La Federal Trade Commission si esprime sui rischi derivanti dall’uso di dati personali biometrici

Premessa

Il 18 maggio 2023, la Federal Trade Commission (“FTC”) degli Stati Uniti d'America ha emanato un documento (Commission Policy Statement of FTC) per lanciare un avvertimento agli operatori economici sul fatto che il crescente utilizzo delle informazioni biometriche dei consumatori e delle tecnologie correlate, comprese quelle basate sul machine learning, solleva notevoli preoccupazioni per la privacy e la sicurezza dei dati dei consumatori, stanti anche i rilevanti potenziali rischi di pregiudizi e discriminazioni per le persone fisiche.

Nel presentare lo statement, il direttore dell'Ufficio per la protezione dei consumatori della FTC ha dichiarato che “Negli ultimi anni la sorveglianza biometrica è diventata sempre più sofisticata e pervasiva, ponendo nuove minacce alla privacy e ai diritti civili" e che lo statement stesso è volto a chiarire che “le aziende devono rispettare la legge indipendentemente dalla tecnologia utilizzata".

Nell'ambito del documento, la FTC ha altresì affermato come tale agenzia sia impegnata a combattere gli atti e le pratiche sleali o ingannevoli relativi alla raccolta e all'uso delle informazioni biometriche dei consumatori e alla commercializzazione e all'uso delle tecnologie biometriche.

Da un punto di vista strutturale, nell'illustrare questa nuova linea operativa dell'attività di enforcement della FTC, il policy statement fornisce indicazioni su tre questioni fondamentali:

a) In primo luogo, stabilisce una definizione nuova ed espansiva d'"informazioni biometriche", che differisce dall'uso che le leggi e i regolamenti statunitensi esistenti fanno del termine.

b) In secondo luogo, delinea le pratiche che la FTC esaminerà per determinare se le aziende che utilizzano informazioni biometriche e/o tecnologie d'informazione biometrica sono conformi alla Sezione 5 del Federal Trade Commission Act (“FTC Act”).

c) Infine, il documento sottolinea l'allineamento e l'ampliamento dell'approccio della FTC alla regolamentazione delle tecnologie d'intelligenza artificiale (“AI”).

I dati personali biometrici

Lo statement della FTC definisce le "informazioni biometriche" in senso lato come dati che raffigurano o descrivono tratti fisici, biologici o comportamentali, caratteristiche o misure del corpo di una persona identificata o identificabile. Secondo la FTC, ciò include rappresentazioni, immagini, descrizioni o registrazioni dei tratti del viso, dell'iride o della retina, delle impronte delle dita o delle mani, della voce, della genetica o di movimenti o gesti caratteristici, nonché dati derivati da tali rappresentazioni, immagini, descrizioni o registrazioni, nella misura in cui sarebbe ragionevolmente possibile identificare la persona dalle cui informazioni i dati sono stati derivati.

Citando la proliferazione delle tecnologie di informazione biometrica, lo statement della FTC sottolinea i nuovi e crescenti rischi associati alla raccolta e all'uso delle informazioni biometriche, tra cui la possibilità che queste informazioni vengano utilizzate per produrre video o registrazioni vocali contraffatte (i cosiddetti 'deepfake') e il potenziale uso non autorizzato dei dati biometrici per accedere ai dispositivi da parte di soggetti malintenzionati. Altresì, lo statement sottolinea che le tecnologie utilizzanti i dati biometrici, compresa la tecnologia di riconoscimento facciale, possono portare a risultati discriminatori per alcuni gruppi demografici.

In definitiva, nell'ambito del documento, la FTC ha assunto una posizione in linea con il recente "My Health My Data Act" di Washington e con il California Consumer Privacy Act (“CCPA”), includendo una serie d'identificatori biometrici, ma senza limitarsi a essi, per riferirsi alla più ampia categoria di tutte le tecnologie che utilizzano o pretendono di utilizzare informazioni biometriche per qualsiasi scopo, che consentirà alla FTC di gettare un'ampia rete per l'applicazione della legge. La FTC cita il rapido progresso della tecnologia biometrica nell'ultimo decennio e la crescente attenzione dell'opinione pubblica ai rischi che le tecnologie biometriche possono comportare per i consumatori, le imprese e la società come sfondo per un maggiore controllo delle aziende che raccolgono e utilizzano informazioni biometriche o commercializzano o utilizzano tecnologie d'informazione biometrica per garantire la conformità con la Sezione 5 del FTC Act.

