USA: La Casa Bianca emana il Decreto del Presidente sull'accesso ai dati personali sensibili e ai dati governativi correlati

Il 28 febbraio 2024, la Casa Bianca ha pubblicato l'Ordine Esecutivo 13873 sulla Prevenzione dell'Accesso a Dati Personali Sensibili e Dati Governativi degli Americani da Parte di Paesi di Preoccupazione (l'OE), in seguito alla divulgazione del relativo comunicato stampa. In particolare, l'OE evidenzia la politica di limitare l'accesso da parte di paesi di preoccupazione a dati personali sensibili e dati governativi degli americani quando tale accesso costituisce un rischio inaccettabile per la sicurezza nazionale. L'OE sostiene che trasferimenti non limitati di dati a paesi di preoccupazione possono portare allo sfruttamento di dati personali sensibili attraverso intermediari, accordi con fornitori, accordi di lavoro, accordi di investimento o altri accordi.

L'OE sottolinea anche il rischio di accesso a dati personali sensibili e dati governativi da parte di entità di proprietà, controllate o soggette a un paese di preoccupazione, che potrebbero indirettamente accedere a tali dati. Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha dettagliato in modo approfondito la portata dell'OE. In particolare, l'OE precisa che non consente l'imposizione di requisiti generalizzati di localizzazione dei dati e non vieta transazioni commerciali specifiche, come dettagliato dal DoJ.

Cosa sono le transazioni proibite e limitate?
L'OE stabilisce che le transazioni proibite e limitate vietano alle persone statunitensi di impegnarsi in qualsiasi acquisizione, detenzione, utilizzo, trasferimento, trasporto o esportazione di, o trattare con, qualsiasi proprietà in cui uno straniero o un paese abbia interesse, qualora la transazione:

• coinvolga dati personali sensibili o dati governativi;
• faccia parte di una classe di transazioni determinate dal Procuratore Generale degli Stati Uniti (AG) come rappresentante un rischio inaccettabile per la sicurezza nazionale;
• sia stata avviata, sia in sospeso o sarà completata dopo la data di entrata in vigore dei regolamenti che saranno emessi dall'AG;
• non rientri nell'esenzione prevista dai regolamenti che saranno emessi dall'AG;
• non sia ordinariamente incidente e parte della fornitura di servizi finanziari, compresi servizi bancari, mercati finanziari e servizi assicurativi finanziari, o richiesta per la conformità legale.

Azioni dell'AG
L'OE ordina all'AG di pubblicare entro 180 giorni dall'OE una proposta di regola che delinei:

• classi di transazioni che rappresentano un rischio inaccettabile per la sicurezza nazionale e sono vietate;
• classi di transazioni che rappresentano un rischio inaccettabile per la sicurezza nazionale ma sono adeguatamente mitigate da requisiti di sicurezza;
• paesi di preoccupazione e classi di persone coperte dall'OE;
• meccanismi per fornire chiarezza alle persone interessate dall'OE;
• licenze che autorizzano transazioni altrimenti proibite o limitate.

Dati personali sensibili
Inoltre, l'OE prevede azioni per affrontare il rischio di accesso a dati personali sensibili da parte di paesi di preoccupazione, tra cui:

• incaricare il Comitato per la Valutazione della Partecipazione Straniera nel Settore dei Servizi di Telecomunicazioni degli Stati Uniti di rivedere le licenze esistenti per sistemi di cavi sottomarini di proprietà o gestiti da persone coperte;
• incaricare i Dipartimenti della Difesa, della Salute e dei Servizi Umani e degli Affari dei Veterani di pubblicare regolamenti, linee guida o ordini sull'accesso a dati sanitari, dati genomici; e
• incaricare il Bureau di Protezione Finanziaria dei Consumatori (CFPB) di intraprendere misure per migliorare la conformità alla legge sulla protezione dei consumatori per quanto riguarda l'industria della compravendita di dati e l'accesso a dati personali sensibili in massa.

Definizioni
L'OE fornisce una serie di definizioni, alcune delle quali saranno definite nei regolamenti emessi dall'AG.

