservate e se e come gli utenti disconnessi possono limitare questa raccolta o eliminare le informazioni sulla posizione , dovrebbe essere compilato sulla pagina web. Ciò include informazioni che descrivono come le informazioni possono essere:
- cancellato dagli utenti;
- cancellato su richiesta degli utenti; o
- cancellato automaticamente dalla società.
L'accordo rileva inoltre che la pagina Web deve anche descrivere in dettaglio la capacità degli utenti di reimpostare eventuali ID pseudonimi o ID offuscati che utilizzano dati sulla posizione e fornire collegamenti ipertestuali a pagine Web che descrivono la misura in cui le informazioni sull'account relative alla posizione sono pseudonimizzate, rese anonime o deidentificate da un utente.
Limiti all'uso e alla conservazione dei dati
Inoltre, i principi DAA forniscono un contesto legislativo per comprendere la transazione. I Mobile Guidance Principles stabiliscono che le prime parti devono ottenere il consenso per trasferire la posizione precisa a terzi per scopi diversi da quelli previsti nella Sezione VI dei Mobile Guidance Principles. Nello specifico, gli strumenti per il consenso devono essere facili da usare e dovrebbero applicarsi all'applicazione e al dispositivo da cui o per cui viene fornito il consenso. Tuttavia, una prima parte non ha bisogno di ottenere il consenso se la terza parte ha ottenuto il consenso prima di raccogliere o utilizzare dati precisi sulla posizione per scopi diversi da quelli indicati nella Sezione VI dei Principi di guida mobile.
I metodi per ottenere il consenso ai sensi dei Mobile Guidance Principles includono consentire ai consumatori di fornire o revocare il consenso come parte del processo di download o installazione di un'applicazione o l'uso di un avviso chiaro, significativo e ben visibile relativo alla raccolta, all'elaborazione e all'utilizzo di dati precisi sulla posizione.
L'accordo stabilisce anche requisiti precisi in merito all'uso delle informazioni sulla posizione.
In primo luogo, la transazione istituisce un divieto di condivisione delle informazioni precise sulla posizione dell'utente con inserzionisti di terze parti, in assenza dell'espresso consenso affermativo alla condivisione e all'utilizzo dei dati con la terza parte.
In secondo luogo, l'accordo prevede l'obbligo di eliminare le informazioni sulla posizione derivate dal dispositivo o dagli indirizzi IP entro 30 giorni dalla raccolta, mentre le informazioni sulla posizione degli utenti inattivi devono essere eliminate entro 180 giorni dalla ricezione da parte degli utenti di un'e-mail che comunica che i loro dati nella loro cronologia delle posizioni essere cancellato. Per garantire ciò, è necessario inviare un'e-mail di notifica entro 90 giorni dall'inattività dell'utente e un'e-mail di notifica inviata entro 30 giorni per qualsiasi utente che sia un utente inattivo a partire dalla data effettiva della transazione.
In base ai requisiti interni, prima che vengano apportate modifiche all'uso di informazioni precise sulla posizione e al modo in cui tali informazioni vengono condivise, l'azienda deve valutare internamente l'impatto sulla privacy di tale modifica.
Osservazioni conclusive
Di conseguenza, gli obblighi relativi all'uso dei dati di tracciamento della posizione forniti nella transazione sviluppano e dettagliano quelli inizialmente menzionati nella legislazione come CCPA, CPRA e CDPA. Inoltre, l'accordo delinea il processo per l'attuazione di tali obblighi relativi ai dati di tracciamento della posizione in modo più dettagliato rispetto ai Principi DAA, fungendo da utile guida per le pratiche relative all'uso dei dati di tracciamento della posizione.
Harry Chambers Senior Privacy Analyst hchambers@onetrust.com