I dati biometrici, raccolti ed elaborati tramite software e strumenti tecnologici, comportano alcuni rischi per la privacy dei cittadini. Alcuni Paesi, tra cui gli Stati Uniti, stanno introducendo legislazioni volte a mitigare i rischi legati a un uso scorretto o arbitrario di tali dati. In questo filone, si inserisce la recente proposta di Biometric Privacy Act da parte dello Stato di New York, che subordina la raccolta e il trattamento dei dati biometrici (e di riflesso, l’uso di alcune tecnologie come quelle connesse al riconoscimento facciale) a requisiti molto stringenti.
I dati biometrici sono definiti dal Regolamento Privacy come «dati personali ottenuti da un trattamento tecnico specifico, relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica e che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici» (art. 4, § 1, n. 14). Con questa espressione si fa dunque riferimento a un’ampia categoria di dati ricavati, ad esempio, da impronte digitali, dalla retina o dall’iride, dal volto di un soggetto o dalla sua voce.
I dati biometrici, raccolti ed elaborati attraverso software e strumenti tecnologici, sono spesso usati da soggetti pubblici (con fini di law enforcement, sorveglianza e di sicurezza pubblica: in questo Osservatorio ne abbiamo scritto QUI, QUI, QUI e QUI) e privati.
Tra questi ultimi alcune big tech, ad esempio, fanno sempre più uso della biometria per i pagamenti, oppure a fini di riconoscimento e identificazione.
Eppure, i dati biometrici, nonostante la loro utilità, pongono alcune criticità in termini di tutela della privacy, dal momento che questi dati (soprattutto quelli ricavati dal volto, alla base della controversa tecnologia del riconoscimento facciale) possono essere impiegati per i fini più disparati, senza il consenso dell’interessato, e comportare effetti discriminatori. Come tutelare allora i diritti dei cittadini?
Molte sono le iniziative legislative adottate in tal senso. Nel gennaio 2021 lo Stato di New York ha proposto l’Assembly Bill 27 (AB 27), volto a modificare la New York business law, introducendo alcune restrizioni all’impiego dei dati biometrici da parte delle imprese. Se approvato, il Bill entrerebbe in vigore nell’estate del 2021.
La proposta, che non si applica alle attività svolte dai pubblici poteri, impone limiti molto stringenti e alcuni obblighi alle private entities che fanno uso di dati biometrici (espressione che, nella proposta, indica sia le biometric information, sia i biometric identifiers). In particolare, è fatto obbligo alle società di predisporre una written policy (messa a disposizione del pubblico) in materia di conservazione e distruzione dei dati biometrici (distruzione che deve avere luogo una volta raggiunto l’obiettivo per cui questi sono stati raccolti, oppure entro tre anni dalla loro raccolta). Inoltre, la proposta vieta alle società di raccogliere o utilizzare dati biometrici, imponendo, in caso contrario, il rilascio di adeguata informativa scritta (che faccia riferimento allo scopo e alla durata del trattamento dei dati biometrici) al soggetto interessato, che dovrà fornire il proprio consenso scritto. I dati biometrici raccolti non possono essere commercializzati oppure divulgati a terzi, se non in determinate circostanze: 1) quando vi è il consenso dell’interessato; 2) quando la divulgazione è necessaria ai fini della conclusione di una transazione economica autorizzata o richiesta dall’interessato; 3) se è prevista dalla legge federale, statale o locale o da un municipal ordinance, oppure richiesta da un giudice. È infine previsto che gli interessati possano agire in giudizio in caso di violazione colposa o dolosa delle norme che causi un danno (risarcibile con una somma che va dai mille ai cinquemila dollari).
Il Bill mostra profili di grande interesse. In primo luogo, pur inserendosi formalmente in un quadro di riforme in materia di privacy, esso è sostanzialmente in linea con altre iniziative legislative adottate negli Stati Uniti (come nello Stato di Washington: ne abbiamo discusso QUI) che hanno l’obiettivo di regolamentare tecnologie particolarmente invasive della privacy, tra cui figura l’uso del riconoscimento facciale da parte di soggetti pubblici e privati. Pur non facendo espresso riferimento a questo tipo di tecnologia, la proposta tende a “restringere” la raccolta, la gestione, l’utilizzo e il trattamento di dati biometrici in qualsiasi forma e, di conseguenza, anche attraverso tecnologie di riconoscimento facciale.
In secondo luogo, è noto come, in genere, l’approccio nei confronti di questo tipo di tecnologia sia ampiamente diversificato, oscillando da un atteggiamento di netta chiusura a uno più possibilista (ne abbiamo parlato QUI, con riferimento all’uso del riconoscimento facciale da parte dei pubblici poteri). La proposta newyorkese, invece, appare “ibrida”. Infatti, nonostante la formulazione della norma che farebbe propendere per un chiaro divieto di utilizzo/trattamento/divulgazione dei dati biometrici, la proposta finisce comunque per ammettere il ricorso ad essi e a varie tecniche di elaborazione (come si evince dal fatto che la società è persino obbligata a dotarsi di una policy che ne disciplini modalità di raccolta e conservazione). In definitiva, il divieto sussiste solo se l’interessato non viene informato e non rilascia un consenso scritto all’utilizzo oppure alla disclosure dei dati biometrici.
Viene dunque da chiedersi se con regole di questo tipo gli abusi del riconoscimento facciale e della biometria abbiano i giorni contati. Risale a poche settimane fa la notizia che Amazon, dopo aver inserito nei propri furgoni aziendali delle speciali videocamere che elaborano dati biometrici, ha obbligato i propri dipendenti a sottoscrivere il consenso, pena la perdita del posto di lavoro. Una norma come quella del Bill newyorkese non tutelerebbe a sufficienza i lavoratori in una situazione come quella appena menzionata, in cui formalmente vi sono sia l’informativa da parte della società, sia il consenso del dipendente, ma quest’ultimo è “costretto” a dare il proprio consenso a fronte della possibilità di essere licenziato. Inoltre, sempre considerando il caso sopra citato, appare probabilmente irrisoria la somma che l’impresa è tenuta a corrispondere a titolo di risarcimento del danno, se si pensa alle immense capacità economiche di tech giants come Amazon.
In definitiva, la proposta newyorkese certamente muove nella giusta direzione, ponendo alcuni limiti a un uso indiscriminato dei dati biometrici e delle tecnologie che li elaborano (come i sistemi di riconoscimento facciale), ma avrebbe potuto essere più incisiva, prevedendo, ad esempio, che il consenso degli interessati venga dato in modo libero da condizionamenti oppure aumentando la soglia massima del danno potenzialmente risarcibile.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale