Ley de Privacidad de la Información Biométrica

Ley estatal de Illinois de 2008

La Ley de Privacidad de Información Biométrica (BIPA, por sus siglas en inglés) es una ley promulgada el 3 de octubre de 2008 en el estado de Illinois, Estados Unidos, con el objetivo de regular la recopilación, el uso y el manejo de identificadores e información biométrica por parte de entidades privadas. ^[1] Cabe destacar que la Ley no se aplica a las entidades gubernamentales. ^[1] Si bien Texas ^[2] y Washington ^[3] son ​​los únicos otros estados que implementaron protecciones biométricas similares, la BIPA es la más estricta. ^[4] La Ley prescribe $1000 por violación y $5000 por violación si la violación es intencional o imprudente. ^[1] Debido a esta disposición sobre daños, la BIPA ha generado varias demandas colectivas . ^[5]

Provisiones

La BIPA exige que las empresas que operan en Illinois cumplan con una serie de requisitos relacionados con la recopilación y el almacenamiento de información biométrica. Entre ellos, se incluye el requisito de que las empresas:

• Obtener el consentimiento de las personas si la empresa pretende recopilar o divulgar sus identificadores biométricos personales .
• Destruir los identificadores biométricos de manera oportuna.
• Almacenar de forma segura los identificadores biométricos. ^[6]

Un área clave de enfoque es que una entidad debe utilizar un "estándar de cuidado razonable" ^[7] al gestionar la información biométrica y los identificadores.

De pie

La BIPA es la única ley en los EE. UU. que otorga un derecho privado de acción a cualquier individuo que se vea afectado por una infracción. ^[1] Sin embargo, para litigar una acción de la BIPA en un tribunal federal, la persona afectada debe tener legitimación constitucional federal, también conocida como legitimación en virtud del Artículo III. ^[4] En general, la legitimación en virtud del Artículo III requiere que el demandante sufra un daño a un interés legalmente protegido que esté causalmente relacionado con la conducta del demandado y que dicho daño probablemente sea abordado por una decisión judicial. ^[8]

Historial legislativo

El Senador estatal Terry Link presentó el 14 de febrero de 2008 el Proyecto de Ley 2400 del Senado, que finalmente se convirtió en la Ley de Privacidad de Información Biométrica; fue aprobado por ambas Cámaras de la Asamblea General de Illinois el 10 de julio de 2008 y fue aprobado por el entonces Gobernador Rod Blagojevich el 3 de octubre de 2008. ^[9] El propósito de la Ley era establecer estándares de conducta para las entidades privadas que recopilan o poseen información biométrica. ^[10] En 2016, el Senador Link propuso y luego retiró una enmienda a la Ley que habría limitado la aplicación de la Ley a la biometría recopilada en público. ^[11]

Propuesta de reglamento federal

Ley Nacional de Privacidad de la Información Biométrica

El 3 de agosto de 2020, el senador Jeff Merkley presentó la Ley Nacional de Privacidad de la Información Biométrica de 2020 (Proyecto de Ley del Senado 4400). ^[12] Si bien la Ley contiene disposiciones similares a la BIPA ^[13], es más amplia que esta última. ^[14] Si se aprueba, el proyecto de ley sería el primero de su tipo en regular la información biométrica a escala nacional. ^[15]

Casos notables

A medida que avanza la tecnología biométrica, se han presentado varias demandas relacionadas con los métodos de recopilación de datos, así como con los distintos niveles de protección de los datos . El uso de huellas dactilares como forma de fichar al entrar y salir del trabajo es un ejemplo de una tecnología que lucha contra lo que se conoce como "buddy punching" o la práctica de utilizar a otra persona para fichar en lugar de otro trabajador en un trabajo. En Illinois, la Ley de Protección de la Información Biométrica permite a las personas demandar a los empleadores por el mal manejo de los datos biométricos. Según el Cook County Record , "en Illinois, tanto la empresa matriz de los supermercados Mariano's como el Intercontinental Hotel Group han sido objeto de demandas colectivas en las que se alega que recopilaron y almacenaron de forma indebida las huellas dactilares de los empleados y otros datos biométricos". ^[16]

Casos judiciales federales

En relación con el litigio sobre privacidad de información biométrica de Facebook , 185 F. Supp. 3d 1155 (ND Cal. 2016)

• Los usuarios de Facebook de Illinois afirmaron que la plataforma de redes sociales violó la BIPA cuando escaneó imágenes de sus rostros, sin consentimiento, para ejecutar su función de sugerencias de etiquetas; un tribunal federal de California certificó la clase en 2018. ^[17]

Monroy v. Shutterfly, Inc. , No. 16 C 10984, 2017 WL 4099846 (ND Ill. 15 de septiembre de 2017)

• Los usuarios de Shutterfly afirmaron que la empresa violó la BIPA cuando escaneó fotos digitales cargadas mediante un software de reconocimiento facial . El 15 de septiembre de 2017, la jueza del Tribunal de Distrito del Norte de Illinois, Joan B. Gottschall, rechazó una moción para desestimar la demanda. ^[18]

Rivera contra Google, Inc. , 238 F. Supp. 3d 1088 (ND Ill. 2017)

• Los usuarios de Google demandaron a la empresa por violar la BIPA, alegando que creó y almacenó escaneos de las caras de los usuarios en su servicio Google Photos , sin el consentimiento de los usuarios. El 27 de febrero de 2017, el juez del Tribunal de Distrito del Norte de Illinois, Edmond E. Chang, denegó una moción para desestimar la demanda ^[19], pero el 29 de diciembre de 2018, la demanda fue desestimada por falta de legitimación . ^[20]

McDonald v. Symphony Bronzeville Park LLC , NE3d (Tribunal de Apelaciones de Illinois, 18 de septiembre de 2020). ^[21]

• Un asilo de ancianos violó la BIPA cuando recopiló datos biométricos de un empleado para fines de seguimiento del tiempo sin revelar ni obtener el consentimiento del empleado. ^[21] La Corte Suprema de Illinois determinará si la Ley de Compensación al Trabajador proporciona a los empleadores una defensa contra los reclamos de BIPA por parte de sus empleados. ^[22]

Casos en tribunales estatales

Rosenbach contra Six Flags Entm't Corp. , 2019 IL 123186

• Six Flags fue demandada por recolectar huellas dactilares de visitantes del parque sin su consentimiento informado. El Tribunal de Apelaciones de Illinois dictaminó que una mera violación técnica de la BIPA no era suficiente para mantener una acción, porque no significaba necesariamente que una parte fuera "agraviada", como lo exige la ley. ^[23] Esto fue revocado por la Corte Suprema de Illinois , que dictaminó que los usuarios no necesitan probar una lesión (como fraude de identidad o daño físico) para demandar; la mera violación de la ley era suficiente para cobrar daños y perjuicios. ^[24]

Además, un empleado del NorthShore University HealthSystem ha demandado a la empresa por supuestamente haber recogido las huellas dactilares de los trabajadores sin su consentimiento, en violación de la Ley de Privacidad de la Información Biométrica de Illinois. En el Tribunal de Circuito del Condado de Cook , el empleado alegó "que el acusado escaneó y recopiló digitalmente sus huellas dactilares sin su consentimiento, para utilizarlas con un reloj biométrico para fichar a los empleados". ^[25]

Asentamientos

El 1 de diciembre de 2016, un juez del condado de Cook , Illinois, aprobó el primer acuerdo que involucraba a la BIPA . ^[26] La demanda colectiva fue contra LA Tan Enterprises, Inc. y se resolvió por $1,5 millones, que incluían entre $125 y $150 para cada miembro del grupo que presentó un reclamo. ^[27]

En febrero de 2021, el juez James Donato aprobó un acuerdo de 650 millones de dólares en el caso federal In re Facebook Biometric Info. Privacy Litig. , y elogió el acuerdo como "una importante victoria para los consumidores en el área tan disputada de la privacidad digital". ^{[28] [29]} Dos miembros del grupo apelaron el acuerdo ante el Tribunal de Apelaciones de los Estados Unidos para el Noveno Circuito . ^[30]

Desafíos

En la legislatura de Illinois había un proyecto de ley (SB3053) pendiente de aprobación para modificar la BIPA. El proyecto de ley proponía eximir a las entidades privadas de los requisitos de la BIPA en una serie de circunstancias, entre ellas (1) si la información biométrica se utiliza "exclusivamente para fines de empleo, recursos humanos, prevención de fraude o seguridad", (2) si la empresa "no vende, alquila, comercializa ni obtiene beneficios similares" de la información biométrica, o (3) si la empresa protege la información biométrica al menos con la misma seguridad con la que protege otra información sensible. ^[31] El proyecto de ley nunca salió del comité y expiró en 2019.