Il quadro normativo di riferimento

La FTC non applica una legge o un regolamento che riguardi specificamente le informazioni biometriche e, al momento, non esiste una legge federale esaustiva che riguardi specificamente la raccolta e l'utilizzo d'informazioni biometriche da parte di enti commerciali. Come ricordato nel contesto dello statement, diverse giurisdizioni statali e locali hanno adottato leggi sulla privacy delle informazioni biometriche. A ogni buon conto, quale base giuridica delle proprie iniziative sul tema, la FTC applica la Sezione 5 del FTC Act, che vieta atti o pratiche sleali o ingannevoli. Altresì, nello statement viene chiarito che la FTC considera la Sezione 5 come uno strumento che le consente di regolamentare la raccolta e l'uso delle informazioni biometriche.

Nella Dichiarazione sulla politica biometrica, la FTC sostiene inoltre che anche altre leggi e regolamenti a livello federale da essa applicati possono disciplinare le informazioni biometriche, tra cui la Children's Online Privacy Protection Rule, 15 U.S.C. § 6501 ss., la Health Breach Notification rule, 16 C.F.R. Part 318 e la Gramm-Leach-Blilely Act's Safeguards Rule, 16 C.F.R. Part 314, e la Regulation P, 12 C.F.R. Part 1016.

Più in generale, va ricordato che il tema della biometria è oggetto di attenzioni anche da parte della legislazione adottata dai singoli stati federali.

Le prassi oggetto dell'indagine da parte della FTC

Nel proprio statement, la FTC elenca esempi specifici di pratiche commerciali relative alle informazioni biometriche da esaminare ai sensi della Sezione 5 del FTC Act.

a) Pratiche ingannevoli. Innanzitutto, viene affrontato il tema delle comunicazioni potenzialmente ingannevoli relative alla raccolta e all'utilizzo d'informazioni biometriche e tecnologie correlate, a loro volta distinguibili in due categorie principali:

• Comunicazioni di marketing ingannevoli relative alle tecnologie d'informazione biometrica. Sul punto, la FTC rileva che affermazioni false o non comprovate relative alla validità, all'affidabilità, alle prestazioni, alla correttezza o all'efficacia delle tecnologie che utilizzano le informazioni biometriche possono essere considerate una violazione del FTC Act.
• Dichiarazioni ingannevoli sulla raccolta e sull'uso delle informazioni biometriche. La FTC ha inoltre avvertito che anche le dichiarazioni false o fuorvianti sulla misura in cui le aziende raccolgono o utilizzano le informazioni biometriche o se o come implementano le tecnologie che utilizzano le informazioni biometriche possono violare il FTC Act.

b) Atti sleali. La FTC affronta il tema degli atti potenzialmente sleali relativi alla raccolta e all'utilizzo delle informazioni biometriche e delle tecnologie correlate, indicando come rilevanti a tale fine i seguenti fattori:

• Se l'azienda non ha valutato i danni prevedibili prima di raccogliere informazioni biometriche e/o non ha affrontato tempestivamente i rischi noti o prevedibili. Sul punto, la FTC incoraggia le aziende a condurre una valutazione “olistica" per identificare e affrontare i potenziali rischi associati alla tecnologia biometrica prima d'implementare la tecnologia o raccogliere le informazioni biometriche dei consumatori.
• Se l'azienda non ha fornito una formazione adeguata ai dipendenti e agli appaltatori. Le aziende devono formare adeguatamente i dipendenti e gli appaltatori le cui mansioni lavorative comportano l'interazione con informazioni biometriche o tecnologie correlate.
• Se l'azienda non ha monitorato le tecnologie biometriche che sviluppa, vende o utilizza. Sul punto, la FTC evidenzia che le aziende devono monitorare le tecnologie biometriche che sviluppano, utilizzano, vendono o forniscono in altro modo a terzi per garantire che tali tecnologie funzionino come previsto e non siano in grado di danneggiare i consumatori.
• Pratiche sleali di per sé. La FTC elenca poi una serie di pratiche che possono essere considerate sleali “in sé e per sé”, consistenti nell'usare o nel facilitare l'uso d'informazioni biometriche per identificare o tracciare surrettiziamente un consumatore, nel non avere reso noto in modo chiaro e visibile la raccolta e l'uso di informazioni biometriche, nonché nel non disporre di un meccanismo per prendere in carico e gestire i reclami e le controversie dei consumatori relativi all'uso della biometria.

Sviluppi futuri

I policy statement della FTC solitamente tendono a preparare il terreno a concrete attività di enforcement ed è quindi presumibile che nel prossimo futuro tale autorità intraprenda indagini o avvii dei procedimenti relativi alle pratiche delineate nella dichiarazione sui trattamenti biometrici oggetto della presente analisi.

Le aziende statunitensi che raccolgono o elaborano informazioni biometriche dovrebbero considerare le misure da adottare alla luce dello statement della FTC. Ad esempio, molti dei fattori elencati nella dichiarazione come rilevanti per stabilire se una determinata pratica è ingannevole o sleale possono essere affrontati o attenuati in anticipo attraverso misure di conformità proattive, che possono essere simili, ma potenzialmente leggermente diverse, dalle pratiche che un'azienda può già impiegare per conformarsi alle leggi statali sulla biometria o come parte di un programma completo sulla privacy e sulla sicurezza dei dati.