• 'Persona coperta' è definita come:

  • un'entità di proprietà, controllata o soggetta alla giurisdizione o direzione di un paese di preoccupazione;
  • una persona straniera che è un dipendente o un appaltatore di tale entità;
  • una persona straniera che è un dipendente o un appaltatore di un paese di preoccupazione;
  • una persona straniera che risiede principalmente nella giurisdizione territoriale di un paese di preoccupazione; o
  • qualsiasi persona designata dal Procuratore Generale come di proprietà, controllata o soggetta alla giurisdizione o direzione di un paese di preoccupazione, come che agisce a nome o pretendendo di agire a nome di un paese di preoccupazione o di un'altra persona coperta, o come causante o dirigente, direttamente o indirettamente, una violazione di questo ordine o di qualsiasi regolamento che implementa questo ordine.

• Mentre 'dati personali sensibili' sono considerati includere identificatori personali coperti, dati di geolocalizzazione e dati correlati ai sensori, identificatori biometrici, dati 'omici' umani, dati sanitari personali, dati finanziari personali, o qualsiasi loro combinazione, come ulteriormente definito nei regolamenti emessi dall'AG.

Aggiornamento: 1 marzo 2024

Il CFPB conferma il piano di creare regole per limitare alcune attività dei venditori di dati

Il 28 febbraio 2024, il Bureau di Protezione Finanziaria dei Consumatori (CFPB) ha annunciato che, in linea con l'OE, proporrà regole per limitare alcune attività dei venditori di dati, compresi quelli che vendono dati personali all'estero. In particolare, il Direttore del CFPB, Rohit Chopra, ha dichiarato "L'ordine esecutivo chiede al CFPB di utilizzare le sue competenze legali per fornire maggiori protezioni. Quest'anno proporremo nuove regole per arginare questi abusi che tuteleranno le famiglie e la nostra sicurezza nazionale."

Di seguito la lettera inviata al Congresso sull'OE.

MESSAGGIO AL CONGRESSO SULLA PREVENZIONE DELL'ACCESSO A DATI PERSONALI SENSIBILI DEGLI AMERICANI E DATI GOVERNATIVI DEGLI STATI UNITI DA PARTE DI PAESI DI PREOCCUPAZIONE

AGLI STATI UNITI DEL CONGRESSO:

Ai sensi dell'International Emergency Economic Powers Act (50 U.S.C. 1701 et seq.) (IEEPA), del National Emergencies Act (50 U.S.C. 1601 et seq.), e della sezione 301 del titolo 3, Codice degli Stati Uniti, qui riferisco che ho emesso un Ordine Esecutivo che amplia la portata dell'emergenza nazionale dichiarata con l'Ordine Esecutivo 13873 del 15 maggio 2019 (Sicurezza della catena di approvvigionamento di tecnologie e servizi informativi e comunicativi), e ulteriormente affrontata con misure aggiuntive con l'Ordine Esecutivo 14034 del 9 giugno 2021 (Protezione dei dati sensibili degli americani da avversari stranieri).

L'incessante sforzo di certi paesi di preoccupazione per accedere ai dati sensibili personali degli americani e ai dati governativi degli Stati Uniti costituisce una minaccia insolita e straordinaria, che ha la sua fonte in tutto o in parte al di fuori degli Stati Uniti, per la sicurezza nazionale e la politica estera degli Stati Uniti. L'accesso ai dati sensibili personali degli americani o ai dati governativi aumenta la capacità dei paesi di preoccupazione di impegnarsi in una vasta gamma di attività dannose, compresa l'espionaggio, l'influenza, le operazioni cinetiche o cibernetiche, o per identificare altri potenziali vantaggi strategici rispetto agli Stati Uniti.

