Rápidos avances han impulsado la proliferación de la tecnología de reconocimiento facial, que continúa expandiéndose a nuevas áreas de la vida pública y privada. En particular, los retailers y entidades comerciales similares, confían cada vez más en el reconocimiento facial con fines de seguridad / vigilancia.
Al mismo tiempo, sin embargo, el reconocimiento facial se ha convertido en un objetivo cada vez más popular para los litigios de acción de clase, perseguidos bajo la Ley de Privacidad de la Información Biométrica de Illinois (“BIPA” Biometric Information Privacy Act,por sus siglas en inglés). Para complicar aún más las cosas, numerosos estados y el Congreso están intentando promulgar leyes adicionales y estrictas que regulen el uso de la tecnología de reconocimiento facial por parte de empresas comerciales.
En conjunto, todas las entidades que utilizan la tecnología de reconocimiento facial en la actualidad, especialmente aquellas que utilizan esta tecnología con fines de seguridad y vigilancia, deben asegurarse de tener implementadas las prácticas de cumplimiento de privacidad biométrica adecuadas para evitar convertirse en el próximo objetivo de una demanda colectiva de privacidad biométrica potencialmente cambiante.
Explicación de la tecnología de reconocimiento facial
La tecnología de reconocimiento facial implica el uso de “biometría” ( es decir , características físicas individuales) para mapear digitalmente la “geometría” facial de un individuo. Luego, estas medidas se utilizan para crear una fórmula matemática conocida como “plantilla facial” o “firma facial”. Esta plantilla o firma almacenada se usa luego para comparar la estructura física de la cara de un individuo para confirmar su identidad o identificar de manera única a ese individuo.
Paisaje legal
En este momento, solo tres estados en los EE.UU, han apuntado leyes de privacidad biométrica en los libros que regulan directamente el uso de la tecnología de reconocimiento facial.
De esas leyes, la BIPA de Illinois se considera la más estricta. Según la BIPA, una entidad privada no puede recopilar ni almacenar datos de plantillas faciales sin antes dar aviso, obtener el consentimiento por escrito y hacer ciertas divulgaciones. La BIPA ha creado una exposición de responsabilidad sustancial para las empresas que utilizan el reconocimiento facial en sus operaciones. Este riesgo surge principalmente debido a los daños estatutarios disponibles bajo la BIPA, que oscilan entre $ 1,000 y $ 5,000 por infracción, que pueden perseguirse incluso cuando no se produzcan daños o perjuicios reales.
Como solo un ejemplo de la tremenda responsabilidad planteada por la BIPA, Facebook recientemente resolvió una importante demanda colectiva que que involucró el uso de tecnología de reconocimiento facial por la asombrosa cantidad de $ 650 millones, pero solo después de que un juez rechazara la oferta original de Facebook de $ 550 millones.
Más allá de Illinois, Texas y Washington también han promulgado leyes de privacidad biométrica que cubren la tecnología de reconocimiento facial, que imponen requisitos similares relacionados con el aviso, el consentimiento y las medidas de seguridad obligatorias.
Además, en este momento muchos estados están intentando promulgar su propia legislación de privacidad biométrica, lo que ampliaría los requisitos de seguridad, consentimiento y notificación similares a la BIPA en otras partes del país.
Es importante destacar que el alcance de muchos de estos proyectos de ley va mucho más allá del de dicha ley e impondría requisitos adicionales, como las pruebas obligatorias previas a la implementación y la capacitación periódica de los empleados, además de permitir la prueba de esta tecnología por parte de terceros.
Al mismo tiempo, los legisladores federales también se han centrado en el reconocimiento facial como un enfoque principal para la regulación a nivel nacional, que establecería requisitos uniformes en todo el país sobre el uso de tecnología.
Más recientemente, en agosto de 2020, los senadores Jeff Merkley (D-OR) y Bernie Sanders (I-VT) presentaron la Ley Nacional de Privacidad de la Información Biométrica de 2020 (S.4400), que impondría requisitos sobre el uso de la tecnología de reconocimiento facial (y otras formas de biometría) similar a la BIPA de costa a costa.
Desafíos y riesgos adicionales
Dicho esto, los desafíos actuales (y futuros) asociados con la tecnología de reconocimiento facial no se limitan a una exposición significativa a la responsabilidad legal.
El reconocimiento facial ha recibido recientemente una cantidad significativa de cobertura mediática negativa sobre posibles problemas de precisión y sesgo asociados con esta tecnología. De particular preocupación es el hecho de que la tecnología actual es mucho menos precisa para identificar a las personas de color y las mujeres, lo que crea un mayor riesgo de identificación errónea de las minorías.
El reconocimiento facial también ha obtenido una cantidad significativa de publicidad negativa derivada de los controvertidos usos de esta tecnología. A principios de 2020, surgieron noticias sobre las prácticas de la startup de reconocimiento facial Clearview AI , que creó una base de datos masiva de plantillas faciales de millones de personas en todo el mundo y luego vendió el acceso a su base de datos tanto a las fuerzas del orden como a entidades privadas.
Más recientemente, Rite Aid llegó a los titulares nacionales como resultado de su práctica de implementar tecnología de reconocimiento facial con fines de seguridad / vigilancia en más de 200 tiendas en todo EE.UU, la mayoría de las cuales se encuentran en vecindarios de bajos ingresos.
En conjunto, está claro que las empresas que utilizan software de reconocimiento facial con fines de seguridad / vigilancia permanecerán bajo un escrutinio significativo en el futuro previsible.
Nuevo objetivo importante de litigios colectivos sobre privacidad biométrica
Hasta la fecha, el enfoque principal de los litigios de acción de clase de BIPA han sido los empleadores que utilizan lectores biométricos de huellas dactilares para fines de tiempo y asistencia. Más recientemente, sin embargo, ha aparecido un nuevo objetivo de BIPA en el radar de los abogados de los demandantes: empresas que utilizan el reconocimiento facial con fines de seguridad y vigilancia.
Por ejemplo, Lowe’s y Home Depot han sido objeto de demandas colectivas de BIPA derivadas del uso de tecnología de reconocimiento facial como parte de sus sistemas de vigilancia de prevención de pérdidas en la tienda.
No es sorprendente que Clearview AI haya sido nombrada en una serie de quejas de BIPA derivadas del desarrollo y venta de su base de datos de vigilancia. El minorista nacional Macy’s también fue nombrado en una demanda colectiva de BIPA derivada de su uso de la base de datos de Clearview AI, también con fines de vigilancia y seguridad.
Más recientemente, Kroger se encontró en el extremo receptor de una demanda colectiva de BIPA por su recopilación de datos de plantillas faciales de clientes y empleados mediante el uso de cámaras de vigilancia ubicadas en las ubicaciones de Illinois Mariano.
Consejos de cumplimiento
Debido al rápido aumento de la exposición a la responsabilidad asociada con el uso de la tecnología de reconocimiento facial, las empresas que utilicen esta tecnología o estén considerando hacerlo en el futuro, incluso si no están sujetas a ninguna regulación en este momento, no deben esperar hasta que se aprueben nuevas leyes. ; en su lugar, deberían tomar acción afirmativa ahora para implementar programas de cumplimiento flexibles y adaptables que puedan garantizar el cumplimiento continuo de la regulación de reconocimiento facial.
Afortunadamente, existen varios pasos procesables que las empresas pueden tomar para aprovechar de manera efectiva la tecnología de reconocimiento facial de una manera que satisfaga sus obligaciones legales. En particular, las empresas deben considerar lo siguiente:
• Pruebas de precisión y sesgo: debido a que el software de reconocimiento facial puede producir resultados que están sesgados de manera que dañen a grupos étnicos y raciales particulares, las pruebas previas al despliegue de la tecnología de reconocimiento facial deben completarse para garantizar su efectividad y precisión antes de que se utilice en la realidad. situaciones de tiempo.