Per molti versi, il policy statement segue l'approccio che la FTC ha adottato per decenni nei casi di privacy e sicurezza. Tuttavia, tale documento tenta d'imporre requisiti sostanziali alle aziende e dimostra ulteriormente l'impegno della FTC a far leva sulla Sezione 5 come legge antidiscriminazione a impatto disuguale. La Commissione è chiara sul fatto che le valutazioni del rischio delle aziende devono considerare se gli algoritmi o i componenti tecnici del sistema sono stati testati per verificare l'impatto di disparità. La forte implicazione è che le aziende non devono utilizzare algoritmi o tecnologie che non siano stati testati per verificare l'impatto di disparità.

Del resto, è paradigmatico dell'attenzione dedicata al tema dall'autorità federale il paragrafo di chiusura del documento, con cui la FTC sottolinea che, soprattutto in considerazione dei rapidi cambiamenti nelle capacità e negli utilizzi tecnologici, le aziende devono valutare costantemente se il loro utilizzo d'informazioni biometriche o di tecnologie d'informazione biometrica provochi o possa provocare un danno ai consumatori in modo tale da violare la Sezione 5 dell'FTC Act. In caso affermativo, le aziende devono cessare tali pratiche, indipendentemente dal fatto che siano o meno specificamente trattate nel policy statement.

In conclusione

Dal policy statement si ricava come la FTC stia gettando le basi per utilizzare la sua autorità di applicazione della Sezione 5 del FTC Act per intraprendere azioni contro le aziende che sviluppano o utilizzano tecnologie biometriche in modi da essa ritenuti ingannevoli o sleali. Tuttavia, il documento lascia ancora spazio a una grande ambiguità e incertezza anche per le aziende più proattive e intenzionate a evitare le sanzioni normativamente previste.

Questo sviluppo s'inserisce anche nel contesto più ampio di un aumento di richieste di risarcimento in sede civile presentate dinanzi alle autorità giurisdizionali americane. Nelle azioni collettive a tutela della privacy, gli avvocati dei querelanti spesso avanzano richieste di risarcimento per negligenza connesse al mancato rispetto da parte delle aziende convenute degli standard di settore, compresi quelli emanati dalla FTC, o altrimenti facendo leva sulle leggi statali a tutela dei consumatori che vietano in modo analogo le pratiche "ingannevoli" e "sleali". Di conseguenza, il policy statement avrà un impatto anche al di fuori del contesto dell'attività di enforcement della FTC.

È comunque apprezzabile questa presa di posizione dell'agenzia federale, dato negli ultimi anni si è assistito a una proliferazione di tecnologie informatiche biometriche. Ciò ha determinato che i consumatori devono affrontare nuovi e crescenti rischi associati alla raccolta e all'utilizzo di informazioni biometriche.

D'altro canto, negli ultimi anni la FTC ha avviato azioni di enforcement contro il produttore di app fotografiche Everalbum e Facebook, accusandoli di aver presentato in modo errato l'uso della tecnologia di riconoscimento facciale. Nel 2012 la FTC ha inoltre pubblicato un rapporto sul riconoscimento facciale che raccomandava le migliori pratiche per proteggere la privacy dei consumatori.

Per converso, per le aziende potrebbe risultare difficile stabilire se il policy statement qui esaminato si applichi alle loro attività, data l'ampia portata della definizione di informazioni biometriche adottata dalla FTC e il suo intento dichiarato di esaminare le tecnologie al di là di quelle utilizzate per l'identificazione delle persone. Altrettanto impegnativo potrebbe essere, dal punto di vista pratico, applicare il punto di vista della FTC sulle pratiche ingannevoli e sleali.

Il nuovo statement qui esaminato, a ogni buon conto, con la sua funzione quantomeno di moral suasion nei confronti delle aziende statunitensi con riguardo al divieto di affermazioni false o non comprovate sull'accuratezza o sull'efficacia delle tecnologie d'informazione biometrica o sulla raccolta e sull'uso d'informazioni biometriche posti in essere in violazione del FTC act, traccia nuove prospettive di tutela della privacy dei consumatori, con un sicuro riflesso anche per i Paesi importatori di tali tecnologie, in primis quelli facenti parte dello Spazio Economico Europeo.

Guida all'approfondimento

• L. Bolognini, Art. 4.14 GDPR, in L. Bolognini e E. Pelino (a cura di), Codice della disciplina privacy, Giuffrè Francis Lefebvre, Milano, 2019.
• G. Cristofari, F. Sartore e L. Bolognini, Art. 9 GDPR; Artt. 60,75,77,78,79,80,82,89-bis, 92,93 D.lgs. 196/2003, in L. Bolognini e E. Pelino (a cura di), Codice della disciplina privacy, cit.