La regulación biométrica se intensifica y augura dolores de cabeza en materia de cumplimiento

Este año podría ser una gran ayuda para la legislación sobre privacidad biométrica. El tema se está calentando y se encuentra en la intersección de cuatro tendencias: el aumento de las amenazas basadas en la inteligencia artificial (IA), el creciente uso biométrico por parte de las empresas, la nueva legislación de privacidad anticipada a nivel estatal y una nueva orden ejecutiva emitida por el presidente Biden esta semana eso incluye protecciones de privacidad biométrica.

Pero el mayor escrutinio podría resultar contraproducente: estas regulaciones podrían crear conflictos y problemas complejos de gobernanza para las corporaciones que intentan cumplir con las nuevas restricciones, especialmente cuando se trata de un tramo de nuevas leyes estatales que están a punto de entrar en vigor. Esto significa que las empresas deben mantenerse actualizadas a medida que evoluciona este panorama legal.

Amy de La Lama, abogada de Bryan Cave Leighton Paisner, que rastrea las leyes estatales de privacidad — dice que las empresas deben tener más visión de futuro y anticipar y comprender los riesgos para construir la infraestructura adecuada para rastrear y utilizar contenido biométrico.

"Esto significa que deberían trabajar más estrechamente entre sus funciones comerciales y legales para comprender cómo utilizar la biometría en sus productos y servicios y comprender los requisitos legales", dice.

La regulación biométrica va por detrás de los esfuerzos estatales en materia de privacidad

Varios estados han promulgado leyes de privacidad de datos en los últimos dos años, incluidos Delaware, Indiana, Iowa, Montana, Nueva Jersey, Oregón, Tennessee y Texas. Esto se suma a las leyes de privacidad ya promulgadas en California, Colorado, Connecticut, Utah y Virginia.

Sin embargo, a pesar de esta creciente cobertura de protección de la privacidad, no todos los estados han hecho mucho para regular la biometría. Por ejemplo, las leyes de privacidad de Colorado no definen explícitamente los datos biométricos, pero tienen regulaciones sobre cómo se procesan.

Mientras tanto, cinco estados específicamente han aprobado regulaciones relacionadas con la biometría (Illinois, Maryland, Nueva York, Texas y Washington). Si bien eso suena como una tendencia, muchas de estas leyes son limitadas, como la ley de Nueva York que se centra únicamente en la prohibición de recolectar huellas dactilares de los empleados como condición para el empleo.

De los cinco estados existentes con estatutos relacionados con la biometría, Illinois Ley de privacidad de la información biométrica ha existido por más tiempo (desde 2008) y es el más completo y cubre cómo se recopilan, almacenan y utilizan los datos biométricos. Sin embargo, fue necesario hasta esta semana llegar a un acuerdo sobre los daños en el demanda interpuesta por un grupo de camioneros contra el ferrocarril BNSF hace varios años por el requisito de escanear sus huellas dactilares antes de ingresar a un patio ferroviario de Illinois.

Las cosas podrían estar cambiando: Nueva York está considerando al menos tres proyectos de ley este año que intentan ampliar las protecciones a controles biométricos más completos, y hay proyectos de ley en al menos 14 comités estatales también para una interpretación más amplia de las cuestiones biométricas.

Un mosaico confuso de requisitos de cumplimiento de datos

Las sutiles diferencias entre todas las leyes estatales pueden provocar conflictos de cumplimiento. Existen diferencias entre cómo se regulará la privacidad biométrica, así como las fechas generales de promulgación y los diferentes requisitos de presentación de informes.

"La biometría está claramente en el punto de mira", afirma David Stauss, destacado experto del bufete de abogados Husch Blackwell, que rastrea las leyes de privacidad en todo el país, “y está en la parte superior de la lista de preocupaciones sobre la gestión de datos confidenciales. Es increíblemente difícil para las empresas realizar un seguimiento de todos estos requisitos. Estas regulaciones son un objetivo en constante movimiento y similar a construir un barco mientras lo navegamos”.

