Una importante sentenza della Corte Suprema dell’Illinois ha chiarito definitivamente la portata di una essenziale normativa dello Stato sulla tutela delle informazioni biometriche, il Biometric Information Privacy Act (BIPA) (740 ILCS 14/1) del 2008 e ci permette di rilevare, oltre alle ben note e profonde differenze esistenti fra il sistema statunitense e quello comunitario, anche alcuni spunti interessanti per il legislatore europeo.
Indice degli argomenti
Il Biometric Information Privacy Act
Questa legge impone numerose restrizioni sull’utilizzo, la conservazione, l’informazione e l’eliminazione relativa ad identificatori biometrici, tra i quali la legge menziona le scansioni dell’iride o della retina, le impronte digitali, le impronte vocali, le impronte della mano o della geometria del volto nonché ulteriori informazioni biometriche.
Con riguardo agli obblighi in capo ai soggetti che trattano dati biometrici, il Biometric Privacy Information Act dispone che nessuno può raccogliere, acquistare o comunque acquisire i dati biometrici di una persona se non dopo averla informata per iscritto del trattamento del dato, dello scopo del trattamento e della durata dello stesso e dopo aver ricevuto il consenso scritto da parte dell’interessato medesimo.
L’esecuzione ed attuazione di questa disposizione sono lasciate al cosiddetto “private right of action”. La normativa non prevede quindi sanzioni ma piuttosto abdica la potestà punitiva all’iniziativa del singolo soggetto danneggiato.
L’art. 20 del cosiddetto “BIPA” dispone infatti che ogni persona danneggiata (“aggrieved”) dalla violazione delle disposizioni di cui alla normativa ha diritto di agire nei confronti di colui che l’ha violata e al risarcimento del danno patito, comprensivo di un’ingiunzione di fare o non fare, se necessaria, ed oltre alle spese.
Danno subito e meccanismo di risarcimento
Con riguardo al danno subito è interessante il meccanismo del risarcimento che, stante la difficoltà di fornire una esatta quantificazione del danno patito, prescrive una liquidazione minima di $ 1.000 per violazioni colpose e di $ 5.000 per le violazioni volontarie (qui è chiaro l’intento punitivo, più che compensativo, della misura).
È interessante notare come l’emanazione della normativa BIPA nel 2008 sia stata accompagnata da accorte osservazioni parlamentari, richiamate anche nella sentenza della Suprema Corte, secondo le quali “gli identificativi biometrici sono diversi dagli altri identificativi unici che utilizziamo per accedere alle nostre finanze o ad altre informazioni sensibili. Per esempio, il numero di social security, quando compromesso, può essere cambiato. Le biometriche, invece, sono biologicamente uniche per ogni individuo; quindi, una volta compromesse, l’individuo non ha rimedi, ha un elevato rischio di subire un furto di identità, e probabilmente smetterà di servirsi di transazioni facilitate da dati biometrici”.
Il caso all’esame della Corte dell’Illinois
Venendo al caso specifico all’esame della Corte, si tratta di un parco divertimenti che per rilasciare pass stagionali chiedeva di registrare le impronte digitali dei clienti, così da regolare gli accessi attraverso dei tornelli muniti di scanner di impronte.
Nella primavera del 2014 la ricorrente acquistava online, per il figlio che di lì a poco avrebbe visitato il parco per in gita scolastica, un pass stagionale.
Recatosi al parco il quattordicenne convertiva l’acquisto online nel pass e accedeva al parco. Tornato a casa la madre gli chiedeva la documentazione rilasciata dal parco per l’acquisto del pass al che il figlio rispondeva “fanno tutto con la tua impronta ora”.
Nessuna informazione era stata fornita alla madre o al figlio prima di allora, tantomeno erano presenti informative scritte in proposito sul sito aziendale e, infine, nessun consenso all’acquisizione del dato era stato legittimamente prestato dagli interessati.
L’iter giudiziale
La madre agiva quindi avanti alla Corte Distrettuale di Lake County per far valere i propri diritti in forza del Biometric Information Privacy Act e per chiedere che il parco divertimenti venisse sanzionato.
