Il Regolamento sui dati biometrici dell'Illinois (BIPA) rispetto all'AI Act dell'UE e ad altre leggi federali e statali degli Stati Uniti che regolano l'uso dei dati biometrici.
La regolamentazione dei dati biometrici è diventata sempre più critica con il continuo progresso dell'intelligenza artificiale (AI) e delle tecnologie biometriche. Gli Stati Uniti e l'Unione Europea (UE) hanno sviluppato quadri normativi per disciplinare la raccolta e l'uso dei dati biometrici, con approcci diversi, in particolare per quanto riguarda l'elaborazione in tempo reale o meno di tali dati, l'applicabilità e i mezzi di applicazione.
1.Ambito e applicabilità
Legge sulla privacy delle informazioni biometriche dell'Illinois (BIPA):
Ambito di applicazione: Nel 2008, l'Illinois è stato il primo Stato a emanare una legge sulla privacy dei dati biometrici. Il BIPA regola specificamente la raccolta, l'archiviazione e la gestione degli identificatori biometrici, tra cui le impronte digitali, i dati di riconoscimento facciale, le scansioni della retina e altro ancora. In particolare, il BIPA non distingue tra l'elaborazione in tempo reale e non in tempo reale dei dati biometrici. Sia che i dati biometrici vengano acquisiti e utilizzati immediatamente (in tempo reale), sia che vengano archiviati per un uso successivo (non in tempo reale), si applicano gli stessi rigorosi requisiti. Le aziende devono ottenere il consenso informato per iscritto, spiegare lo scopo della raccolta dei dati e dettagliare le politiche di conservazione e distruzione.
Applicabilità: Il BIPA si applica alle entità private che raccolgono o gestiscono i dati biometrici dei residenti dell'Illinois, indipendentemente dalla sede dell'azienda. L'applicazione extraterritoriale della legge significa che anche le aziende al di fuori dell'Illinois o degli Stati Uniti potrebbero essere soggette al BIPA se utilizzano i dati biometrici dei residenti dell'Illinois. Esistono eccezioni per gli enti governativi, le istituzioni finanziarie e le scuole pubbliche, che sono disciplinate da altri regolamenti.
Esenzioni e altre leggi applicabili: I severi requisiti del BIPA si applicano esclusivamente agli enti privati ed escludono gli enti pubblici, le istituzioni finanziarie e le scuole pubbliche. Questi settori sono regolati da altre leggi specifiche o non sono coperti dal BIPA. Ad esempio:
- Enti pubblici: Sebbene il BIPA non disciplini le entità pubbliche, ai dati biometrici si applica il Quarto Emendamento, che protegge da perquisizioni e sequestri irragionevoli. Inoltre, l'Ordine Esecutivo del Presidente Biden sull'IA, emesso nel 2023, svolge un ruolo fondamentale nel definire l'approccio degli Stati Uniti alla governance dell'IA, compresa la regolamentazione dei dati biometrici. L'Ordine esecutivo enfatizza i principi di protezione della privacy, i diritti civili e l'attenuazione dei pregiudizi nei sistemi di IA. Chiede lo sviluppo di standard e quadri che garantiscano un uso responsabile dell'IA sia nel settore pubblico che in quello privato. L'attuazione di questo Ordine Esecutivo ha portato le agenzie federali, come il National Institute of Standards and Technology (NIST), a creare linee guida che integrano il BIPA e altre leggi statali. Queste linee guida promuovono l'equità, la responsabilità e la trasparenza nei sistemi di IA, influenzando il modo in cui i dati biometrici vengono gestiti, indipendentemente dal momento in cui vengono elaborati.
- Istituzioni finanziarie: Queste sono spesso regolate dal Gramm-Leach-Bliley Act (GLBA), che impone la protezione dei dati personali, compresi quelli potenzialmente biometrici, nel settore finanziario.
- Altre leggi statunitensi: A livello federale, non esiste una legislazione completa equivalente al BIPA. Tuttavia, le leggi specifiche del settore, come l'Health Insurance Portability and Accountability Act (HIPAA), possono essere applicate se i dati biometrici vengono utilizzati in ambito sanitario. Inoltre, l'emergente American Data Privacy Protection Act (ADPPA) potrebbe introdurre regole più generalizzate sulla privacy dei dati in vari settori.
Quali altri Stati americani hanno attualmente leggi sulla privacy biometrica?