Por ejemplo, las leyes de privacidad de Texas y Montana entrarán en vigor el 1 de julio, pero las leyes de Indiana no entrarán en vigor hasta el 1 de enero de 2026. Las leyes de California crean nuevos requisitos para la información personal confidencial y permiten a los consumidores limitar ciertos datos que pueden ser utilizado por las empresas. La ley de Virginia tiene una definición más restrictiva de datos biométricos y limita cómo pueden procesarse.

Además, cada estado tiene una combinación diferente de qué empresas deben informar, según la cantidad de ingresos que se generan en cada estado, la cantidad de consumidores afectados y si tienen fines de lucro o no.

Lo que todo esto significa es que será complicado para las empresas que hacen negocios a nivel nacional porque tendrán que auditar sus procedimientos de protección de datos y comprender cómo obtienen el consentimiento del consumidor o cómo permiten a los consumidores restringir el uso de dichos datos y asegurarse de que coincidan con las diferentes sutilezas. en los reglamentos. 

Contribuyendo a los problemas de cumplimiento: la orden ejecutiva establece objetivos elevados para varias agencias federales sobre cómo regular la información biométrica, pero podría haber confusión en términos de cómo las empresas interpretan estas regulaciones. Por ejemplo, ¿el uso de datos biométricos en un hospital está sujeto a las normas de la Administración de Alimentos y Medicamentos, los Servicios Humanos y de Salud, la Agencia de Seguridad de Infraestructura y Ciberseguridad o el Departamento de Justicia? Probablemente los cuatro.

Y eso es incluso antes considerando las implicaciones internacionales, porque Europa y otros lugares se están sumando a este loco tejido de reglas de privacidad.

El uso de la biometría se expande, a pesar de los problemas de confianza

Este complejo panorama legal está impulsado por el creciente uso de la biometría para proteger datos privados y comerciales, y las amenazas a la ciberseguridad que conlleva.

Los proveedores están haciendo un mejor trabajo al incorporar estas tecnologías en paquetes generales de desarrollo de software, como el anuncio del otoño pasado de que Amazon ampliará su software One de escaneo de la palma de la mano para permitir mejores controles de acceso empresarial.

Pero si bien las tecnologías de escaneo de huellas dactilares, rostro y palma existen desde hace años (la El FBI ha recopilado muchos millones de escaneos de palmas durante la última década.), Amazon está almacenando las huellas de sus palmas en la nube, lo que podría aumentar la probabilidad de filtraciones o posibles abusos, según Mark Hurst, director ejecutivo de Creative Good.

"Estos lectores de palma están destinados a normalizar el acto de entregar datos biométricos en cualquier lugar y en cualquier momento", dice Hurst. “¿Y qué sucede si los datos de la palma de la mano, como tantos otros sistemas de identificación, son pirateados? Buena suerte para encontrar una nueva palma”.

Mientras tanto, las suplantaciones de videos deepfake inducidas por IA por parte de delincuentes que abusan de datos biométricos, como escaneos faciales, van en aumento. A principios de este año, un ataque deepfake en Hong Kong Fue utilizado para robar más de 25 millones de dólares., y ciertamente hay otros que seguirán como La tecnología de inteligencia artificial es cada vez mejor y más fácil de usar para producir falsificaciones biométricas.

Las regulaciones contradictorias y los abusos criminales podrían explicar por qué la confianza del consumidor en la biometría ha caído en picada. 

Según la  Encuesta de tecnologías biométricas 2024 de GetApp De 1,000 consumidores, el número de personas que confían mucho en las empresas de tecnología para salvaguardar los datos biométricos ha caído del 28% en 2022 a solo el 5% en 2024. La compañía dice que la caída se debe al creciente número de filtraciones de datos y denuncias de robo de identidad. casos.

"Para mitigar los riesgos legales, de reputación y financieros, asegúrese de que los datos biométricos se capturen con el consentimiento y se almacenen de forma segura de conformidad con las normas de privacidad", afirma Zach Capers, analista senior de seguridad de GetApp. Pero podría ser más fácil decirlo que hacerlo, especialmente porque las futuras leyes biométricas ofrecen requisitos contradictorios.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches