No Senado dos Estados Unidos foi apresentado pelo Senador Blunt projeto de lei que regulamenta a utilização da tecnologia de reconhecimento facial, conhecida como Commercial Facial Recognition Privacy Act of 2019. O propósito de medida legislativa é evitar a adoção da tecnologia de reconhecimento facial para identificar ou rastrear determinados usuários sem o necessário consentimento dos respectivos usuários.

O consentimento expresso do usuário é a condição fundamental para a coleta e utilização de dados nas políticas de um determinado controlador, isto é, a empresa que define a finalidade e a utilização do processamento dos dados de reconhecimento facial.

O projeto de lei não é aplicável às hipóteses de utilização de tecnologia de reconhecimento facial pelo governo federal, estadual ou local, pelas autoridades agências responsáveis pelo cumprimento da legislação, pela agência de segurança nacional e pela agência de inteligência.

A medida legislativa regulamenta o dever de informar a presença de tecnologia de reconhecimento facial de modo a facilitar o seu reconhecimento pelos usuários. Outra conduta proibida é a utilização da tecnologia de reconhecimento facial para tratamento discriminatório contra o usuário, contrário à legislação federal ou estadual.

Também, há regra sobre o compartilhamento de dados de reconhecimento facial com terceiras partes. Há as hipóteses de permissão da utilização dos dados de reconhecimento facial sem o consentimento do usuário em casos de produtos ou serviços de vídeos, constantes de banco de dados, que não são utilizados para identificação pessoal, figuras públicas para fins de cobertura jornalística de interesse público, figuras públicas em obras de lançamento de peças teatrais submetidas a direitos autorais, situações de emergência que envolvam perigo iminente ou risco de morte ou de danos físicos.

Outra regra regulamenta a hipótese de destruição dos dados de reconhecimento facial ao final de sua utilização. O controlador ou processador dos dados deve empregar a revisão por seres humanos quando da tomada de decisões finais baseadas nos resultados da tecnologia de reconhecimento facial.

Além disso, prevê-se que a vedação da construção do escaneamento em massa de rostos, mediante a tecnologia de reconhecimento facial, em espaços aonde os usuários tenham razoável expectativa de proteção quanto à sua privacidade. A hipótese de violação à lei é qualificada como prática comercial desleal, submetendo-se às sanções legais. A regulamentação do projeto de lei ficará sob o encargo da Federal Trade Comission e do Nacional Institute of Standards and Technology, os quais definirão os padrões de segurança dos dados, as hipóteses de impossibilidade de obtenção de consentimento expresso pelos usuários, entre outros.

O projeto de lei ainda não se sobrepõe à eventual legislação dos estados. Também, o projeto de lei não modifica, limita ou se sobrepõe à legislação federal ou estadual em vigor sobre privacidade e segurança.