Los defensores de la privacidad consideraron que la SB3053 era un intento de desmantelar por completo la BIPA. ^{[32] [33] [34]} Recibió una oposición significativa de muchos grupos que abogan por los derechos de privacidad digital, incluida la Electronic Frontier Foundation . ^[6]

Durante el testimonio del fundador de Facebook, Mark Zuckerberg, ante el Congreso el 10 de abril de 2018, a raíz del escándalo de Facebook con Cambridge Analytica , el senador Dick Durbin cuestionó a Zuckerberg sobre el apoyo de Facebook a la SB3053.

Proyectos de ley y leyes relacionados a nivel estatal

Se han presentado varios proyectos de ley similares en estados de todo el país. ^[35] Entre ellos se incluyen:

• Michigan, texto del proyecto de ley de 2017 MI HB 5019
• New Hampshire, texto del proyecto de ley de 2017 NH HB 523 (enmendado y aprobado en 2018 como NH HB 523) ^[36]
• Alaska, texto del proyecto de ley de 2017 AK HB 72
• Montana, texto del proyecto de ley de 2017 MT HB 518
• Nueva York, Proyecto de ley 27 de la Asamblea de 2021 ^[37] y Proyecto de ley 1933 del Senado ^[38]

Equivalentes extranjeros

El 25 de mayo de 2018, la UE puso en vigor el Reglamento General de Protección de Datos ( RGPD ), ^[39] una de las regulaciones de protección de datos más estrictas del mundo hasta la fecha. ^[40]

