A regulamentação da biometria esquenta, prenunciando dores de cabeça de conformidade

Este ano pode ser uma bênção para a legislação de privacidade biométrica. O tema está a aquecer e situa-se na intersecção de quatro tendências: aumento das ameaças baseadas na inteligência artificial (IA), crescente utilização da biometria pelas empresas, nova legislação de privacidade prevista a nível estatal e uma nova ordem executiva emitida pelo presidente Biden esta semana que inclui proteções de privacidade biométricas.

Mas o aumento do escrutínio pode sair pela culatra: estes regulamentos podem criar conflitos e questões complexas de governação para as empresas que tentam cumprir as novas restrições, especialmente quando se trata de uma parcela de novas leis estatais que estão prestes a entrar em vigor. Isso significa que as empresas precisam se manter atualizadas à medida que esse cenário jurídico evolui.

Amy de La Lama - advogada de Bryan Cave Leighton Paisner, que rastreia as leis estaduais de privacidade — afirma que as empresas precisam de ser mais viradas para o futuro e antecipar e compreender os riscos, a fim de construir a infraestrutura adequada para rastrear e utilizar conteúdos biométricos.

“Isso significa que eles deveriam trabalhar mais estreitamente entre suas funções comerciais e jurídicas para entender como usar a biometria em seus produtos e serviços e para compreender os requisitos legais”, diz ela.

A regulamentação da biometria fica atrasada nos esforços de privacidade do estado

Vários estados promulgaram leis de privacidade de dados nos últimos dois anos, incluindo Delaware, Indiana, Iowa, Montana, Nova Jersey, Oregon, Tennessee e Texas. Isto se soma às leis de privacidade já promulgadas na Califórnia, Colorado, Connecticut, Utah e Virgínia.

No entanto, apesar deste envelope crescente de protecção da privacidade, nem todos os estados fizeram muito no sentido de regulamentar a biometria. Por exemplo, as leis de privacidade do Colorado não definem explicitamente os dados biométricos, mas têm regulamentos sobre como eles são processados.

Enquanto isso, cinco estados especificamente aprovaram regulamentações relacionadas à biometria (Illinois, Maryland, Nova York, Texas e Washington). Embora isso pareça uma tendência, muitas destas leis são limitadas, como a lei de Nova Iorque que se concentra exclusivamente nas proibições de recolha de impressões digitais de funcionários como condição para emprego.

Dos cinco estados existentes com estatutos relacionados à biometria, Illinois' Lei de Privacidade de Informações Biométricas existe há mais tempo – desde 2008 – e é o mais abrangente, cobrindo como os dados biométricos são coletados, armazenados e usados. No entanto, demorou até esta semana para chegar a um acordo sobre os danos no ação movida por um grupo de caminhoneiros contra a ferrovia BNSF há vários anos, devido à exigência de escanear suas impressões digitais antes de entrar em um pátio ferroviário de Illinois.

As coisas podem estar mudando: Nova York está considerando pelo menos três projetos de lei este ano que tentam expandir as proteções para controles biométricos mais abrangentes, e há projetos de lei em pelo menos 14 comitês de outros estados também para uma interpretação mais ampla das questões biométricas.

Uma colcha de retalhos confusa de requisitos de conformidade de dados

As diferenças sutis entre todas as leis estaduais podem causar conflitos de conformidade. Existem diferenças entre a forma como a privacidade biométrica será regulamentada, bem como as datas gerais de promulgação e os diferentes requisitos de relatórios.

“A biometria está claramente na mira neste momento”, diz David Stauss, um dos principais especialistas do escritório de advocacia Husch Blackwell, que rastreia leis de privacidade em todo o país, “e está no topo da lista de questões de gerenciamento de dados confidenciais. É incrivelmente difícil para as empresas acompanhar todos esses requisitos. Esses regulamentos são um alvo em constante movimento e são semelhantes à construção de um navio enquanto o navegamos.”