• Política de privacidad: desarrolle una política de privacidad específica de reconocimiento facial detallada y disponible públicamente que incluya, como mínimo, un aviso claro de que se están recopilando datos de la plantilla facial, así como información adicional sobre los fines para los que se utilizan los datos de la plantilla facial y el cronograma y las pautas de la empresa para la retención y destrucción de estos datos.
• Aviso por escrito: proporcione un aviso por escrito, antes de que se recopilen los datos de la plantilla facial, que informe claramente a las personas que la empresa está recopilando, utilizando y / o almacenando datos de la plantilla facial; cómo se utilizarán y / o compartirán esos datos; y el tiempo durante el cual la empresa conservará los datos hasta que sean destruidos.
• Autorización por escrito: Obtenga un formulario de autorización / consentimiento firmado por escrito de todas las personas antes de que se recopilen los datos de la plantilla facial que permitan a la empresa recopilar / utilizar los datos biométricos de la persona y divulgarlos a terceros con fines comerciales.
• Exclusión voluntaria: permite a las personas excluirse voluntariamente de la recopilación de sus datos de plantilla facial.
• Seguridad de los datos: mantenga las medidas de seguridad de los datos para salvaguardar los datos de la plantilla facial que satisfagan el estándar de cuidado razonable aplicable a la industria determinada de la empresa y que proteja los datos de la plantilla facial de una manera que sea igual o más protectora que la forma en que la empresa protege otras formas de información personal sensible.
• Prohibiciones explícitas sobre el uso de tecnología con fines discriminatorios: Mantenga una política explícita que prohíba estrictamente el uso de tecnología de reconocimiento facial por parte de empleados, contratistas o proveedores para discriminar ilegalmente a individuos o grupos de individuos.
Conclusión
La tecnología de reconocimiento facial ha mejorado significativamente las operaciones de las empresas en todas las industrias en una miríada de formas diferentes, incluso con respecto a la prevención del fraude de identidad / seguridad; acceso y autenticación; y accesibilidad a cuentas y servicios.
Al mismo tiempo, esta tecnología se ha convertido en un objetivo cada vez más frecuente de demandas colectivas de privacidad biométrica, exponiendo a las empresas a una enorme responsabilidad legal potencial. En el futuro, el alcance de la exposición a la responsabilidad solo aumentará a medida que otros estados y Washington DC busquen imponer una mayor regulación sobre el uso de biometría facial.
En consecuencia, las empresas que incorporan tecnología de reconocimiento facial en sus operaciones con fines de seguridad / vigilancia o tienen la intención de hacerlo en el futuro, incluso aquellas ubicadas en jurisdicciones donde actualmente no existe una regulación aplicable, deben tomar medidas proactivas para desarrollar e implementar programas de cumplimiento biométrico de reconocimiento facial que abarcan los principios y prácticas descritos anteriormente.
Sobre el Autor
David Oberly es asociado de Blank Rome y concentra una gran parte de su práctica en la defensa de demandas colectivas de privacidad biométrica de alto riesgo y alta exposición presentadas bajo la Ley de Privacidad de Información Biométrica de Illinois (“BIPA”). Como líder de pensamiento importante en el espacio de privacidad biométrica, Oberly ha desarrollado una comprensión intrincada de las estrategias centrales en las que comúnmente confían los abogados de los demandantes para litigar acciones colectivas de BIPA, así como la gama de defensas que se pueden aplicar en las demandas de BIPA para derrotar o limitar las reclamaciones de la clase BIPA. Oberly y Jeffrey N. Rosenthal lideran el dedicado equipo de privacidad biométrica de Blank Rome .
Nota original por: Biometric Update
DESCARGO DE RESPONSABILIDAD: Las opiniones expresadas en esta publicación son las del autor y no reflejan necesariamente las opiniones de Biometric Update ni de ReconoSER ID
1 comment
Comments are closed.