Il biglietto non basta per giustificare i trattamenti altamente impattanti della Kiss Cam, e le clausole liberatorie del contratto di acquisto non costituiscono una valida informativa privacy. In Europa, il “Pay and Consent” praticato dagli organizzatori produce consensi forzati e quindi invalidi rendendo illegali le riprese della Kiss Cam e la diffusione sui ledwall. Negli States, invece, la disciplina privacy è molto blanda salvo eccezioni e la Kiss Cam è un trattamento lecito. I sistemi intelligenti di riconoscimento facciale sono ammessi e debole è il regime di responsabilità delle piattaforme. Due vite stravolte: chi paga per questa gogna mediatica?
La questione “Kiss Cam e privacy” nasce dal noto caso della coppia di amanti al concerto dei Coldplay a Boston. La regia cerca nel pubblico una coppia di innamorati, li trova, fa una ripresa ravvicinata e la diffonde sui maxischermi a tutti gli altri spettatori. Indubbiamente non è la classica panoramica del pubblico. Qui abbiamo la ripresa in primo piano della persona (trattamento n.1, tipo ritratto) e poi la diffusione dell'immagine di questa persona a tutti gli altri spettatori (trattamento n.2, diffusione). Quali sono le basi giuridiche fondanti di questi trattamenti? Le clausole di liberatoria (es.«Manuale dello Spettatore») cui fanno riferimento i contratti di acquisto dei biglietti? Il fatto che lo spettatore sia preventivamente avvertito dell'eventualità di essere ripreso non costituisce una valida informativa privacy e l'accesso al luogo del concerto non costituisce un consenso valido per il trattamento n.1 (ripresa in primo piano) e/o per il trattamento n.2 (diffusione). Come dovrebbe essere l'informativa privacy per le riprese al concerto? Il Garante Privacy in merito alle riprese per strada eseguite dalle Google Cars per il servizio Street View e per il Google Trekker nei rispettivi provvedimenti del 2010 e del 2014 aveva fornito delle linee guida: «Il titolare del trattamento provveda ad informare gli interessati circa la programmata acquisizione di immagini, mediante: 3.1. pubblicazione della notizia sul sito web di Google, [...] nei tre giorni antecedenti rispetto all'inizio della raccolta delle immagini; 3.2. pubblicazione della notizia tramite i siti web e, se esistenti, le newsletter o altre pubblicazioni informative dei Partners [dell'evento] nei sette giorni antecedenti rispetto all'inizio della raccolta delle immagini; 3.3. nell'eventualità di siti o luoghi, pubblici o privati, recintati ovvero aperti al pubblico, pubblicazione di segnalazioni, avvisi o cartelli affissi all'ingresso dei siti interessati: 4. predisponga, sulle attrezzatture attraverso le quali acquisisce le immagini fotografiche ovvero anche sull'abbigliamento dei relativi addetti adesivi, cartelli o altri segni distintivi ben visibili in cui appaiono i contatti per scrivere al fine di consentire all'interessato di esercitare i propri diritti privacy.» Pertanto, il biglietto contenente il riferimento al semplice elenco dei trattamenti che l'immagine dello spettatore potrebbe subire non costituisce certo un'Informativa privacy. Se non c'è un'adeguata informativa per determinati trattamenti specifici non si può neppure ipotizzare un consenso specifico e quindi manca la base giuridica del consenso, unico fondamento per il trattamento n.1 di ripresa in primo piano e per il trattamento n.2 di diffusione dell'immagine sui maxischermi. Ogni trattamento necessita di un consenso specifico separato e distinto dagli altri consensi privacy. E qui veniamo alla questione del consenso privacy incluso nel consenso al contratto di acquisto del biglietto. Questa situazione non può non riportare la nostra mente al caso di Meta Platforms e di altre piattaforme che originariamente includevano nell'unico consenso al contratto di registrazione anche il consenso privacy al trattamento dei dati personali a 360 gradi compresa la profilazione a fini pubblicitari. Consenso Privacy al concerto: “Pay and Consent” Le piattaforme, dopo le varie “battaglie” con il Gruppo dei Garanti Privacy UE (EDPB), utilizzano il meccanismo del “Pay or Consent” che comunque tuttora viene criticato (EDPB Parere 8/2024 del 17 aprile 2024 sul consenso valido nei modelli “consenso o pagamento ). Il “Pay or Consent” fornisce un'apparente libertà di scelta che “secondo loro” integra i requisiti di un consenso prestato liberamente. Gli organizzatori dei concerti invece applicano il meccanismo del “Pay and Consent” perché nell'unico consenso prestato per il contratto di acquisto del biglietto includono “secondo loro” anche il consenso privacy a una pluralità di trattamenti. Indubbiamente si tratta di un consenso forzato e dunque non valido in quanto non liberamente prestato. Soprattutto quando l'interessato si trova a subire trattamenti così impattanti come quello della Kiss Cam. Il Gruppo dei Garanti Privacy Europei (EDPB) nelle linee guida del 4 maggio 2020 sul consenso privacy hanno osservato che «se il consenso è un elemento non negoziabile [o mangi la minestra o salti la finestra] delle condizioni generali di contratto/servizio, si presume che non sia stato prestato liberamente. Di conseguenza, il consenso non sarà considerato libero se l'interessato non può rifiutarlo o revocarlo senza subire pregiudizio». Potrebbe costituire un'opzione di scelta mettere a disposizione degli spettatori un'area riservata libera dalle riprese video pronta ad ospitare la libertà di rifiutare il consenso, rendendo così valido il trattamento per gli spettatori che hanno deciso di occupare i posti «a favore di camera». L'organizzazione e la gestione di un meccanismo simile implicherebbero di abbinare la selezione del posto con l'applicazione della data protection fornendo l'alternativa tra posto coperto dalle riprese e posto libero dalle riprese o cam-free. Chiaramente questo sistema implicherebbe un aggravio organizzativo e logistico però renderebbe le riprese maggiormente GDPR compliance. Il meccanismo del “Pay and Consent” presume un consenso privacy tacito determinato dall'acquisto del biglietto unito all'accesso all'evento. Tuttavia, il consenso dev'essere sempre espresso. Così ragionano i Giudici della prima sezione civile nell'ordinanza Cass. n.36754/2021 in un caso similare a quello in oggetto sebbene in circostanze diverse. Durante le videoriprese per la realizzazione del videoclip per una canzone di un famoso cantante, una signora viene catturata in compagnia dell'amante. Il videoclip ha una diffusione enorme e il marito riconosce la moglie in compagnia di un altro uomo e così chiede la separazione. La donna attiva un'azione di risarcimento danni per lesione della privacy contro la casa discografica che invece sostiene sussistere un consenso privacy tacito in quanto ripresa in un luogo pubblico e non sotrattasi all'occhio della videocamera. La Corte di Appello di Napoli confermata dalla Cassazione è di diverso avviso: «2.2. La Corte partenopea ha specificamente escluso la configurabilità di un consenso tacito, desumibile dalle modalità del fatto, non trovando conferma in nessuna prova la presenza di una «preparazione scenografica» e della «allocazione di mezzi di ripresa che lasciavano chiaramente individuare il campo delle riprese e la finalità del video»; inoltre, pur apparendo verosimile «che l'attrice si fosse accorta di essere stata inquadrata, per avere soffermato lo sguardo verso lo strumento di ripresa per alcuni istanti», ha ritenuto che «da tale fugace sguardo» non potesse «desumersi il suo tacito consenso alla ripresa, né, soprattutto, alla divulgazione della sua immagine», a tal fine occorrendo una piena consapevolezza (laddove quello sguardo denotava «la mera curiosità verso la telecamera»)». Alla signora viene riconosciuta una liquidazione di 40mila euro perché era in un Paese dell'Unione Europea. Se fosse stata a Boston come la coppia del concerto dei Coldplay non avrebbe ottenuto nulla. Kiss Cam e privacy: differenze tra USA e UE Essenzialmente gli Stati Uniti sono ancora radicati nel concetto del diritto alla privacy come diritto ad essere lasciati soli. Mentre nell'Unione Europea oltre al diritto di essere lasciati soli la disciplina privacy comprende anche la data protection. Il GDPR 2016/679 oltre al profilo di esclusione dei terzi dalla nostra sfera privata, riconosce agli europei anche un fascio di diritti privacy attivi ai