La Ley de Privacidad de la Información Biométrica de Illinois (BIPA), la primera de Estados Unidos de América

La Ley de Privacidad de la Información Biométrica de Illinois o BIPA, por sus siglas en inglés, es una ley del estado de Illinois, aprobada en 2008, que regula la recopilación, almacenamiento, retención, salvaguarda, uso y destrucción de información e identificadores biométricos. Si los residentes que viven en el estado de Illinois consideran que su información biométrica ha sido compartida con empresas o terceros sin su consentimiento, la BIPA les permite llevar a cualquier parte aplicable a los tribunales y presentar una reclamación para recuperar pérdidas financieras y tasas legales o judiciales asociadas, así como recibir cualquier otra forma de alivio considerada por un tribunal de justicia en relación con la violación de la privacidad. Además, la BIPA fue también la base de un caso emblemático de 2019, Rosenbach contra Six Flags Entertainment Corp., que cambió la forma en la que el país percibe esta legislación. A pesar de todo esto, muchas personas pueden preguntarse qué es la información biométrica.

¿Qué es la información biométrica?

La biometría se define como la medición y el análisis estadístico de las características físicas y de comportamiento de un individuo. En el contexto de la privacidad personal, la información biométrica o los identificadores pueden utilizarse para identificar, etiquetar o describir a las personas. Algunos ejemplos comunes de identificadores biométricos físicos incluyen el reconocimiento facial, las huellas dactilares, el ADN, el reconocimiento del iris, la geometría de la mano, las venas de la palma de la mano, el olor o el aroma y las características de la retina o del oído. Por otro lado, algunos ejemplos comunes de identificadores biométricos de comportamiento incluyen la firma, el análisis del modo de andar, el ritmo de escritura, los gestos, la pulsación de teclas, la voz y los perfiles de comportamiento.

¿Cómo se utiliza la información biométrica en el contexto empresarial?

El uso de la información biométrica en el mundo de los negocios se ha generalizado en los últimos años, ya que muchas empresas e industrias, como la banca y la tecnología, han comenzado a hacer uso de características biométricas como el reconocimiento facial y de huellas dactilares. La información biométrica se utiliza en los negocios de las siguientes maneras:

• gestión del tiempo – Empresas de todos los ámbitos e industrias han descubierto que los relojes de fichar biométricos, dispositivos que permiten a los empleados marcar su hora de entrada y salida a través de la huella dactilar u otra forma de identificador biométrico en lugar de un código pin o un número de identificación, son más rentables, garantizan un cumplimiento más preciso de las políticas de asistencia y ayudan a eliminar la pérdida de tiempo en el trabajo.
• acceso de seguridad – Uno de los usos originales y más comunes de la información biométrica es el de garantizar la seguridad física a la entrada a una empresa o locación, así como asegurar artículos como ordenadores, dispositivos de almacenamiento portátiles como discos duros o unidades USB y accesorios informáticos como ratones y teclados mediante el uso de tecnología de reconocimiento facial, lectores de huellas dactilares y escáneres geométricos. Además, los escáneres de iris y retina también pueden utilizarse en empresas que requieran un alto nivel de seguridad.
• seguridad – La información biométrica puede utilizarse para crear un perfil de cada empleado contratado por una empresa o negocio. A través de este perfil, los empleadores pueden asegurarse de que sus empleados estén al día en materia de capacitación y certificaciones, difundir información crucial y emitir credenciales en una fracción del tiempo que se tardaría en hacerlo físicamente.
• plan de salud – La información biométrica puede utilizarse para ayudar en el desarrollo e implementación de programas de bienestar. A través de la información biométrica los empleadores pueden evaluar los riesgos potenciales para la salud de los empleados, así como proporcionar incentivos con el fin de favorecer comportamientos que pudieran reducir dichos riesgos.

¿Qué criterios deben seguir las empresas de Illinois al recopilar o utilizar información biométrica?

En virtud de la BIPA, las empresas y negocios que recopilan información biométrica de los residentes del estado de Illinois están obligados a seguir el siguiente conjunto de normas:

• retención y destrucción por escrito – Las entidades privadas en posesión de información biométrica deben desarrollar por escrito una política disponible públicamente en relación con el establecimiento de un calendario de retención de datos biométricos. Dicha política debe incluir además directrices para la destrucción permanente de la información biométrica.
• autorización por escrito – La BIPA prohíbe a las entidades privadas recopilar cualquier información biométrica sin antes haber recibido por escrito el consentimiento informado del ciudadano a quien la información pertenece.
• prohibición del lucro con la información biométrica – La BIPA prohíbe estrictamente a las entidades privadas en posesión de información biométrica vender, arrendar, comerciar o beneficiarse de otra manera de la información biométrica de los consumidores de Illinois. Además, prohíbe a dichas entidades eludir la restricción obteniendo el consentimiento de un individuo.
• restricción a la divulgación – En virtud de la BIPA, las entidades privadas en posesión de información biométrica no pueden “divulgar o difundir de otro modo” esta información a menos que obtengan el consentimiento de un individuo o que la divulgación de la información biométrica sea necesaria para un propósito específico establecido desde el momento de la recolección. Por ejemplo, cuando la información biométrica de un individuo es necesaria para completar una transacción financiera o para dar seguimiento a una orden o citación judicial.
• requisitos de seguridad “razonables” específicos del sector – Las entidades privadas deben utilizar “normas de cuidado razonables” durante el procesamiento de la información biométrica. Sin embargo, la BIPA requiere que esta “razonabilidad” esté en consonancia con el nivel de cuidado específico de cada industria. Pero, en cualquier caso, el nivel de seguridad debe ser similar, si no más estricto, que el utilizado para otra información confidencial y sensible como las claves de acceso, los números de la seguridad social y los números de cuenta.

A diferencia de muchos estatutos estatales de privacidad en todo el país, la BIPA otorga a cualquier persona agraviada el derecho de acción privada con el fin de obtener reparación por los daños a ella ocasionados. Las indemnizaciones establecidas por la ley son las siguientes:

• “Por violaciones negligentes, indemnización de mil dólares o reparación de daños reales, la cantidad que sea mayor”.
• “Por violaciones deliberadas, indemnización de cinco mil dólares o reparación de daños reales, la cantidad que sea mayor”.

Los demandantes implicados en litigios por infracción de la BIPA también tienen derecho a recuperar los honorarios de abogados y peritos y otros gastos judiciales.

¿Qué importancia tiene el caso Rosenbach contra Six Flags Entertainment Corp.?

En el caso Rosenbach contra Six Flags Entertainment Corporation, la demandante, madre de un niño de 14 años, acusó a Six Flags Corporation alegando que la empresa había violado la BIPA. La demandante alegó que el parque temático había recogido la información biométrica de su hijo (huellas dactilares) sin obtener previamente su consentimiento por escrito. Además, la demandante alegó que la corporación Six Flags no le proporcionó la información adecuada en relación con la recogida, el uso y la conservación de los datos relacionados con las huellas dactilares de su hijo. Por otro lado, Six Flags Corporation respondió argumentando que la demandante no era una parte “agraviada” a los efectos de la BIPA, ya que no había alegado que se hubiera producido un “perjuicio real” como consecuencia de la información biométrica que se recogió de su hijo.

Finalmente, el Tribunal Supremo de Illinois concluyó que un consumidor no necesita demostrar “un efecto adverso o un daño específico (como la prueba de que la información personal fue robada o utilizada indebidamente) para tener la capacidad de demandar en virtud de la BIPA”. Esta decisión contrasta con la forma en que se redactan y aplican muchas leyes de protección de la privacidad en todo el país, ya que los demandantes en los juicios y casos de protección de la privacidad suelen tener que demostrar que han sufrido algún tipo de daño o perjuicio en relación con la divulgación ilegal de su información personal. Por ello, el caso Rosenbach contra Six Flags Entertainment Corp. servirá de hito para futuras leyes y casos de privacidad biométrica en todo el país.

La BIPA fue la primera ley integral de privacidad biométrica que se aprobó en Estados Unidos de América. Por tanto, ha sido extremadamente influyente en el espacio de la privacidad, ya que muchos estados de todo el país han redactado y aprobado sus propias leyes de privacidad biométrica inspirados por la BIPA. A esto se suma que el caso Rosenbach contra Six Flags Entertainment Corp. cambió la forma en que dentro de los Estados Unidos de América se perciben las leyes de privacidad. Sin embargo, lo que se considera una violación de la privacidad de los ciudadanos en la actual era digital es todavía materia de debate y discusión.