El acuerdo de la FTC con Rite Aid: lecciones para una implementación segura de herramientas de IA

En un acontecimiento crucial el 19 de diciembre de 2023, la Comisión Federal de Comercio (FTC) resolvió una demanda contra la cadena de supermercados Rite Aid, revelando información clave para las empresas que operan en el complejo ámbito de la biometría y la inteligencia artificial (IA). El acuerdo, derivado de presuntas infracciones de la Sección 5 relacionadas con el uso de biometría facial por parte de Rite Aid, subraya los mayores riesgos y el escrutinio que rodean la comercialización de tecnologías avanzadas.

La intervención de la FTC subraya la urgente necesidad de que las empresas reevalúen sus estrategias en el uso de herramientas biométricas y de IA. Las consecuencias del acuerdo con Rite Aid ofrecen un modelo para gestionar el panorama cambiante de la supervisión regulatoria, en particular en lo que respecta a los riesgos asociados con los falsos positivos y el daño potencial a los consumidores, especialmente a los clientes pertenecientes a minorías.

perspectiva histórica

Rite Aid, una importante cadena de farmacias, se vio envuelta en un proceso legal luego de que la FTC expresara su preocupación por el uso de la biometría facial paradenty disuadir a personas con presuntas intenciones delictivas. La FTC alegó que el método de Rite Aid, basado en alertas activadas por el sistema biométrico, carecía de las debidas garantías, lo que generaba falsos positivos y representaba un mayor riesgo para los clientes pertenecientes a minorías.

La Comisión también invocó una reclamación separada en virtud de la Sección 5, señalando el incumplimiento por parte de Rite Aid de una orden de 2010, que exigía diligencia en la selección de proveedores de servicios, la obtención de garantíastracy el mantenimiento de un programa de seguridad de la información por escrito.

Especificaciones de asentamiento

Para resolver el asunto, Rite Aid aceptó una Orden Estipulada que imponía requisitos y restricciones estrictas:

Prohibición del uso de datos biométricos faciales: Rite Aid se enfrenta a una prohibición de cinco años para el uso de cualquier tipo de datos biométricos faciales.

Programa de monitoreo del sistema biométrico: la empresa debe establecer un programa integral que abarque evaluaciones de riesgos previas al despliegue, evaluaciones continuas y medidas de protección contradentpara el consumidor.

Eliminación de datos y algoritmos: Rite Aid debe eliminar todos los datos derivados del uso indebido de la biometría facial y notificar a terceros para que hagan lo mismo.

Programa de seguridad de la información: además del programa de monitoreo del sistema biométrico, Rite Aid debe implementar un programa de seguridad de la información más amplio, validado mediantedent de terceros.

Evaluación e implicaciones clave

El caso de Rite Aid sirve como advertencia para las empresas que utilizan o planean utilizar herramientas biométricas o de IA. Ofrece información valiosa sobre las áreas prioritarias de la FTC, sentando las bases para un enfoque proactivo que mitigue los riesgos legales. El acuerdo subraya el compromiso de la Comisión con el escrutinio de la biometría y la IA, señalando la necesidad de que las organizaciones destinen recursos a medidas de cumplimiento y programas de gobernanza.

Las principales conclusiones de la acción legal contra Rite Aid incluyen la importancia de realizar evaluaciones de riesgo exhaustivas, implementar programas de monitoreo sólidos y abordar las preocupaciones específicas planteadas por la FTC. Aldenty abordar estos problemas de manera proactiva, las empresas pueden desenvolverse en el cambiante panorama legal en torno a la biometría y las tecnologías de IA.

Próximos pasos: consejos prácticos sobre el cumplimiento normativo para la implementación de herramientas de IA

El caso de Rite Aid no solo pone de relieve los errores que se deben evitar, sino que también ofrece una guía para las empresas que buscan mejorar sus programas de cumplimiento normativo. Algunos consejos prácticos son:

Programa de monitoreo de sistemas biométricos: siga el modelo de la FTC, que incorpora evaluaciones de riesgos, evaluaciones continuas y controles personalizados paradent.

Mecanismos de notificación: Implementar mecanismos de notificación claros y transparentes, tanto individualizados como generales, para informar a los titulares de los datos sobre los sistemas biométricos y las posibles acciones adversas.

Retención/Destrucción de datos: Establecer y cumplir un calendario de retención de datos biométricos, garantizando la eliminación permanente de la información confidencial.

Mecanismo de quejas del consumidor: Crear vías para que los consumidores presenten quejas relacionadas con los resultados del sistema biométrico, fomentando un proceso eficaz de investigación y resolución.

Programa de seguridad de la información: más allá de la biometría, implemente un programa integral de seguridad de la información, validado periódicamente mediante evaluaciones de terceros.

Mientras las empresas se enfrentan al panorama cambiante de la regulación de la biometría y la IA, el acuerdo de Rite Aid ofrece un modelo para el cumplimiento proactivo. La pregunta ahora es: ¿cómo se adaptarán las empresas a estas lecciones y qué medidas adicionales tomarán para garantizar el despliegue responsable de tecnologías avanzadas ante el creciente escrutinio regulatorio?