Identificatori e dati biometrici e modifiche alla legge sulla Privacy del Colorado

a cura di Raffaella Aghemo

L’avvento dell’Intelligenzaartificiale crea non pochi problemi e rischi lato #privacy, soprattutto l’eventuale utilizzo di dati ed identificatori biometrici. Negli Stati Uniti, esattamente nello Stato del Colorado, il 31 maggio scorso, è stata firmata la legge Colorado House Bill 24–1130 (HB 1130), che modifica il Colorado Privacy Act (CPA) per imporre nuovi requisiti ai titolari del trattamento che trattano dati biometrici, creando nuovi obblighi per le entità già soggette al CPA, ed ampliandone l’applicazione per includere entità e tipologie di dati che la legge in precedenza non regolava.

I requisiti più importanti sono:

- obbligo di adottare una politica scritta che stabilisca:

1. un programma di conservazione per identificatori e dati biometrici, con requisiti di conservazione diversi da quelli previsti dal BIPA;

2. un protocollo per rispondere a qualsiasi incidente che possa compromettere la sicurezza dei dati biometrici e degli identificatori (inclusa la notifica della violazione come richiesto dalla legge esistente sulla notifica della violazione dei dati); e

3. linee guida per la cancellazione di dati biometrici e identificatori. Nell’ambito di tali linee guida, il titolare del trattamento deve condurre una revisione annuale per determinare se eventuali dati biometrici o identificatori sono pronti per la cancellazione.

- fornire un’informativa sulla privacy ragionevolmente accessibile, chiara e significativa che soddisfi determinati requisiti di contenuto;

- soddisfare determinati diritti dei consumatori rispetto ai loro dati biometrici e identificatori;

- astenersi dal vendere, noleggiare o scambiare identificatori biometrici o altrimenti divulgare identificatori biometrici a terzi senza il consenso del consumatore, fatte salve alcune eccezioni; e

- garantire che siano utilizzate misure di sicurezza adeguate durante l’archiviazione e la trasmissione dei dati biometrici.

L’HB 1130 va anche oltre, e seguendo la filosofia statunitense del business sopra ogni cosa, vieta ai titolari del trattamento di acquistare identificatori biometrici a meno che non paghino il consumatore e ottengano il consenso e purché l’acquisto non sia correlato alla fornitura di un prodotto o servizio al consumatore.

Sebbene il CPA poi escluda l’utilizzo di tali forme di dati in contesti lavorativi, l’HB 1130 ne ventila l’applicabilità: consente ai datori di lavoro di richiedere ai dipendenti o ai potenziali dipendenti di acconsentire alla raccolta e al trattamento degli identificatori biometrici come condizione di impiego, ma solo in determinate circostanze: per

a) consentire l’accesso a luoghi sicuri;

b) registrare l’inizio e la conclusione della giornata lavorativa del dipendente;

c) migliorare o monitorare la sicurezza e la protezione sul posto di lavoro; e

d) migliorare o monitorare la sicurezza o l’incolumità del pubblico in caso di emergenza.

e) e/o “per usi in linea con le ragionevoli aspettative di” un dipendente in base alla descrizione del lavoro e al ruolo.

È importante sottolineare che la legge afferma specificamente che l’occupazione non può essere condizionata al consenso all’uso di dati biometrici per tracciare la posizione del dipendente o la quantità di tempo in cui un dipendente utilizza un’applicazione hardware o software.

Le modifiche, oggetto dell’HB 1130, entreranno in vigore il 1° luglio 2025.

Qui trovate il testo del HB 1130: https://leg.colorado.gov/sites/default/files/2024a_1130_signed.pdf

Riproduzione Riservata

Avv. Raffaella Aghemo