- Anche il Texas e Washington hanno leggi sulla privacy biometrica di ampio respiro, ma nessuno dei due crea un diritto di azione privato come il BIPA. Inoltre, la California, il Colorado, il Connecticut, lo Utah, il Rhode Island, il Vermont - anche se recentemente il governatore ha posto il veto - e la Virginia hanno approvato leggi complete sulla privacy dei consumatori che, una volta in vigore, regoleranno espressamente il trattamento delle informazioni biometriche. Inoltre, un numero ancora maggiore di Stati ha emanato leggi sulla notifica delle violazioni dei dati che includono esplicitamente i dati biometrici nel loro campo di applicazione.
- Anche diversi comuni, come New York City e Portland, Ore, hanno approvato misure di privacy biometrica su misura. La legge sulla privacy delle informazioni biometriche della città di New York, applicabile ad alcuni esercizi commerciali, prevede un diritto di azione privato.
- Mentre altri Stati continuano a introdurre leggi simili alla BIPA, gli assicuratori hanno iniziato a escludere espressamente la copertura della responsabilità civile biometrica dalle loro polizze, aumentando ulteriormente i rischi posti dalla non conformità alle leggi sulla privacy biometrica.
Legge UE sull'Intelligenza Artificiale (AI) a confronto
Ambito di applicazione: La Legge UE sull'AI regolamenta i sistemi di AI, in particolare quelli classificati come “ad alto rischio”, compresi i sistemi di dati biometrici come il riconoscimento facciale. La Legge distingue tra l'identificazione biometrica in tempo reale, come il riconoscimento facciale dal vivo negli spazi pubblici, e l'elaborazione non in tempo reale, imponendo controlli più severi sulla prima a causa del suo impatto immediato sulla privacy individuale e sulle libertà civili.
Applicabilità: La Legge sull'AI si applica ai fornitori, agli utenti e ai distributori di sistemi di AI all'interno dell'UE, così come a quelli al di fuori dell'UE se i loro sistemi interessano persone all'interno dell'UE. Questo regolamento si estende sia alle applicazioni governative che a quelle del settore privato, con regole distinte a seconda del contesto di utilizzo.
2. Requisiti di consenso e trasparenza:
BIPA:
Consenso: Il BIPA richiede un consenso scritto esplicito e informato prima di raccogliere o utilizzare i dati biometrici. Le persone devono essere informate dello scopo e della durata dell'utilizzo dei dati. Questo requisito è lo stesso indipendentemente dal fatto che i dati biometrici siano raccolti in tempo reale o non in tempo reale.
Trasparenza: Le aziende devono rendere pubbliche le loro politiche di conservazione e distruzione dei dati. I dati biometrici devono essere distrutti una volta raggiunto lo scopo iniziale o entro tre anni dall'ultima interazione con la persona.
EU AI Act:
Consenso: L'AI Act non prevede un requisito di consenso specifico per i dati biometrici, basandosi invece sul quadro di consenso del GDPR. Tuttavia, per i sistemi di IA “ad alto rischio”, compresi quelli che elaborano dati biometrici, sono previsti ulteriori requisiti di trasparenza, responsabilità e gestione del rischio, soprattutto per i sistemi in tempo reale.
Trasparenza: I sistemi di intelligenza artificiale ad alto rischio devono essere trasparenti nel loro funzionamento. Per i sistemi biometrici in tempo reale, come il riconoscimento facciale in pubblico, misure rigorose assicurano che gli utenti comprendano come e perché i loro dati vengono elaborati.
3. Requisiti di protezione e sicurezza dei dati
BIPA:
Protezione dei dati: Sebbene il BIPA non prescriva misure tecniche specifiche, richiede che i dati biometrici siano salvaguardati in linea con gli standard del settore. Ciò include l'elaborazione dei dati in tempo reale e non.
Requisiti di sicurezza: Sebbene il BIPA non sia esplicito sui protocolli di sicurezza, la legge 13 implica la necessità di una solida protezione contro gli accessi non autorizzati. Le aziende devono implementare salvaguardie ragionevoli che siano in linea con le pratiche del settore.
EU AI Act:
Protezione dei dati: L'AI Act richiede standard elevati per la qualità, l'accuratezza e la sicurezza dei dati, in particolare per i sistemi ad alto rischio. Ciò include requisiti rigorosi per i sistemi biometrici in tempo reale, che sono soggetti a test e documentazione completi.
Requisiti di sicurezza: I sistemi di intelligenza artificiale ad alto rischio, in particolare quelli che gestiscono i dati biometrici, devono essere sottoposti a test rigorosi e includere meccanismi di supervisione umana per evitare abusi.
Autocertificazione: Le aziende possono scegliere di autocertificarsi per aderire agli standard di sicurezza internazionali, come l'ISO 27001. La bozza finale di uno standard internazionale per governare l'Intelligenza Artificiale - Qualità dei dati per l'analisi e l'apprendimento automatico (ML) Parte 2: Misure di qualità dei dati. (ISO/IEC FDIS 5259-2) è attualmente in fase di approvazione e dovrebbe essere resa disponibile nel prossimo futuro.
4. Rischi di non conformità
BIPA: La mancata conformità al BIPA può comportare gravi sanzioni finanziarie. Gli individui hanno il diritto di citare in giudizio le organizzazioni per le violazioni, con danni legali di 1.000 dollari per violazione per le violazioni colpose e di 5.000 dollari per le violazioni intenzionali. Diverse azioni legali collettive di spicco che rivendicano violazioni della BIBA hanno già stabilito un precedente legale e dimostrano i rischi legati alla non conformità:
In primo luogo, nel 2019, la Corte Suprema dell'Illinois, nella causa Rosenbach contro Six Flags Enterteinment Corp., ha stabilito che un querelante può essere considerato una “persona danneggiata” ai sensi dello statuto e “avere diritto alla liquidazione dei danni e a un provvedimento ingiuntivo”, senza che sia stata dichiarata una lesione effettiva. Poi, nel maggio 2020, la Corte d'Appello degli Stati Uniti per il Settimo Circuito nella causa Bryant contro Compass Group USA, Inc. ha chiarito che una persona di questo tipo ha subito una lesione di fatto sufficiente a sostenere la posizione di legittimazione ai sensi della Sezione 15(b) del BIPA.
nel 2020, la causa collettiva BIPA di Facebook Patel v. Facebook Inc. ha raggiunto una conclusione quando Facebook ha accettato un accordo da 650 milioni di dollari, uno dei più grandi accordi sulla privacy dei consumatori nella storia degli Stati Uniti, per risolvere le accuse di aver raccolto dati biometrici degli utenti senza consenso.
Nell'ottobre 2022 è stato emesso il primo verdetto della giuria in una causa collettiva BIPA, Rogers contro BNSF Railway Company. Sebbene l'azienda difensore abbia annunciato l'intenzione di appellarsi alla decisione della Corte Distrettuale per il Distretto Nord dell'Illinois, il successo dei querelanti a livello processuale potrebbe incoraggiare i singoli a perseguire le proprie rivendicazioni BIPA.
nel febbraio 2023, la Corte Suprema dell'Illinois ha stabilito nella causa Cathron v. White- Castle Systems, Inc. che un reclamo separato matura ai sensi del BIPA ogni volta che un'entità privata scansiona o trasmette l'identificatore biometrico o le informazioni di una persona in violazione della legge. Il tribunale ha anche osservato che i danni del BIPA sono discrezionali e non obbligatori. All'inizio dello stesso mese, il tribunale ha stabilito in Tims v. Black Horse Carriers, Inc. che un periodo di prescrizione di cinque anni si applica a tutti i reclami derivanti dal BIPA.
Legge AI dell'UE: L'AI Act impone multe salate per la non conformità, con sanzioni fino a 30 milioni di euro o al 6% del fatturato globale, a seconda di quale sia il valore più alto, per le violazioni gravi come l'uso non autorizzato di sistemi AI ad alto rischio. Le multe più basse si applicano alle violazioni meno gravi. La legge è entrata in vigore il 1° agosto 2024 e le prime disposizioni diventeranno obbligatorie per le aziende a partire da febbraio 2025. Ulteriori importanti regolamenti seguiranno nei mesi successivi, fino a quando l'intera legge, ad eccezione di alcuni sistemi AI ad alto rischio, sarà applicabile
5. Applicazione e contenzioso::
Applicazione del BIPA: l'applicazione del BIPA avviene principalmente tramite contenzioso privato, che è stato uno dei principali fattori di conformità. Il potenziale di azioni legali collettive crea un incentivo significativo per le aziende a rispettare la legge.
Applicazione della Legge AI dell'UE: La Legge sull'AI sarà applicata dalle autorità nazionali degli Stati membri dell'UE, mentre la Commissione Europea supervisionerà la conformità transfrontaliera attraverso l'Ufficio AI. L'AI Act attualmente non prevede un diritto di azione privata, a differenza del BIPA, ma le disposizioni del GDPR potrebbero consentire alcune richieste di risarcimento private relative a violazioni della privacy. Le azioni legali di classe per i cittadini dell'UE sono attualmente disciplinate dalla legge degli Stati membri dell'UE e variano. Tuttavia, il Parlamento europeo e il Consiglio hanno già introdotto una Direttiva sulla Responsabilità nell'ambito della Legge sull'Intelligenza Artificiale, con l'obiettivo di armonizzare le norme sulla responsabilità civile extracontrattuale per l'Intelligenza Artificiale, che non influisce sui rimedi esistenti per le richieste di risarcimento private.
6. Conclusione
Il panorama normativo per i dati biometrici negli Stati Uniti e nell'Unione Europea riflette approcci diversi all'AI e alla privacy dei dati. Il BIPA fornisce una forte protezione dei consumatori senza distinguere tra l'elaborazione dei dati in tempo reale e quella non in tempo reale, basandosi molto sul contenzioso privato per l'applicazione. L'AI Act dell'UE, invece, impone controlli più severi sui sistemi biometrici in tempo reale, a causa del loro impatto immediato sulla privacy, e l'applicazione avviene principalmente attraverso gli enti normativi. L'Ordine esecutivo di Biden sull'IA rafforza questi sforzi, promuovendo una governance completa dell'IA che protegge i dati biometrici in tutti i contesti. Insieme, queste leggi e normative rappresentano un quadro solido per gestire i rischi e le sfide associate ai dati biometrici in un mondo sempre più guidato dall'AI.
Confronto delle leggi statali sulla privacy biometrica
Caratteristica | Illinois (740 ILCS 14) | Texas (Tex. Bus. & Com. Code Ann. § 503.001) | Washington (Wash. Rev. Code § 19.375.010 et seq.) |
---|---|---|---|
Ambito di applicazione della legge | No, la legge non è limitata a scopi commerciali. | Sì, la legge è limitata a scopi commerciali che possono includere scopi di sicurezza. | Sì, la legge è limitata a scopi commerciali che non includono scopi di sicurezza. |
Requisiti di notifica e consenso | Sia la notifica che il consenso devono essere scritti. La notifica deve includere: (1) il fatto che vengono raccolte o conservate identificazioni biometriche o informazioni biometriche e (2) lo scopo specifico e la durata per cui vengono raccolte, conservate e utilizzate. | La notifica deve precedere la raccolta dell'identificazione biometrica. | La notifica esatta e il tipo di consenso richiesti dipendono dal contesto. La notifica deve essere "fornita tramite una procedura progettata in modo ragionevolmente accessibile agli individui interessati". Un nuovo uso o divulgazione richiede un nuovo consenso. |
Requisiti di conservazione | La conservazione è consentita fino a quando "lo scopo iniziale per la raccolta o l'ottenimento di tali identificatori o informazioni è stato soddisfatto o entro tre anni dall'ultima interazione dell'individuo con l'entità privata a seconda di quale si verifica prima". Il programma di conservazione deve essere pubblicato. | Nessun requisito specifico di conservazione è dettagliato. | Non sono specificati requisiti di conservazione, ma si applica il principio generale della conservazione ragionevole dei dati. |
Diritto privato di azione | Sì | No | No |
Danni autorizzati | Violazioni negligenti: il maggiore tra $1,000 o danni effettivi. Violazioni intenzionali o negligenti: il maggiore tra $5,000 o danni effettivi. Sono previste anche le spese legali. | Massimo di $25,000 per violazione. | Massimo di $500,000 per violazione. |
Vendita di identificatori biometrici | No | Sì, in circostanze specifiche. | Sì, in circostanze specifiche. |
Divulgazione di identificatori biometrici | Sì, in circostanze specifiche. | Sì, in circostanze specifiche. | Sì, in circostanze specifiche. |
Altri articoli
Le ultime notizie su protezione dei dati, GDPR, legislazione sull'IA e altro