A Comissão Federal de Comércio (“FTC”) emitiu uma declaração de política considera as tecnologias biométricas como um sinal para futuras ações de fiscalização: Afirma: “À luz da evolução das tecnologias e dos riscos para os consumidores, a Comissão determina…” . . Exemplos de práticas examinadas para determinar se as empresas que coletam e usam informações biométricas ou comercializam ou usam tecnologia de informações biométricas cumprem a Seção 5 da Lei FTC [unfair or deceptive acts or practices].”
As empresas que não “puniram” a onda em massa de ações judiciais coletivas relacionadas à privacidade biométrica ou às leis específicas de biometria em Illinois, Texas e Washington precisam tomar cuidado. Mesmo para empresas que possuem políticas de privacidade biométricas, a FTC declarou especificamente: “cumprir essas políticas”. [state or city biometric] leis . . . não necessariamente impedirá o processo pela Comissão sob o estatuto da FTC ou qualquer outra lei.”
Que tipo de informação a declaração de política da FTC cobre?
A Declaração de Política define “informações biométricas” como:
Dados que representam ou descrevem características físicas, biológicas ou comportamentais, características ou medidas do corpo de um indivíduo identificado ou identificável. Informações biométricas incluem, mas não estão limitadas a, representações, imagens, descrições ou gravações das características faciais de um indivíduo, íris ou retina, impressões digitais ou impressões palmares, voz, genética ou movimentos ou gestos característicos (por exemplo, marcha ou padrão de digitação) . As informações biométricas também incluem dados derivados de tais representações, imagens, descrições ou gravações na medida em que seja razoavelmente possível identificar o indivíduo de cujas informações os dados foram derivados. Por exemplo, uma fotografia do rosto de uma pessoa e um modelo de reconhecimento facial, incorporação, impressão facial ou outras dimensões ou características de codificação de dados do rosto retratado na fotografia constituem informações biométricas.
O que as empresas devem fazer de acordo com a declaração de política da FTC?
- Implemente medidas de privacidade e segurança de dados para garantir que qualquer informação biométrica coletada ou armazenada seja protegida contra acesso não autorizado.
- Antes de implantar a tecnologia de informação biométrica, realize uma “avaliação holística” dos riscos potenciais do consumidor associados à coleta e/ou uso de informações biométricas do consumidor.
- Aborde prontamente os riscos conhecidos ou previsíveis (e. Se a tecnologia biométrica for propensa a certos tipos de erros ou vieses, as organizações devem tomar medidas para reduzir esses erros ou vieses.
- Divulgar a coleta e uso de informações biométricas aos consumidores de forma clara, visível e completa;
- ter um mecanismo para receber e tratar reclamações e disputas de consumidores relacionadas ao uso de tecnologia de informação biométrica;
- Avalie as práticas e capacidades dos provedores de serviços e outros terceiros que tenham acesso às informações biométricas dos consumidores ou que sejam contratados para operar tecnologia biométrica ou processar dados biométricos. Os requisitos contratuais podem não ser suficientes; Auditorias periódicas estratégicas devem ser consideradas. Como afirma a FTC, “as empresas devem obter representações relevantes e acordos contratuais que exijam que terceiros tomem medidas apropriadas para mitigar os riscos aos consumidores”. medidas (incluindo tomar medidas para garantir o acesso às informações necessárias) para monitorar, monitorar ou auditar a conformidade de terceiros com quaisquer requisitos”;
- fornecer treinamento adequado a funcionários e contratados cujas funções envolvam interação com informações biométricas ou tecnologia biométrica; E
- Realizar “monitoramento contínuo” das tecnologias biométricas usadas “para garantir que as tecnologias estejam funcionando conforme o esperado, que os usuários da tecnologia as estejam usando como pretendido e que é improvável que o uso da tecnologia prejudique os consumidores”.
Como esses requisitos diferem da Lei de Privacidade de Informações Biométricas de Illinois?
A FTC procurará empresas que prepararam uma “avaliação holística” dos riscos potenciais para os consumidores relacionados à coleta e/ou uso de informações biométricas do consumidor antes de implantar tecnologia de informação biométrica e realizar “monitoramento contínuo” das tecnologias usadas. Estes não são requisitos estabelecidos no Illinois BIPA ou em qualquer outra lei biométrica estadual ou local.
Embora as leis biométricas e gerais de proteção ao consumidor existentes exijam medidas adequadas de segurança de dados, a declaração de política da FTC sugere que as empresas também devem oferecer programas de treinamento no uso da tecnologia biométrica.
A FTC tomou medidas de fiscalização contra as tecnologias biométricas?
Sim. Em 2021, a FTC resolveu seu processo contra um desenvolvedor de aplicativo de fotos, alegando que o desenvolvedor enganou os consumidores sobre o uso de tecnologia de reconhecimento facial e fotos e vídeos armazenados ilegalmente de usuários que desativaram suas contas. O acordo alcançado incluiu 20 anos de monitoramento de conformidade. A FTC também acusou uma empresa de mídia social de oito violações de privacidade, incluindo alegações de enganar os consumidores sobre uma ferramenta de marcação de fotos que supostamente usava reconhecimento facial. Este assunto foi resolvido em 2019 por US $ 5 bilhões.
[View source.]