Referencias

1. "740 ILCS 14/20 Ley de Privacidad de Información Biométrica". www.ilga.gov . 3 de octubre de 2008. Archivado desde el original el 3 de abril de 2022 . Consultado el 4 de noviembre de 2021 .
2. "CÓDIGO DE NEGOCIOS Y COMERCIO, CAPÍTULO 503. IDENTIFICADORES BIOMÉTRICOS". statutes.capitol.texas.gov . Consultado el 4 de noviembre de 2021 .
3. "RCW 19.375.020: Inscripción, divulgación y retención de identificadores biométricos". app.leg.wa.gov . Consultado el 4 de noviembre de 2021 .
4. Neace, Gabrielle (2020). "Privacidad biométrica: combinación del derecho laboral con el crecimiento de la tecnología". UIC J. Marshall L. Rev. 73 : 75 – vía UIC Law Open Access Repository.
5. "Litigio sobre privacidad biométrica: el próximo campo de batalla de las demandas colectivas" . Consultado el 14 de mayo de 2018 .
6. Schwartz, Adam (10 de abril de 2018). "Nuevo ataque a la Ley de Privacidad Biométrica de Illinois". Electronic Frontier Foundation . Consultado el 14 de mayo de 2018 .
7. "ILGA". Asamblea General de Illinois .
8. "Lujan v. Defs. of Wildlife, 504 US 555, 560 (1992)". Instituto de Información Legal de la Facultad de Derecho de Cornell . Archivado desde el original el 19 de enero de 2022.
9. "Índices de LRB" (PDF) . www.ilga.gov . Consultado el 23 de mayo de 2018 .
10. "Inicio de sesión en Westlaw | Thomson Reuters". 1.next.westlaw.com . Consultado el 23 de mayo de 2018 .
11. "Los legisladores respaldados por Facebook están presionando para desmantelar la ley de privacidad". The Verge . Consultado el 23 de mayo de 2018 .
12. Merkley, Jeff (3 de agosto de 2020). "Texto - S.4400 - 116.º Congreso (2019-2020): Ley Nacional de Privacidad de la Información Biométrica de 2020". www.congress.gov . Consultado el 14 de octubre de 2021 .
13. Shifrin, Dmitry (28 de mayo de 2021). "Pasado, presente y futuro: qué está pasando con las leyes de privacidad biométrica de Illinois y otras". The National Law Review, volumen XI, número 148. Archivado desde el original el 23 de marzo de 2022. Consultado el 21 de octubre de 2021 .
14. "La evolución de las leyes de privacidad de datos biométricos". Bloomberg Law . 4 de agosto de 2021. Archivado desde el original el 18 de febrero de 2022 . Consultado el 21 de octubre de 2021 .
15. Ibadi, Mona (7 de diciembre de 2020). "Protección de nuestras huellas dactilares y retinas: un llamado a la legislación sobre privacidad de datos biométricos". The Wake Forest Journal of Business & Intellectual Property Law . Archivado desde el original el 25 de octubre de 2021. Consultado el 21 de octubre de 2021 .
16. Minnis, Glenn (2 de marzo de 2018). "Los empleadores enfrentan un aumento en las demandas colectivas por el almacenamiento, el uso de huellas dactilares de los empleados y otros datos biométricos". Cook County Record . Consultado el 8 de octubre de 2018 .
17. "Los usuarios de Facebook obtienen un certificado de clase en la fila de privacidad del escaneo facial" . Law360 . 16 de abril de 2018. Consultado el 29 de octubre de 2019 .
18. "Monroy v. Shutterfly, Inc., No. 1:2016cv10984 - Documento 39 (ND Ill. 2017)". Justia Law . Consultado el 11 de febrero de 2019 .
19. Bilyk, Jonathan. "El juez no anulará la demanda colectiva que acusa a Google Photos de violar la ley de privacidad biométrica de Illinois" . Consultado el 23 de mayo de 2018 .
20. "Rivera et al v. Google LLC., No. 1:2016cv02714 - Documento 207 (ND Ill. 2018)". Justia Law . Consultado el 11 de febrero de 2019 .
21. "McDonald v. Symphony Bronzeville Park LLC, NE3d (Ill. App. Ct. Sept. 18, 2020)" (PDF) . Justia Law . Archivado (PDF) del original el 21 de octubre de 2021 . Consultado el 14 de octubre de 2021 .
22. Callow, Clingen; Molho, McLean LLC-Ross I.; Eikram, Iman (21 de mayo de 2021). "Quizás algún alivio en virtud de la Ley de Privacidad de la Información Biométrica de Illinois". Lexology . Consultado el 21 de octubre de 2021 .
23. "Un reciente fallo del Tribunal de Apelaciones de Illinois podría poner fin a la reciente avalancha de demandas colectivas contra empleadores en virtud de la Ley de Privacidad de Información Biométrica de Illinois". Littler Mendelson PC . 9 de enero de 2018 . Consultado el 23 de mayo de 2018 .
24. Schwartz, Jennifer Lynch y Adam (25 de enero de 2019). «¡Victoria! La Corte Suprema de Illinois protege la privacidad biométrica». Electronic Frontier Foundation . Consultado el 11 de febrero de 2019 .
25. Torres, Louie. "NorthShore University HealthSystem supuestamente recopiló huellas dactilares de trabajadores sin consentimiento" . Consultado el 8 de octubre de 2018 .
26. "Primer acuerdo alcanzado en virtud de la ley biométrica de Illinois" . Consultado el 14 de mayo de 2018 .
27. "Winston & Strawn". Winston & Strawn . Consultado el 23 de mayo de 2018 .
28. "En re Litigios sobre privacidad e información biométrica de Facebook".
29. "Juez aprueba acuerdo de privacidad de 650 millones de dólares de Facebook como 'gran victoria para los consumidores'". Law.com . 26 de febrero de 2021.
30. "Litigio sobre privacidad de información biométrica en Facebook". Archivado desde el original el 25 de febrero de 2022. Consultado el 25 de febrero de 2022 .
31. "Illinois SB3053 | 2017-2018 | 100th General Assembly". LegiScan . Archivado desde el original el 8 de marzo de 2020 . Consultado el 14 de mayo de 2018 .
32. "Los legisladores respaldados por Facebook están presionando para desmantelar la ley de privacidad". The Verge . Consultado el 14 de mayo de 2018 .
33. Marotti, Ally. "Los cambios propuestos a la ley biométrica de Illinois preocupan a los defensores de la privacidad". chicagotribune.com . Consultado el 14 de mayo de 2018 .
34. "Privacidad de la información biométrica". Seguridad tecnológica . Consultado el 14 de mayo de 2018 .
35. "Protección de la información biométrica: el escenario está preparado para la expansión de las reclamaciones". www.lexisnexis.com . Consultado el 14 de mayo de 2018 .
36. Creación de un comité para estudiar el uso y la regulación de la información biométrica. Legislatura del estado de New Hampshire. 17 de mayo de 2018.
37. "Búsqueda de proyectos de ley e información legislativa | Asamblea del estado de Nueva York". nyassembly.gov . Consultado el 12 de abril de 2021 .
38. "Proyecto de ley S1933 del Senado del estado de Nueva York". Senado del estado de Nueva York . 16 de enero de 2021. Consultado el 12 de abril de 2021 .
39. "Reglamento general de protección de datos". EUR-Lex . 27 de abril de 2016. Archivado desde el original el 1 de abril de 2022.
40. Fisher, Sandra L.; Bondarouk, Tanya (2020). "Enciclopedia de gestión de recursos humanos electrónica" (PDF) . Sistema de información de investigación (RIS) de la Universidad de Twente . Archivado (PDF) del original el 21 de octubre de 2021.

Enlaces externos

• Ley de Privacidad de Información Biométrica (740 ILCS 14)