Por exemplo, as leis de privacidade do Texas e Montana entram em vigor em 1º de julho, mas as leis de Indiana não entrarão em vigor até 1º de janeiro de 2026. As leis da Califórnia criam novos requisitos para informações pessoais confidenciais e permitem que os consumidores limitem certos dados que podem ser usado pelas empresas. A lei da Virgínia tem uma definição mais restritiva de dados biométricos e limita a forma como eles podem ser processados.

Além disso, cada estado tem uma combinação diferente de informações que as empresas devem reportar, com base na quantidade de receitas geradas em cada estado, no número de consumidores afetados e se têm ou não fins lucrativos.

O que tudo isto significa é que será complicado para as empresas que fazem negócios a nível nacional, porque terão de auditar os seus procedimentos de protecção de dados e compreender como obtêm o consentimento do consumidor ou permitir que os consumidores restrinjam a utilização de tais dados e certificar-se de que correspondem às diferentes subtilezas. nos regulamentos. 

Contribuindo para as dores de cabeça de conformidade: A ordem executiva estabelece metas elevadas para várias agências federais sobre como regular as informações biométricas, mas pode haver confusão em termos de como essas regulamentações são interpretadas pelas empresas. Por exemplo, o uso de biometria por um hospital se enquadra nas regras da Food and Drug Administration, da Health and Human Services, da Cybersecurity and Infrastructure Security Agency ou do Departamento de Justiça? Provavelmente todos os quatro.

E isso é antes mesmo considerando as implicações internacionais, porque a Europa e outros lugares estão a contribuir para esta colcha de retalhos de regras de privacidade.

O uso da biometria se expande, apesar dos problemas de confiança

Este cenário jurídico complexo é impulsionado pelo uso crescente da biometria para proteger dados privados e empresariais — e pelas ameaças à segurança cibernética que a acompanham.

Os fornecedores estão fazendo um trabalho melhor ao incorporar essas tecnologias em pacotes gerais de desenvolvimento de software, como o anúncio no outono passado de que Amazon expandirá seu software One de digitalização de palma para permitir melhores controles de acesso corporativo.

Mas embora as tecnologias de leitura de impressões digitais, rosto e palma da mão já existam há anos (o O FBI coletou muitos milhões de digitalizações de palma na última década), a Amazon está armazenando suas impressões palmares na nuvem, o que pode aumentar a probabilidade de vazamentos ou possíveis abusos, de acordo com Mark Hurst, CEO da Creative Good.

“Esses leitores de palma têm como objetivo normalizar o ato de fornecer seus dados biométricos em qualquer lugar, a qualquer hora”, diz Hurst. “E o que acontece se os dados do Palm – como tantos outros sistemas de identificação – forem hackeados? Boa sorte em encontrar uma nova palma.”

Enquanto isso, as imitações de vídeos falsos induzidos por IA por criminosos que abusam de dados biométricos, como varreduras faciais, estão aumentando. No início deste ano, um ataque deepfake em Hong Kong foi usado para roubar mais de US$ 25 milhões, e certamente há outros que seguirão como A tecnologia de IA fica melhor e mais fácil de usar para produzir falsificações biométricas.

As regulamentações conflitantes e os abusos criminais poderiam explicar por que a confiança do consumidor na biometria despencou. 

De acordo com o Pesquisa de tecnologias biométricas de 2024 da GetApp de 1,000 consumidores, o número de indivíduos que confiam fortemente nas empresas de tecnologia para proteger os dados biométricos caiu de 28% em 2022 para apenas 5% em 2024. A empresa afirma que a queda se deve ao número crescente de violações de dados e relatos de roubo de identidade casos.

“Para mitigar riscos legais, de reputação e financeiros, garanta que os dados biométricos sejam capturados com consentimento e armazenados de forma segura em conformidade com as regulamentações de privacidade”, afirma Zach Capers, analista sênior de segurança da GetApp. Mas pode ser mais fácil falar do que fazer, especialmente porque as futuras leis biométricas oferecem requisitos conflitantes.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches