Många organisationer använder AI-system för att komplettera sin kamerabevakning med tilläggsfunktioner. En sådan funktion kan vara att kartlägga hur personer rör sig i ett utrymme, till exempel på en tågstation, i ett shoppingcenter eller i en butik.
För att möjliggöra denna typ av analys använder AI-system ofta uppgifter om personers kroppsform, gång eller hållning. Detta gör det möjligt för systemen att följa individers rörelser. Frågan blir då om dessa uppgifter ska klassas som biometriska uppgifter enligt AI-förordningen.
Begreppet biometriska uppgifter definieras i artikel 3.34 AI-förordningen. Enligt denna definition är biometriska uppgifter personuppgifter som erhållits genom särskild teknisk behandling som rör en fysisk persons fysiska, fysiologiska eller beteendemässiga kännetecken, såsom ansiktsbilder eller fingeravtrycksuppgifter.
Innebörden av begreppet biometriska uppgifter förtydligas i skäl 14 till AI-förordningen. Enligt skälet bör begreppet tolkas mot bakgrund av begreppet biometriska uppgifter enligt definitionen i dataskyddsförordningen (GDPR), en definition som liknar den i AI-förordningen (jmf. artikel 4.4 GDPR). Vidare förtydligas i skälet att biometriska uppgifter kan ge möjlighet till autentisering, identifiering och kategorisering av fysiska personer och igenkänning av fysiska personers känslor.
Svaret på frågan om en persons kroppsform, gång eller hållning utgör biometriska uppgifter framgår av skäl 15 till AI-förordningen. Av skälet framgår att en persons kroppsform, gång eller hållning utgör biometriska uppgifter som kan användas för biometrisk identifiering. Att dessa uppgifter utgör biometriska uppgifter i AI-förordningens mening framgår även av EU-kommissionens riktlinjer om AI-förordningens förbjudna AI-användningsområden.
En verksamhet som använder ett AI-system för att analysera personers rörelser baserat på deras kroppsform, gång eller hållning riskerar således att behandla biometriska uppgifter enligt AI-förordningen. Denna slutsats är relevant för alla verksamheter som använder AI-baserade lösningar för att komplettera sin kamerabevakning eller på annat sätt använder AI-system för analysera personers rörelser, oavsett om de är offentliga eller privata verksamheter. I förekommande fall finns en risk för att verksamheten kan omfattas av AI-förordningens förbud mot vissa typer av AI-användning. Även om förbudet inte är tillämpligt kan verksamheten fortfarande omfattas av AI-förordningens skyldigheter för AI-system med hög risk.
Enligt Sebastian Berg, jurist och fysiker på TechLaw, är många verksamheter inte medvetna om att de använder AI-system som baseras på biometri för att analysera personers rörelser. Enligt honom kan detta medföra risker för verksamhetens regelefterlevnad, inte bara när det gäller AI-förordningen utan även avseende GDPR. Dessutom kan omedveten och därmed otransparent användning av sådan teknik medföra andra typer av risker, exempelvis ryktesförlust och minskat kundförtroende.