Per affrontare questa minaccia e per compiere ulteriori passi con riguardo all'emergenza nazionale dichiarata con l'Ordine Esecutivo 13873, l'ordine autorizza il Procuratore Generale, in coordinamento con il Segretario della Sicurezza Interna e in consultazione con i capi delle agenzie pertinenti, a emettere, soggetti a pubblica notifica e commento, regolamenti per vietare o altrimenti limitare il trasferimento su larga scala dei dati personali degli americani a paesi di preoccupazione e per fornire garanzie attorno ad altre attività che possono dare a quei paesi accesso a dati sensibili. La sezione 2(b) dell'ordine autorizza il Procuratore Generale, in consultazione con i capi delle agenzie pertinenti, a intraprendere tali azioni, incluso il rilascio di regole e regolamenti e l'utilizzo di tutti gli altri poteri concessi al Presidente dall'IEEPA, che possono essere necessari o appropriati per portare a termine gli scopi dell'ordine.

Inoltre, la sezione 2(d) dell'ordine autorizza il Segretario della Sicurezza Interna, attraverso il Direttore dell'Agenzia per la Sicurezza Cibernetica e dell'Infrastruttura, in coordinamento con il Procuratore Generale e in consultazione con i capi delle agenzie pertinenti, a proporre, chiedere commenti pubblici e pubblicare requisiti di sicurezza che affrontano il rischio inaccettabile rappresentato dalle transazioni limitate, come identificate dal Procuratore Generale. La sezione 2(e) dell'ordine autorizza il Segretario della Sicurezza Interna, in coordinamento con il Procuratore Generale, a intraprendere tali azioni, incluso il rilascio di regole, regolamenti, standard e requisiti; l'emissione di orientamenti interpretativi; e l'utilizzo di tutti gli altri poteri concessi al Presidente dall'IEEPA che possono essere necessari per portare a termine gli scopi descritti nella sezione 2(d) dell'ordine.

Allego una copia dell'Ordine Esecutivo che ho emesso.

JOSEPH R. BIDEN JR.

LA CASA BIANCA,
28 febbraio 2024.

#SicurezzaNazionale #DatiSensibili #ProtezioneDati #CFPB #OrdineEsecutivo

Glossario

• Ordine Esecutivo (OE): Un atto esecutivo emanato dal Presidente degli Stati Uniti per dare istruzioni o regolamentare l'amministrazione del governo.
• Dati Personali Sensibili: Informazioni personali considerate sensibili e soggette a particolare protezione, inclusi identificatori personali, dati di geolocalizzazione, biometrici, 'omici' umani, dati sanitari e finanziari personali.
• Dipartimento di Giustizia (DoJ): L'organo esecutivo federale degli Stati Uniti responsabile dell'applicazione delle leggi federali e dell'amministrazione della giustizia.
• Transazioni Proibite e Limitate: Attività vietate o soggette a restrizioni dal Procuratore Generale degli Stati Uniti, inclusi acquisizioni, detenzioni, trasferimenti e transazioni che coinvolgono dati sensibili.
• Procuratore Generale (AG): Il capo del Dipartimento di Giustizia degli Stati Uniti, responsabile dell'applicazione delle leggi federali.
• Consumer Financial Protection Bureau (CFPB): Un'agenzia governativa degli Stati Uniti responsabile della supervisione delle pratiche finanziarie dei consumatori e dell'applicazione delle leggi sulla protezione dei consumatori finanziari.
• Comitato per la Valutazione della Partecipazione Straniera: Organismo incaricato di esaminare e valutare la partecipazione straniera nel settore dei servizi di telecomunicazioni negli Stati Uniti.
• Identificatori Personali Coperti: Informazioni che possono essere utilizzate per identificare un individuo, inclusi nomi, indirizzi, numeri di telefono e altri dati correlati.
• Emergenza Nazionale: Una situazione straordinaria che richiede azioni immediate e straordinarie da parte del governo per proteggere la sicurezza e gli interessi nazionali.
• IEEPA (International Emergency Economic Powers Act): Legge statunitense che conferisce al Presidente poteri per regolamentare il commercio durante emergenze nazionali.

Fonti:

• Casa Bianca
• Dipartimento di Giustizia degli Stati Uniti
• Bureau di Protezione Finanziaria dei Consumatori
• https://www.whitehouse.gov/briefing-room/president...
• https://www.whitehouse.gov/briefing-room/president...