Di fatto, la questione giudiziale si è concentrata sulla qualifica di “aggrieved party” (parte lesa/danneggiata/afflitta) in capo alla madre del ragazzo che ha conferito il dato biometrico, sebbene questa non abbia allegato un vero e proprio danno in capo al figlio, ma semplicemente una violazione formale.
La Corte Distrettuale negava però alla ricorrente la legittimazione ad agire, non avendo la stessa allegato un danno e non rivestendo quindi la qualifica di “aggrieved party”.
La questione viene a questo punto riproposta avanti alla Suprema Corte dell’Illinois, in un procedimento assimilabile a quello della nostra Suprema Corte di Cassazione -con finalità nomofilattiche- con il quale la Corte è chiamata a pronunciarsi sulla legittimazione ad agire di un ricorrente che lamenti una violazione del BIPA che lo riguarda direttamente, ma non allega un danno.
La Suprema Corte, nella sentenza 2019 IL 123186 del 25.01.2019, risolve la questione riconoscendo la legittimazione della ricorrente, sulla base di un articolato ed interessante ragionamento.
La Corte infatti richiama innanzitutto gli intenti della normativa, evidenziando i rischi connessi con la circolazione di informazioni biometriche insostituibili e il fatto che, ad oggi, non conosciamo appieno i meccanismi ed i pericoli di queste modalità di autenticazione.
A questo punto i Giudici sottolineano la chiara violazione della disciplina di cui al Biometric Information Privacy Act da parte del parco divertimenti, che ha omesso di informare per iscritto l’interessato del fatto che lo stesso avrebbe trattato e conservato i suoi dati biometrici e non ne ha raccolto il consenso.
Quanto all’esame della legittimazione della ricorrente pur in assenza della prova di un danno, la Corte esamina a fondo la normativa e segnala che l’impianto sanzionatorio è creato per essere attivabile solamente su istanza di parte e consente solamente la liquidazione dei danni nella misura vista sopra.
Di fatto quindi la normativa poggia sul “private right of action” e deve quindi incoraggiare l’azione degli interessati anche prima del verificarsi di un danno economicamente valutabile.
L’interpretazione di “parte lesa”
Del resto, ricorda la Corte, l’interpretazione di “parte lesa” (“aggrieved party”) è stata in altre pronunce estesa così da legittimare l’azione anche in assenza di danno economicamente valutabile, intendendosi con questa dicitura solamente limitare la possibilità di ricorso solamente a quei soggetti che abbiano vissuto in prima persona la violazione, escludendo denunce per sentito dire.
Il Biometric Information Privacy Act esce quindi rafforzato dalla pronuncia della Suprema Corte dell’Illinois, riconoscendo, di fatto, tutela preventiva per situazioni potenzialmente molto pericolose che non dovranno attendere il verificarsi di un danno per essere censurate.
Un parallelo Ue-Usa
Facendo un parallelo con la normativa europea ci accorgiamo delle profonde differenze esistenti fra il sistema statunitense e quello comunitario.
Considerando gli aspetti che più da vicino riguardano il caso in esame balza all’occhio in primo luogo che negli Stati Uniti non esiste ad oggi una disciplina federale armonizzata relativamente all’obbligo di informativa in tema di trattamento dati biometrici. La disciplina è lasciata ai singoli stati con profonde differenza fra l’uno e l’altro.
In secondo luogo, la legge emanata in Illinois evidenzia la tendenza statunitense a “privatizzare” il diritto alla privacy, onerando i singoli all’azione in caso di violazione e premiandoli con il corrispettivo delle “sanzioni” comminate in caso di azione vittoriosa.
L’approccio americano, sebbene parziale e suscettibile di applicazioni distorsive, può comunque insegnare qualcosa anche al legislatore europeo. Con questa tipologia di disciplina si spingono infatti gli interessati ad agire anche prima di subire un danno, così censurando e facendo emergere comportamenti contrari alla normativa privacy prima che gli stessi causino un danno agli interessati.
Si tratta di un sistema di controllo diffuso che contempera il monopolio pubblico della sanzione con l’iniziativa privata e che potrebbe, entro certi limiti, essere un interessante esperimento anche per la privacy europea.