Descripción General de la Normativa sobre el Procesamiento de Datos Biométricos
El uso del Sistema de Inicio de Sesión Visual (VLS) de Netradyne puede constituir el procesamiento de datos biométricos en algunas jurisdicciones. El contenido de esta página proporciona una descripción general limitada de los requisitos reglamentarios asociados con los datos biométricos.
Nota: El contenido de esta sección no debe interpretarse como asesoramiento legal ni como un sustituto del asesoramiento legal. Si bien Netradyne intenta proporcionar información relevante y actualizada sobre los requisitos reglamentarios que se aplican al procesamiento de datos biométricos, no afirma que la información proporcionada aquí sea exhaustiva, actual o adecuada. De manera similar, Netradyne no afirma que el formulario de consentimiento de muestra o la Política de Información Biométrica proporcionada por Netradyne sean suficientes para cumplir con todos los requisitos legales y reglamentarios aplicables en su jurisdicción. Es imperativo buscar asesoramiento legal definitivo y verificar la aplicabilidad de diferentes leyes en su región antes de habilitar la función VLS.
Requisitos de EE.UU. para el VLS
Última Actualización: 07/2023
En los Estados Unidos, Texas, Illinois y Washington son actualmente los únicos estados con leyes de privacidad biométrica específicas. Sin embargo, muchos estados han ampliado sus leyes integrales de privacidad, imponiendo restricciones a la recopilación, el uso, la retención y el intercambio de información biométrica. La ciudad de Portland también ha aprobado una ordenanza que prohíbe ciertos usos de las tecnologías de reconocimiento facial. Si elige habilitar el Sistema de Inicio de Sesión Visual (VLS), esas leyes podrían aplicarse a su uso del VLS.
A continuación se presenta un resumen de las leyes de privacidad biométrica existentes y propuestas en algunos estados. La ley en esta área está cambiando rápidamente y la información proporcionada no pretende sustituir el asesoramiento legal. Si tiene alguna pregunta, por favor comuníquese con privacy@netradyne.com.
Legislación Vigente: Resumen de los Requisitos Clave
Illinois
(740 ILCS 14/) Ley de privacidad de la información biométrica
La ley exige a las entidades en posesión de identificadores biométricos o información biométrica que cumplan determinados requisitos-.
- Proporcionar un aviso a las personas cuya información biométrica se recopilará, informándoles sobre los propósitos específicos y la duración durante la cual se recopilará, almacenará o utilizará la información biométrica.
- Obtener una autorización por escrito de las personas para proceder con la recopilación o divulgación de la información biométrica.
- Poner a disposición del público una política escrita que establezca el calendario de conservación y las directrices para destruir permanentemente la información biométrica.
Texas
Código de Comercio y Empresa de Texas, art. 503.001.
La entidad que captura un identificador biométrico de un individuo con un propósito comercial está obligada a:
- Notificar al individuo antes de capturar el identificador biométrico y obtener el consentimiento del individuo para capturar el identificador biométrico.
- Proteger los datos de la divulgación utilizando medidas razonables.
- Destruir los identificadores biométricos dentro de un plazo razonable, pero no más tarde del primer aniversario de la fecha en que expira el propósito para el que se recopiló la información biométrica.
Washington
Código Revisado de Washington § 19.375.010 y siguientes.
- Una persona no puede inscribir un identificador biométrico en una base de datos con un propósito comercial, sin antes dar aviso, obtener el consentimiento o proporcionar un mecanismo para evitar el uso posterior de un identificador biométrico con un propósito comercial.
Ciudad de Portland
Código de la Ciudad de Portland, Título 34 - Justicia Digital, Capítulos 34.10.010-34.10-050
- La ordenanza prohíbe a una Entidad Privada utilizar tecnologías de Reconocimiento Facial en Lugares de Alojamiento Público dentro de los límites de la ciudad de Portland.
Legislación Propuesta - Resumen de los Principales Requisitos
Arizona
Proyecto de Ley 1238 del Senado de Arizona, 2023
- Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
- Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
- La información biométrica debe destruirse en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad, lo que ocurra primero: (1) cuando se haya cumplido el propósito para el que se recopiló la información; o (2) en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad.
Connecticut
Proyecto de Ley 730del Senado de Connecticut, 2023
- Cualquier entidad que utilice tecnología de reconocimiento facial para identificar a clientes e invitados en un espacio público debe publicar una divulgación clara de dicho uso.
Hawái
Proyecto de Ley 1085 de la Cámara de Representantes de Hawái, 2023
- Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
- Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
- La información biométrica debe destruirse en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad, lo que ocurra primero: (1) cuando se haya cumplido el propósito para el que se recopiló la información; o (2) en el plazo de 3 años desde la última interacción de la persona en cuestión con la entidad.
