ACLU contro Clearview, quando appellarsi al Primo Emendamento non è sufficiente

Nell’ambito del dibattito giuridico americano in merito alla possibile applicazione estensiva del Primo Emendamento a tutela della cosiddetta attività di data scrapping (ovverosia il reperimento di immagini su internet qualificabili come di pubblico dominio), l’attuale causa promossa dalla ACLU ha incentrato l’illegittimità dell’operato della Clearview sulle modalità di utilizzo dei dati reperiti, indipendentemente dalle previe modalità di reperimento, rendendo quindi ininfluente la possibile applicazione del Primo Emendamento

di Edoardo Mencacci

In data 28 maggio 2020 l’American Civil Liberties Union (ACLU), insieme ad altre associazioni per i diritti civili, ha citato in giudizio la Clearview per uso illegittimo dei dati in suo possesso.

Nello specifico, la ACLU ha citato la Clearview avanti alla corte dello Stato dell’Illinois per violazione dell’Illinois Biometric Information Privacy Act (BIPA), la cui ratio, come affermato espressamente nelle premesse dal legislatore, si fonda proprio sulla necessità di una specifica e ferrea tutela per l’utilizzo dei dai biometrici sia in quanto “la biometrica è diversa da altri identificatori unici che sono usati per accedere a finanze o altre informazioni sensibili. Ad esempio, i numeri di previdenza sociale, se compromessi, possono essere modificati. La biometrica, tuttavia, è biologicamente unica per l’individuo; pertanto, una volta compromessa, l’individuo non ha alcuna possibilità di regresso ed è ad alto rischio di furto d’identità“, sia in considerazione del fatto che “non sono del tutto chiare le possibili conseguenze della tecnologia biometrica

Nel perseguire tale finalità, il BIPA, oltre a imporre determinati requisiti organizzativi in capo ai soggetti privati per poter trattare dati biometrici, sancisce in particolare il generale divieto sia di estrapolare, utilizzare o divulgare i dati biometrici di una persona senza un previo e informato consenso scritto, sia, soprattutto, di vendere, commerciare o trarre in alcun modo profitto dai dati biometrici ottenuti. Rispetto a tale violazione, ogni soggetto danneggiato ha diritto a un risarcimento fino a un massimo di $5.000 qualora il danno derivi da un’attività qualificabile “reckless”.

La causa in oggetto ha il pregio di distaccarsi dal predominate dibattito giuridico in merito all’operato della Clearview, il quale si era fino a questo momento incentrato principalmente sull’applicabilità o meno del Primo Emendamento, nella sua interpretazione estensiva volta a tutelare il diritto di accesso alle informazioni pubbliche, invocato dalla Clearview sulla base del fatto che i dati da lei utilizzati sono qualificabili come di pubblico dominio.

La causa promossa dalla ACLU va dunque a spostare la questione inquadrando la possibile illegittimità dell’operato della Clearview non sull’attività di reperimento dati, bensì sulla loro successiva modalità di utilizzo, ovverosia l’attività di riconoscimento facciale tramite un uso illegittimo degli elementi di identificazione biometrici raccolti. In tal senso, anche qualora tali dati fossero qualificabili come informazioni pubbliche, pertanto liberamente reperibili, al contempo non verrebbe meno il loro carattere personalissimo, dal quale derivano ben determinati obblighi di utilizzazione a tutela dei soggetti coinvolti.

La possibile applicazione estensiva del Primo Emendamento all’attività di reperimento dati non andrebbe dunque a legittimare automaticamente le successive modalità di utilizzo degli stessi. Sul punto, si rappresenta che la Clearview ha già provveduto a recedere dai contratti in essere con il dipartimento di polizia di Chicago.

Fermo quanto sopra, si rappresenta che anche qualora venisse accertata l’illegittimità dell’attività posta in essere dalla Clearview per contrasto con le norme del BIPA, la relativa sentenza produrrebbe effetti unicamente all’interno dello stato dell’Illinois, mancando negli Stati Uniti una tutela dei dati biometrici a livello di legislazione federale.

Nel sistema americano, la tutela dei dati biometrici è dunque al momento ancora rimessa alle legislazioni dei singoli Stati, mancando del tutto una normativa regolamentare omogenea.

Tale limite della regolamentazione americana non si riscontra invece all’interno dell’Unione Europea dove la tutela avverso l’arbitrario trattamento dei dati biometrici è regolamentata sia nel GDPR (il cui art. 9 impone il divieto di “trattare […]dati biometrici intesi a identificare in modo univoco una persona fisica”) sia dalla direttiva 680/2016, volta a contemperare la tutela dei dati personali con le esigenze derivanti dall’attività di cooperazione in materia penale e di polizia e in base al quale (in forza del combinato disposto degli artt. 8 e 10) il trattamento dei dati biometrici da parte delle forze dell’ordine può avvenire solo se strettamente necessario allo svolgimento di una determinata funzione da parte delle autorità competenti e solo se posto in essere in maniera tale da garantire i diritti e le libertà dell’interessato. In tal senso, proprio in applicazione degli artt. 8 e 10 della direttiva 680/2016, l’European Data Protection Board (EDPB) ha di recente espressamente affermato di dubitare della legittimità dell’utilizzo del servizio della Clearview da parte delle forze dell’ordine “in quanto implicherebbe, nell’ambito di un’indagine di polizia o penale, la condivisione di dati personali con un privato al di fuori dell’Unione”.