L’uso commerciale dei dati biometrici è decisamente aumentato negli ultimi anni. Alcuni software sono ora in grado di riconoscere le caratteristiche fisiche, come impronte digitali, retina, geometria del viso e voci. Questa tecnologia semplifica la vita: mani e voci possono essere sufficienti per accedere al proprio telefono o conto in banca, e un singolo click per essere taggato in centinaia di foto. Tuttavia, non è possibile modificare i dati biometrici come si cambiano le password e la protezione di questi dati deve essere maggiore. Le società devono muoversi con molta cautela per evitare guai.
Negli USA, per esempio, Facebook è stato recentemente citato in giudizio con un’azione di classe. Gli attori denunciano che Facebook, senza comunicarlo e senza ottenere previo consenso, avrebbe accumulato i loro dati biometrici. La società non informava gli utenti in via preventiva che “i loro identificatori biometrici (geometria della faccia) erano creati, catalogati e conservati” attraverso il sistema di riconoscimento automatico della fisionomia con cui il social network identifica la faccia delle persone fotografate.
Il contenzioso è davanti ai giudici. Il 5 maggio 2016, un tribunale distrettuale della California ha stabilito l’applicabilità della legge dell’Illinois sui dati biometrici (BIPA) ed ha riconosciuto la validità della domanda posta con atto costitutivo ai sensi del BIPA (740 ILCS 14) che richiede alle società di informare per iscritto i soggetti interessati circa lo scopo ed il periodo di tempo in cui i loro identificatori biometrici saranno raccolti, conservati o utilizzati. Il BIPA impone, inoltre, l’obbligo di ottenere il consenso del soggetto interessato prima di “divulgarne” le informazioni biometriche, oltre a prevedere un risarcimento monetario in caso di violazione della normativa ($1.000 se il danno è stato causato da negligenza o $5.000 o danno effettivo se causato intenzionalmente).
Sempre negli USA, Shutterfly, sito che offre la possibilità di condividere foto digitali on-line e di riconoscimento facciale, ha transatto nel marzo 2016 una class action secondo cui la società avrebbe violato il BIPA creando un software in grado di memorizzare e scannerizzare fotografie utilizzando tecnologie di riconoscimento facciale.
Rispettivamente in marzo e maggio 2016, Google Photos service e Snapchat sono state chiamate in giudizio con un’azione di classe in cui sono accusate di aver raccolto ed utilizzato “identificatori ed informazioni biometriche degli utenti” senza aver ottenuto consenso informato ed in violazione del BIPA.
Negli USA, le aziende tecnologiche non sono le uniche ad utilizzare dati biometrici. Ad esempio, anche una catena di saloni di bellezza è stata accusata di aver violato il BIPA per aver raccolto le impronte digitali dei clienti senza ottenerne il consenso informato per scritto. La controversia è stata risolta con la creazione di un fondo da $1.5 milioni che rimborserà i clienti che presentino fondate richieste di risarcimento.
Tuttavia è vero anche il contrario: in USA vi sono stati anche casi che non hanno tutelato la raccolta indiscriminata di dati biometrici. Ad esempio, un tribunale distrettuale dell’Illinois ha recentemente respinto un ricorso contro Smarte Carte. La società gestisce armadietti elettronici localizzati in luoghi pubblici, che utilizzano le impronte digitali dei clienti come “chiavi”. L’attore citava in giudizio per danni Smarte Carte sostenendo che la società avesse raccolto le sue informazioni biometriche, quali l’impronta digitale, senza aver ottenuto consenso scritto, in violazione del BIPA. Tuttavia l’attore non era riuscito a provare di aver effettivamente subito un danno. Il Tribunale ha, quindi, respinto il ricorso rilevando che le accuse di ipotetica violazione del BIPA non danno diritto al risarcimento del danno. La Corte si è chiesta come vi possa essere un danno derivante dalla mancanza di previo consenso alla conservazione delle impronte digitali per un periodo di tempo eccedente il noleggio dell’armadietto, se l’attore non riesce a provare che vi sia stata effettiva violazione di tali informazioni o un rischio di loro divulgazione.
L’esito delle cause descritte ed ancora pendenti aiuterà a definire meglio l’ambito di applicazione del BIPA ed a chiarire quali siano gli obblighi di riservatezza delle società per l’utilizzo dei sistemi di riconoscimento biometrici negli USA.
Negli USA attualmente non esistono leggi federali che regolano la raccolta di informazioni biometriche. Solo Texas (Tex. Bus. & Com. Codice Ann. § 503,001) e Illinois (BIPA) hanno implementato leggi statali volte alla protezione delle informazioni biometriche. In Texas, la sanzione prevista in caso di violazione è superiore a quella dell’Illinois, $25.000. Tuttavia, in base allo statuto del Texas solo il procuratore generale può azionare i rimedi legali previsti per legge.
Altre leggi che regolano la raccolta di dati biometrici sono il Gramm-Leach Bliley Act (GLBA), il Family Educational Rights and Privacy Act (34 CFR Part 99 FERPA), applicabile agli istituti educativi, e l’Health Insurance Portability e Responsability Act (HIPAA) per gli operatori sanitari.
Alcuni Stati USA hanno emanato leggi per i casi di violazione dei dati, includendo previsioni e sanzioni in caso di accessi non autorizzati ai dati biometrici dei propri cittadini. Tra le giurisdizioni che includono uno specifico riferimenti alle informazione biometriche vi sono Connecticut, Iowa, Illinois, Nebraska e Wyoming. North Carolina e Oregon considerano la violazione dei dati biometrici, come violazione di dati personali solo se in combinazione con il nome della persona.
Nel complesso, considerando la recente giurisprudenza USA e i suoi possibili sviluppi, nonché la normativa applicabile, le aziende dovrebbero considerare attentamente le implicazioni privacy delle tecnologie biometriche. Così come in Europa, anche negli USA, sarebbe opportuno applicare i concetti di trasparenza e previo consenso anche al trattamento dei dati biometrici, utilizzando speciali misure per proteggerli e conservarli idoneamente, soprattutto se si considera che, ai sensi del nuovo Regolamento Generale Privacy, i dati biometrici sono considerati dati sensibili, che richiedono una particolare tutela.
Originariamente pubblicato in inglese su Technethics nel novembre 2016