Problema 3514

A Rite Aid se le prohibirá usar tecnología de reconocimiento facial con fines de vigilancia durante cinco años para resolver los cargos de la Comisión Federal de Comercio de que el minorista no implementó procedimientos razonables y evitó daños a los consumidores en el uso de tecnología de reconocimiento facial en cientos de tiendas.

"El uso imprudente de los sistemas de vigilancia facial por parte de Rite Aid dejó a sus clientes frente a humillaciones y otros daños, y las violaciones de sus órdenes ponen en riesgo la información confidencial de los consumidores", dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC. "La innovadora orden de hoy deja en claro que la Comisión estará atenta para proteger al público de la vigilancia biométrica injusta y de prácticas injustas de seguridad de datos”.

La orden propuesta requerirá que Rite Aid implemente salvaguardias integrales para evitar este tipo de daños a los consumidores al implementar sistemas automatizados que utilizan información biométrica para rastrearlos o marcarlos como riesgos de seguridad. También exigirá que Rite Aid deje de utilizar dicha tecnología si no puede controlar los riesgos potenciales para los consumidores. Para resolver los cargos, violó una [orden de seguridad de datos de la Comisión de 2010](https://www.ftc.gov/news-events/news/press-releases/2010/07/rite-aid-settles-ftc-charges-it- (no protegió-la-privacidad-médica-financiera-clientes-empleados) al no supervisar adecuadamente a sus proveedores de servicios, Rite Aid también deberá implementar un sólido programa de seguridad de la información, que debe ser supervisado por los altos ejecutivos de la empresa.

En una queja presentada en un tribunal federal**,** la FTC dice que de 2012 a 2020, Rite Aid implementó tecnología de reconocimiento facial basada en inteligencia artificial para identificar a los clientes que puedan haber estado involucrados en robos u otros comportamientos problemáticos. Sin embargo, la demanda acusa a la compañía de no tomar medidas razonables para evitar daños a los consumidores, quienes, como resultado, fueron acusados erróneamente por los empleados de haber actuado mal porque la tecnología de reconocimiento facial señaló falsamente que los consumidores coincidían con alguien que previamente había sido identificado como un ladrón u otro alborotador.

Prevenir el uso indebido de la información biométrica es una alta prioridad para la FTC, [que emitió una advertencia a principios de este año](https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc- advierte-sobre-usos-indebidos-de-la-información-biométrica-daño-a-los-consumidores) que la agencia estaría monitoreando de cerca este sector. Según la denuncia, las acciones de Rite Aid sometieron a los consumidores a vergüenza, acoso y otros daños. La empresa no informó a los consumidores que estaba utilizando la tecnología en sus tiendas y se disuadió a los empleados de revelar dicha información. Los empleados, basándose en alertas de falsos positivos, siguieron a los consumidores por sus tiendas, los registraron, les ordenaron que se fueran, llamaron a la policía para confrontar o sacar a los consumidores y los acusaron públicamente, a veces frente a amigos o familiares, de hurto u otras irregularidades. según la denuncia. Además, la FTC dice que las acciones de Rite Aid impactaron de manera desproporcionada a las personas de color.

Según la denuncia, Rite Aid contrató a dos empresas para ayudar a crear una base de datos de imágenes de personas, consideradas “personas de interés” porque Rite Aid creía que participaban o intentaban participar en actividades delictivas en una de sus tiendas minoristas. junto con sus nombres y otra información, como antecedentes penales. La empresa recopiló decenas de miles de imágenes de personas, muchas de las cuales eran de baja calidad y procedían de las cámaras de seguridad de Rite Aid, de las cámaras de los teléfonos de los empleados e incluso de noticias, según la denuncia.

