Poco a poco, las empresas tecnológicas se están diversificando y entrando en mercados nuevos y emergentes, incluidos los servicios financieros. Y, si los departamentos jurídicos no se involucran desde el principio, esto podría crear fácilmente algunos dolores de cabeza regulatorios. ¿Podría una nueva ley de derechos de autor de la UE ser el presagio de una ola de demandas?
En enero, en el caso Rosenbach contra Six Flags Entertainment, el Tribunal Supremo de Illinois sostuvo que una violación de la Ley de Privacidad de la Información Biométrica (BIPA) del estado, es suficiente para conferir legitimación incluso sin pruebas concretas de daño.
La socia Julie O'Neill y el asociado Max Phillip Zidel de Morrison & Foerster informó sobre el caso, señalando que la decisión del tribunal "indica que el incumplimiento de la ley de privacidad biométrica de Illinois puede exponer a las empresas a una responsabilidad significativa, incluso cuando no ha habido ningún daño real a los demandantes".
Entonces, la pregunta es... ¿Cómo pueden las empresas recopilar y utilizar datos biométricos sin convertirse en objetivo de litigios?
¿Qué tipo de empresas deben conocer la legislación sobre datos biométricos?
Toda empresa que se dedique a la recopilación y/o uso de datos biométricos debe estar plenamente familiarizada con las leyes de privacidad biométrica. Algunos ejemplos de datos biométricos son, entre otros, los siguientes:
-
huellas dactilares;
-
huellas de voz;
-
escaneos faciales, y;
-
escáneres de iris y retina
Puede haber otros identificadores biológicos, según la tecnología disponible en ese momento. Independientemente de que estos datos procedan de consumidores, empleados u otros individuos, es vital que las empresas sean plenamente conscientes de la legislación vigente en materia de privacidad biométrica.
Aunque la BIPA existe desde hace más de una década, ha tenido un perfil relativamente bajo hasta el año pasado, cuando se presentó un número importante de demandas. La ley BIPA prohíbe a cualquier organización recopilar, comprar u obtener de alguna manera la información biométrica de un individuo, a menos que cumpla con ciertos requisitos de notificación, consentimiento explícito y retención de datos.
Codificada como 740 ILCS/14 y Ley Pública 095-994, la BIPA se convirtió en ley en 20018. En aquel momento, se consideraba en general que el uso de tecnologías de reconocimiento facial o de huellas dactilares con fines de identificación era en gran medida el dominio de organizaciones como los organismos encargados de hacer cumplir la ley y aquellos con una necesidad legítima de aumentar los niveles de seguridad. Sin embargo, en muchas empresas, tanto pequeñas como grandes, en un amplio espectro de industrias, estas tecnologías de identificación están en uso, principalmente para la identificación de los empleados.
¿Por qué es tan importante la BIPA en el mundo de la biometría?
Una de las características más significativas de la BIPA es su derecho de acción privada. Al igual que otras leyes de privacidad de datos, prevé daños y perjuicios reales. Pero también prevé hasta $5.000 en daños y perjuicios legales por cada violación.
Esto facilita mucho la vida a los abogados de los demandantes que quieren presentar una demanda colectiva. Esto ha dado lugar al ya gran número de demandas colectivas de la BIPA durante los últimos dos años, y esta tendencia no muestra signos de desaceleración. No es de extrañar que, de la misma manera que la Ley de Privacidad del Consumidor de California (CCPA) se ha visto influenciada por el Reglamento General de Protección de Datos (GDPR) de Europa, otros estados de Estados Unidos estén considerando su propia legislación sobre datos biométricos, basada en el modelo de la BIPA.
Ejemplo de caso
Según el Blog de demandas colectivas de Seyfarth Work"Desde 2014, los demandados, operadores de un parque de atracciones en Illinois, han utilizado un proceso de toma de huellas dactilares al emitir pases de entrada repetida al parque". Id. en *2. La demandante alegó que este sistema escanea las huellas dactilares de los titulares de los pases; recoge, registra y almacena los identificadores biométricos y la información obtenida de las huellas dactilares; y luego almacena esos datos con el fin de verificar rápidamente las identidades de los clientes en las visitas posteriores haciendo que los clientes escaneen sus huellas dactilares para entrar en el parque temático. Además, alegó que en 2014, mientras el sistema de huellas dactilares estaba en funcionamiento, su hijo de 14 años visitó el parque de atracciones en una excursión escolar, donde se utilizó su huella dactilar para acceder como titular de un pase de temporada.
"El demandante presentó una demanda de tres cargos alegando que los demandados violaron la BIPA al (1) recopilar, capturar, almacenar u obtener identificadores biométricos e información biométrica del hijo de la demandante y de otros miembros de la clase propuesta sin informarles a ellos o a sus representantes legalmente autorizados por escrito de que la información estaba siendo recopilada o almacenada; (2) no informarles por escrito de los fines específicos para los que los demandados estaban recopilando la información o durante cuánto tiempo la conservarían y utilizarían; y (3) no obtener una autorización por escrito ejecutada por la demandante, su hijo o los miembros de la clase antes de recopilar la información". Id. en *6.
"Los demandados solicitaron la desestimación de la demanda, argumentando, entre otras cosas, que el demandante no había sufrido ningún perjuicio real o amenaza de perjuicio y que, por lo tanto, carecía de capacidad para demandar. Id. en *6-7. El Tribunal de Circuito concedió la moción de los demandados de desestimar el cargo III, pero denegó su moción en cuanto a los cargos I y II. Posteriormente, los demandados solicitaron la revisión interlocutoria de la sentencia del Tribunal de Circuito, que el Tribunal de Apelación de Illinois concedió.
"El 21 de diciembre de 2017, el Tribunal de Apelación de Illinois para el Segundo Distrito se convirtió en el primero en abordar la cuestión de si un demandante puede recuperar por violaciones técnicas de la BIPA, incluso si la demanda no alega que el demandante sufrió ningún daño, pérdida o lesión. Sostuvo que un demandante no es "agraviado" en el sentido de la Ley y no puede solicitar una indemnización por daños y perjuicios o una medida cautelar en virtud de la Ley basándose únicamente en la violación de la ley por parte del demandado. Debe alegarse un perjuicio o efecto adverso adicional. El Tribunal de Apelación sostuvo que no es necesario que el perjuicio o el efecto adverso sea pecuniario, pero debe ser algo más que una violación técnica de la Ley. A partir de entonces, el demandante solicitó al Tribunal Supremo de Illinois autorización para apelar, que le fue concedida".
El Tribunal Supremo de Illinois dictaminó que una supuesta violación de la BIPA es suficiente para la legitimación activa según la ley de Illinois. ¿Podría ser esto relevante para su empresa?
La sentencia del Tribunal Supremo de Illinois parece contradecir otras decisiones tomadas por el tribunal federal, que consideró que la mera alegación de una infracción es insuficiente para conferir la capacidad de demandar en virtud de la ley. Ciertamente, al tratarse de una sentencia basada estrictamente en la ley del estado de Illinois, el Tribunal Supremo de Illinois tiene mucho peso.
Sin embargo, se desconoce en este momento si los tribunales federales intentarán apartarse de esta sentencia calificándola de cuestión puramente procesal, sobre la que mantienen su propia jurisdicción. Además, hasta ahora, el enfoque en las cuestiones de procedimiento ha significado que esencialmente no hay ninguna orientación sobre lo que significan realmente las diversas prohibiciones y requisitos de la BIPA.
Por ejemplo, la BIPA prohíbe el uso de información biométrica con fines de lucro. Pero el propio uso de la palabra "beneficio" plantea un par de preguntas importantes: ¿Qué significa realmente el término "beneficio"? Y, ¿qué pasa si los datos biométricos se utilizan simplemente para mejorar un producto, lo que, al hacerlo, conduce indirectamente a un aumento de los beneficios para la empresa en cuestión? Por lo tanto, evaluar con precisión los riesgos de responsabilidad en virtud de la BIPA puede ser más complicado de lo que podría parecer en un principio.
Pero se mire como se mire, la sentencia del Tribunal Supremo de Illinois es un fuerte indicador de que vamos a ver mucha más actividad en este ámbito. Más que nunca, las organizaciones tendrán que estar muy seguras de que cumplen con las diversas notificaciones, el consentimiento, la divulgación y todos los demás requisitos en virtud de la BIPA si quieren evitar multas punitivas y daños a la reputación, si son declaradas responsables.
Sin un requisito explícito de legitimación, va a ser mucho más fácil que los demandantes presenten con éxito demandas colectivas, sobre la base de las violaciones más básicas de la ley, incluso en ausencia de cualquier daño real.
¿Qué pasos debe dar una empresa si planea recoger datos biométricos de sus empleados?
-
En primer lugar, una empresa debe determinar si alguna de las leyes estatales se aplica a sus intenciones de recopilar datos biométricos.
-
Si se aplica una ley, la empresa debe determinar con precisión cómo debe cumplir los requisitos pertinentes de notificación, consentimiento, uso, divulgación y conservación. Los requisitos son bastante similares en las tres leyes (Illinois, Washington y Texas), pero hay algunas diferencias clave. Por ejemplo, aunque las tres exigen la notificación y el consentimiento para la recogida y el uso de datos biométricos, la BIPA es mucho más restrictiva que sus dos homólogas.
-
La BIPA exige que se notifique debidamente y se obtenga el consentimiento explícito de cada empleado por escrito. Dicha notificación debe incluir las razones específicas y la duración prevista para la recogida y el uso de los datos. (Washington y Texas no prescriben ninguna forma específica de notificación y consentimiento). La BIPA también exige que una empresa desarrolle una política escrita disponible públicamente, que incluya un calendario de conservación y directrices para la eliminación permanente de los datos biométricos.
-
Las empresas también deben considerar cuidadosamente cualquier restricción en su capacidad para revelar los datos. En general, los tres estados prohíben la divulgación de datos, salvo en circunstancias en las que el empleado haya dado su consentimiento por escrito, o cuando la divulgación esté comprendida en una excepción específica, como el cumplimiento de la ley, u otros requisitos legales, o para completar una transacción financiera solicitada por el empleado. Sin embargo, a diferencia de Texas y Washington, la BIPA también prohíbe la venta o divulgación de datos biométricos con fines de lucro, independientemente de que el empleado haya dado o no su consentimiento.
Tenga en cuenta que estos son sólo algunos de los aspectos más destacados de los requisitos de las leyes. El factor importante para cualquier empresa que planee recoger datos biométricos, es que debe considerar cuidadosamente la(s) ley(es) aplicable(s) para determinar si necesita hacer cambios en sus prácticas.
¿Qué pasa con el GDPR?
El GDPR de la Unión Europea trata los datos biométricos como un tipo de "datos sensibles". Esto significa que los datos están sujetos a una mayor protección. En general, el RGPD prohíbe la recogida de datos sensibles a menos que una empresa pueda acogerse a una de las excepciones previstas en el RGPD. Por ejemplo, podría ser posible recoger datos biométricos con el consentimiento explícito de la persona. Sin embargo, en el contexto laboral, el consentimiento puede no representar una opción válida, ya que las autoridades europeas de protección de datos suelen considerar que un empleado, en virtud de su posición y del poder del empleador sobre ellos, no puede dar su consentimiento de la manera "libremente dada" que exige la ley.
¿Te ha afectado este artículo? Exprese sus preocupaciones, opiniones o preguntas sobre este tema.
Fuentes: Blog de demandas colectivas de Seyfarth Work, The Wall Street Journal, Oficina del Comisario de Información
