I social network e la raccolta di dati biometrici

Pubblicato sul Quotidiano Giuridico del 27 maggio 2016

1. Le fattispecie controverse.

Le circostanze che hanno originato una serie di contenziosi giudiziari negli Stati Uniti riguardano l’utilizzo da parte dei social network, in particolare di Facebook, di sistemi biometrici di riconoscimento facciale che consentirebbero di taggare automaticamente le persone raffigurate nelle foto caricate sulle loro piattaforme. Tale attività rappresenterebbe non soltanto una violazione della privacy dei soggetti taggati, ma violerebbe altresì il Illinois Biometric Information Privacy Act (d’ora in poi, BIPA), la prima normativa specifica in materia ad essere approvata nel 2008.

Le cause inerenti l’asserito utilizzo abusivo dei dati biometrici degli utenti dei social network al momento pendenti di fronte alle corti americane sono almeno tre 1. una class action autorizzata dalla Corte del Northen District della California (che è quella della quale ci si occupa specificamente in questa sede: In Re Facebook); 2. una causa sempre pendente contro Facebook, azionata da parte di un soggetto non iscritto a Facebook che, taggato manualmente da un membro iscritto, ha visto registrare i propri dati biometrici senza il suo consenso e in violazione del BIPA (Gullen v. Facebook); 3. una analoga azione contro Google intrapresa da un utente di Google che contesta la raccolta, l’uso e l’archiviazione dei dati facciali biometrici di non utenti da parte del servizio di Google Photos (Rivera v. Google) di fronte alla Illinois Northern District Court. Infine, va segnalata la causa che vedeva sul banco dei convenuti un servizio di archiviazione di fotografie, che avrebbe conservato i dati tanto degli iscritti quanto dei non iscritti senza il loro consenso (Nornberg v. Shutterfly Inc.). Tuttavia in questo caso le parti hanno trovato un accordo e la causa stralciata.

2. La questione giuridica

L’elemento comune di tutte le controversie in esame concerne la raccolta dei dati biometrici dei soggetti raffigurati nelle fotografie condivise sui social network. Al momento, solo il contenzioso In Re Facebook ha ottenuto la certificazione di class action. Ai sensi del BIPA un ente non può raccogliere, conservare, commercializzare o altrimenti ottenere dati identificativi biometrici di una persona, a meno che prima non abbia

  • 1. informato l’interessato che i suoi dati biometrici identificativi sono stati raccolti;

  • 2. informato l’interessato dello specifico proposito e della durata temporale della raccolta, conservazione e uso delle informazioni biometriche;

  • 3. Ricevuto una autorizzazione scritta da parte del soggetto interessato.

Il BIPA stabilisce anche il significato dei termini (come “dati biometrici” e “informazione biometrica”) utilizzati dalla normativa e disciplina proprio la raccolta di tali dati dai volti raffigurati nelle foto condivise. A questo proposito afferma che gli enti in possesso di tali dati debbano elaborare linee guida di conservazione e cancellazione degli stessi. Il BIPA altresì stabilisce una sazione di 1000$ per ogni violazione colposa, 5000$se la violazione è commessa con dolo, oltre a stabilire ingiunzioni e spese legali.

3. La decisione della Corte californiana

Con questa decisione, la Corte del Northern District of California ha rigettato la richiesta di improcedibilità della Class Action In re Facebook Biometric Information Privacy Litigation. Per quanto riguarda gli argomenti di merito, la corte ha ritenuto la tesi di Facebook, secondo cui il BIPA esclude dal suo ambito di applicazione tutte le informazioni che coinvolgono le fotografie in senso tradizionale, cioè quelle stampate su carta, non è convincente. Seppure il BIPA non faccia riferimento esplicito alle “fotografie”, escludere che attraverso tali fonti informative non si possano tracciare e conservare l’iride degli occhi o la forma di un viso manifesta l’intenzione di eludere la norma. Ulteriormente, secondo la Corte, il linguaggio adottato dal BIPA è semplice e diretto e non può dar vita a fraintendimenti, specie in un ambito specialistico come quello della emergente tecnologia biometrica. Infine, la Corte ha respinto le argomentazioni di Facebook in riferimento alle quali la scansione della forma della mano ovvero della forma del volto vadano intese soltanto nella raccolta dei dati biometrici effettuata durante un controllo di sicurezza. Al contrario, secondo la tesi di Facebook, la creazione di “impronte facciali” (faceprint) non costituirebbe una scansione del volto ai sensi del BIPA. La Corte ha rigettato siffatta interpretazione definendola superata, contraria all’obiettivo della disciplina in parola e in antitesi con l’ampio scopo di proteggere la privacy degli utenti di fronte alla nascente tecnologia biometrica.