quali corrispondono precisi obblighi del titolare del trattamento. Negli States non esiste una legge federale sulla privacy. Solo alcuni Paesi hanno adottato il modello eurounitario: la California è il locomotore con il Consumer Privacy Act (CCPA del 2020) e il successivo California Privacy Rights Act (CPRA del 2023). La Kiss Cam dei Coldplay ha colpito al concerto di Boston e nel Massachusetts non esiste una legge sulla data protection. Di conseguenza, nessuna responsabilità potrà essere ascritta agli organizzatori del concerto. Se la coppia dei malcapitati avesse partecipato ad un concerto in Europa avrebbe avuto maggiori opportunità di tutela già a livello di misure preventive nonché sotto il profilo giudiziale. Oltre al reclamo al Garante Privacy, la coppia avrebbe potuto attivare una causa di risarcimento danni per la ripresa in primo piano e la diffusione sui maxischermi che hanno reso la coppia protagonista obtorto collo in un momento di intimità affettiva esclusivamente appartenente al loro privato. Oltre la Kiss Cam l'ulteriore diffusione online e l'AI per il riconoscimento facciale I soggetti del concerto dei Coldplay non solo sono stati vittime dei trattamenti della Kiss Cam ma sono stati anche vittime della diffusione ulteriore nel web abbinata con l'applicazione di un software AI per il riconoscimento facciale e la conseguente identificazione. Innanzitutto, se fossero stati in Europa, non avrebbero subito il riconoscimento facciale in quanto vietato dall'AI Act e avrebbero potuto almeno richiedere alle piattaforme di rimuovere le loro immagini perché diffuse senza consenso. Negli States, invece, non esiste una disciplina unitaria sul riconoscimento facciale dettata da una legge federale. Esistono in materia dei provvedimenti a macchia di leopardo emessi dalle singole autorità statunitensi come quello della Federal Trade Commission nel luglio 2024 contro Rite Aid che ha imposto il divieto per 5 anni dell'uso del riconoscimento facciale per gravi negligenze in sicurezza e trasparenza. Adesso nel 2025 si registrano iniziative contrastanti: da una parte si sta cercando di rendere opzionale negli aeroporti USA il riconoscimento facciale ovvero è fattibile solo con il consenso espresso del passeggero mentre dall'altra parte la polizia di frontiera USA ha richiesto alle aziende un tool di riconoscimento facciale in tempo reale per tutti i passeggeri delle auto in transito alle frontiere. In definitiva, questo scenario giuridico statunitense così frammentato lascia permanere indenni i produttori, i fornitori e i deployers dei sistemi intelligenti di riconoscimento facciale. Indenni restano pure i gestori delle piattaforme ospitanti le immagini del concerto in quanto non rimproverabili per i contenuti caricati dagli utenti (UGC). Indenni resteranno pure gli spettatori che hanno rilanciato le immagini dallo stadio al web perché difficilmente verranno identificati. Insomma, due vite stravolte, due famiglie spezzate e nessuno paga per questa gogna mediatica. Chi paga per questa gogna mediatica? Nessuno paga per questa gogna mediatica nello Stato del Massachusetts privo di una legge sulla data protection. In Europa sarebbe stato diverso. L'AI Act vieta i sistemi intelligenti per il riconoscimento facciale sebbene sia difficile scoprire gli autori dell'identificazione illegale. Soprattutto, l'Unione Europea punisce la lesione della privacy con cospicue sanzioni e fornendo i fondamenti giuridici per azionare il risarcimento dei danni. All'inizio, la persona offesa chiede al gestore di fornire i dati identificativi degli utenti malevoli affinché possano essere chiamati a rispondere delle loro azioni. Difficilmente le piattaforme forniscono tali dati e così restano responsabili per gli user generated content (UGC) ospitati. Dunque, in applicazione del GDPR, è probabile che rimuovano i contenuti segnalati per non incorrere nei casi di responsabilità previsti per gli Internet Service Provider (ISP) dal Digital Services Act. Purtroppo, però, nei fatti il livello di tutela si ferma alla rimozione e difficilmente verranno integrati i presupposti per il risarcimento del danno salvo eventuali condotte negligenti degli ISP.