Mejores Prácticas de Implementación del SAFR

Consideraciones de privacidad por diseño

La privacidad por diseño es el principio de cualquier producto o servicio basado en la privacidad.

El SAFR se ha diseñado con este enfoque y tiene herramientas específicas para proteger la privacidad, como controles de acceso, seguridad y administración de datos.

Cuando una organización adopta SAFR en sus proyectos, debe hacer uso total de estas herramientas para proteger la privacidad de sus usuarios (espectadores en un estadio, clientes en una tienda minorista que serán monitoreados por la plataforma, empleados de una fecha institución, visitantes de eventos , entre otros).

En otras palabras, recomendamos fuertemente la comunicación con sus usuarios sobre las prácticas de privacidad adoptadas en su proyecto.

Para este fin, el equipo del SAFR recomienda:

Aviso Prévio

  • Proporcione una notificación clara a los usuarios antes de que encuentren cámaras que recopilen datos biométricos.
  • Evite colocar cámaras en áreas sensibles, como por ejemplo, baños, vestuarios y consultorios médicos.
  • Divulgue cualquier práctica que vincule datos biométricos de los usuarios a la información de terceros o fuentes disponibles públicamente.
  • Proporcione un aviso claro si su organización utiliza datos biométricos para un propósito fuera de los usos razonablemente esperados.

Consentimiento

  • Obtenga consentimiento expreso y afirmativo antes de usar la imagen de un usuario o cualquier dato biométrico derivado de esa imagen.
  • El consentimiento debe ser siempre apropiado al contexto. Por ejemplo: en el caso de menores, el consentimiento debe ser proporcionado por los padres o responsables. Por favor, tenga en cuenta que las leyes locales pueden requerir pasos adicionales para obtener el consentimiento.
  • Si los datos biométricos reunidos para una determinada finalidad tienen que ser usados para una finalidad secundaria, presente al usuario una segunda oportunidad de proporcionar consentimiento expreso.
  • Asegúrese de que la solicitud de consentimiento para la recolección y el uso de datos biométricos sea fácil de encontrar y entender.
  • Asegúrese de que el usuario pueda revocar su consentimiento en cualquier momento..
  • Si su implementación incluye perfiles de usuario y un usuario elimina su cuenta / perfil, debe interpretar esto como una revocación de consentimiento.
  • No utilice el reconocimiento facial para identificar imágenes de un usuario a alguien que no tenga autorización, sin obtener el consentimiento expreso y afirmativo del usuario.
  • Proporcione al usuario la oportunidad de controlar el uso compartido de su imagen y / o datos biométricos con un tercer no afiliado que aún no tenga acceso a esa información.

Protección y seguridad de datos

  • Mantenga las protecciones administrativas, técnicas y físicas apropiadas.
  • Revise periódicamente las políticas de seguridad.
  • Tenga protecciones de seguridad de datos razonables para el acceso a equipos y servidores con el fin de impedir el acceso no autorizado o las revelaciones no intencionales.
  • Restrinja el acceso a un número limitado de administradores. No anote ni comparta logins / contraseñas.
  • Realice exámenes y auditorías de políticas de seguridad que también ayudar a descubrir accesos no autorizados e identificar problemas críticos que pueden haber sido descuidados.

Políticas de Retención de Datos

  • Establezca y mantenga prácticas de retención y descarte apropiadas para las imágenes y datos biométricos recogidos.
  • Incluya períodos de retención específicos considerando el período más corto necesario para alcanzar el uso previsto.
  • Elimine el descarte de imágenes cuando ya no sea necesario cuando se proporciona por el usuario para un propósito específico.
  • Si un usuario elimina su cuenta / perfil, o la imagen de un usuario y / o datos biométricos ya no son necesarios para el propósito de la tecnología, la imagen y / o datos deben ser excluidos, aunque el período de retención no haya expirado.

Proporcione información adicional relacionada con el uso

  • Informe al usuario el tiempo que usted almacenará imágenes y / o datos biométricos y quién tendrá acceso biométrico a esos contenidos.
  • Informe al usuario de sus derechos en relación con la exclusión de imágenes almacenadas o datos biométricos.
  • Proporcione políticas y divulgaciones a los usuarios de manera y localización razonablemente accesibles.
  • Actualice políticas y revelaciones cuando las decisiones de diseño técnico alteren sustancialmente las prácticas de administración de datos.
  • Establezca políticas que describen cómo se utilizará la tecnología y los usos razonablemente previsibles de imágenes o datos biométricos.
  • Establezca políticas que describen la funcionalidad y que permita la revisión, corrección o exclusión de imágenes y / o datos biométricos.
  • Proporcione una descripción de sus prácticas de retención y desidentificación de datos.
  • Proporcione un proceso para que los usuarios se pongan en contacto con usted en relación con el uso de imágenes y / o datos biométricos.