Maryland
Proyecto de Ley HB 33 / SB 169 33 de la Cámara de Representantes
- Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
- Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
- La información biométrica debe destruirse cuando ocurra lo primero de lo siguiente: (1) cuando se cumpla el propósito para el cual se recopiló la información; o (2) dentro de los 3 años siguientes a la última interacción de la persona en cuestión con la entidad; o (3) dentro de los 30 días siguientes a la recepción de una solicitud para eliminar los datos de una persona.
- La ley entraría en vigor el 1 de octubre de 2023
Massachusetts
Proyecto de Ley 195 del Senado de Massachusetts, 2023
- Las entidades privadas deben desarrollar una política pública por escrito que establezca el calendario de conservación y las directrices de destrucción de la información biométrica.
- Las entidades privadas deben obtener el consentimiento informado por escrito de las personas antes de recoger su información biométrica.
- La información biométrica debe destruirse en la primera de las siguientes situaciones: (1) cuando se cumpla el propósito para el que se recopiló dicha información o (2) dentro de 1 año a partir de la última interacción del individuo en cuestión con la entidad.
Se han propuesto proyectos de ley similares en Minnesota, Misuri, Montana, Nevada, Nueva Jersey, Pensilvania y Tennessee.
La recopilación y el uso de información biométrica está amparada por leyes de privacidad integrales de los estados, incluidos California, Colorado, Virginia, Connecticut, y Utah. Las leyes de privacidad de estos estados regulan la información biométrica como una forma deinformación “sensible”.
La mayoría de las leyes y proyectos de ley hacen hincapié en los siguientes requisitos clave:
- Notificar y obtener el consentimiento de las personas.
- Elaborar una política escrita que establezca un calendario de conservación y directrices para la destrucción de datos biométricos.
Requisitos RU/UE para VLS - Resumen de requisitos clave
Última Actualización: 07/2023
El uso de VLS en la UE está regulado principalmente por las disposiciones del Reglamento General de Protección de Datos de la UE (RGPD).
- El RGPD trata los “datos biométricos” como una categoría especial de datos personales y, por lo tanto, requiere la debida consideración de los principios de legalidad, necesidad, proporcionalidad y minimización de datos.
- Los responsables del tratamiento deben evaluar en primer lugar el impacto sobre los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su propósito legítimo del tratamiento.
- El uso de la funcionalidad de reconocimientobiométrico por parte de entidades privadas para sus propios fines (por ejemplo, marketing, estadísticos o incluso de seguridad) requerirá, en la mayoría de los casos, el consentimiento explícito de todos los interesados (Artículo 9 (2) (a) del RGPD), sin embargo, también podría aplicarse otra excepción adecuada en el Artículo 9.
- El uso de VLS en algunos países de la UE también podría requerir la evaluación de las leyes específicas de videovigilancia o las leyes laborales de ese país. En estos países de la UE, para las empresas que tienen un Comité de Empresa, el uso de VLS puede estar sujeto a la aprobación previa del Comité de Empresa.
- Debe realizarse una Evaluación del Impacto de la Protección de Datos (EIPD) para evaluar el impacto en los derechos y libertades de los conductores. El alcance de la evaluación debe incluir el VLS.
- Netradyne recomienda notificar a los conductores sobre los fines del tratamiento de sus datos personales. Es recomendable que, además de proporcionar un aviso de privacidad detallado, se utilicen pegatinas de privacidad en el interior de los vehículos para notificar a los conductores sobre el tratamiento de sus datos personales (incluidos los datos biométricos, según corresponda).
- Netradyne recomienda obtener el consentimiento informado de todos los conductores antes de activar el VLS en el Reino Unido/UE.
Si tiene alguna pregunta, por favor contacte privacy@netradyne.com.
Requisitos canadienses para VLS - Resumen de los Principales Requisitos de la Legislación Canadiense en Materia de Privacidad
Última Actualización: 07/2023
- Al igual que con el RGPD de la UE, las leyes de privacidad canadienses consideran que la información biométrica es información personal sensible. Por lo tanto, las entidades que deseen procesar dichos datos generalmente deben obtener un consentimiento informado y explícito para hacerlo.
- Se debe realizar una Evaluación del Impacto sobre la Privacidad (PIA) para evaluar el impacto sobre la privacidad de las personas. Las leyes canadienses sobre privacidad exigen que la recopilación y el uso de información personal se limiten a lo que sea razonable y necesario en las circunstancias.
- Se debe prestar la debida consideración a los principios de minimización de datos, limitación de la retención, derechos de los interesados, transparencia y seguridad de los datos.
- Quebec tiene requisitos más estrictos en materia de tratamiento de datos biométricos. La creación de una base de datos de características o medidas biométricas debe comunicarse a la Comisión de acceso a la información (CAI) a más tardar 60 días antes de su puesta en funcionamiento.
Si tiene alguna pregunta, por favor contacte privacy@netradyne.com.