El sistema generó miles de coincidencias falsas positivas, dice la FTC. Por ejemplo, la tecnología a veces relacionaba a los clientes con personas que originalmente habían sido inscritas en la base de datos basándose en su actividad a miles de kilómetros de distancia, o señalaba a la misma persona en docenas de tiendas diferentes en todo Estados Unidos, según la denuncia. Específicamente, la denuncia dice que Rite Aid no hizo lo siguiente:

• Considerar y mitigar los riesgos potenciales para los consumidores al identificarlos erróneamente, incluidos riesgos elevados para ciertos consumidores debido a su raza o género. Por ejemplo, la tecnología de reconocimiento facial de Rite Aid tenía más probabilidades de generar falsos positivos en tiendas ubicadas en comunidades plurales de negros y asiáticos que en comunidades de pluralidad blanca;
• Probar, evaluar, medir, documentar o preguntar sobre la precisión de su tecnología de reconocimiento facial antes de implementarla, incluso no buscar información de ninguno de los proveedores que utilizó para proporcionar la tecnología de reconocimiento facial sobre hasta qué punto se había probado la tecnología. Para precisión;
• Evitar el uso de imágenes de baja calidad en relación con su tecnología de reconocimiento facial, aumentando la probabilidad de alertas de coincidencias falsas positivas;
• Supervisar o probar periódicamente la precisión de la tecnología después de su implementación, incluso al no implementar o hacer cumplir cualquier procedimiento para rastrear la tasa de coincidencias de falsos positivos o acciones que se tomaron en base a esas coincidencias de falsos positivos; y
• Capacitar adecuadamente a los empleados encargados de operar la tecnología de reconocimiento facial en sus tiendas y advertir que la tecnología podría generar falsos positivos. Incluso después de que Rite Aid cambiara a una tecnología que permitía a los empleados informar una "mala coincidencia" y requería que la usaran, la empresa no tomó medidas para garantizar que los empleados siguieran esta política.

En su denuncia, la FTC también dice que Rite Aid violó su orden de seguridad de datos de 2010 con la Comisión al no implementar adecuadamente un programa integral de seguridad de la información. Entre otras cosas, la orden de 2010 exigía que Rite Aid garantizara que sus proveedores de servicios externos tuvieran salvaguardas adecuadas para proteger los datos personales de los consumidores. Por ejemplo, la denuncia alega que la empresa realizó muchas evaluaciones de seguridad de los proveedores de servicios de forma oral y que no obtuvo ni poseyó documentación de respaldo de dichas evaluaciones, incluso para los proveedores de servicios que Rite Aid consideró de “alto riesgo”.

Además de la prohibición y las salvaguardias requeridas para los sistemas de vigilancia o seguridad biométrica automatizada, otras disposiciones de la orden propuesta prohíben a Rite Aid tergiversar sus prácticas de privacidad y seguridad de datos y también exigen que la empresa:

• Eliminar y ordenar a terceros que eliminen cualquier imagen o fotografía que hayan recopilado gracias al sistema de reconocimiento facial de Rite Aid, así como cualquier algoritmo u otro producto que se haya desarrollado utilizando esas imágenes y fotografías;
• Notificar a los consumidores cuando su información biométrica esté registrada en una base de datos utilizada en conexión con un sistema de vigilancia o seguridad biométrica y cuando Rite Aid tome algún tipo de acción contra ellos basándose en un resultado generado por dicho sistema;
• Investigar y responder por escrito a las quejas de los consumidores sobre las acciones tomadas contra los consumidores relacionadas con un sistema automatizado de vigilancia o seguridad biométrica;
• Proporcionar avisos claros y visibles a los consumidores sobre el uso de reconocimiento facial u otra tecnología de vigilancia biométrica en sus tiendas;
• Eliminar cualquier información biométrica que recopile dentro de cinco años;
• Implementar un programa de seguridad de datos para proteger y asegurar la información personal que recopila, almacena y comparte con sus proveedores;
• Obtener evaluaciones de terceros independientes de su programa de seguridad de la información; y
• Proporcionar a la Comisión una certificación anual de su director ejecutivo que documente el cumplimiento de Rite Aid con las disposiciones de la orden.

La Comisión votó 3-0 para autorizar al personal a presentar la queja y la orden estipulada propuesta contra Rite Aid. Comisionado Álvaro Bedoya emitió comunicado.

La denuncia y la orden se presentaron en el Distrito Este de Pensilvania. Rite Aid se encuentra actualmente en un proceso de quiebra y la orden entrará en vigor después de la aprobación del tribunal de quiebras y del tribunal de distrito federal, así como de la modificación de la orden de 2010 por parte de la Comisión.

Los abogados principales en estos asuntos son Robin Wetherill, Leah Frazier, Diana Chang, Christopher Erickson y Brian Welke en la Oficina de Protección al Consumidor de la FTC.