Ley de captura o uso de identificadores biométricos (CUBI)

La Ley de Captura o Uso de Identificadores Biométricos o CUBI para abreviar, también conocida como Código de Comercio y Negocios de Texas 503.001, es una ley de privacidad de la información biométrica que se aprobó en Texas en 2009. Como una de las pocas leyes de privacidad de la información biométrica en todo el país, incluyendo el Código 19.375.020 del Estado de Washington y la Ley de Privacidad de la Información Biométrica de Illinois o BIPA, CUBI proporciona a los ciudadanos de Texas diversas protecciones en lo que respecta a su información o datos biométricos. En virtud del CUBI, una “persona no puede capturar un identificador biométrico sin consentimiento previo, no puede vender datos biométricos sin consentimiento o a menos que lo permita la ley, debe utilizar un cuidado razonable al almacenarlos y destruirá el identificador biométrico en un plazo razonable”. Como tal, CUBI es similar en naturaleza a la ley BIPA de Illinois, ya que muchas otras leyes de privacidad biométrica, como el Código 19.375.020 del Estado de Washington, sólo protegen contra el registro de la información biométrica de un individuo.

¿Cuáles son los requisitos que el CUBI impone a las empresas y organizaciones?

El CUBI impone varios requisitos y restricciones sobre la forma en que las entidades y organizaciones empresariales pueden capturar los identificadores biométricos de los ciudadanos de Texas con fines comerciales. Según el CUBI, un identificador biométrico se define como “un escáner de retina o iris, una huella dactilar, una huella vocal o un registro de la geometría de la mano o la cara”. Por el contrario, el CUBI no proporciona ninguna definición específica para el término “fines comerciales”. En la práctica, los tribunales de Texas han definido este término como fines “destinados a obtener un beneficio u otro beneficio tangible”. Además, el CUBI no cubre los identificadores biométricos en forma de datos de huellas vocales que puedan ser retenidos por una institución financiera o sus afiliados, ya que estos identificadores biométricos están cubiertos por otras leyes del estado de Texas. Con este fin, las empresas y organizaciones de Texas deben cumplir los siguientes requisitos al capturar identificadores biométricos de ciudadanos del estado:

• Una persona no puede capturar ninguna forma de identificador biométrico de un individuo con fines comerciales a menos que dicha persona informe al individuo antes de capturar su identificador biométrico, y reciba el consentimiento de dicho individuo para capturar su identificador biométrico.
• Una persona que posea el identificador biométrico de un individuo con fines comerciales tiene prohibido vender, arrendar o revelar de cualquier otro modo dicho identificador biométrico a otra persona, a menos que el individuo en cuestión consienta en que su identificador biométrico se utilice con fines de identificación en caso de desaparición o fallecimiento, la divulgación complete o facilite una transacción financiera que la persona haya autorizado o solicitado, la divulgación esté permitida o exigida por una ley federal o estatal distinta del Capítulo 552 (Información pública) del Código de Gobierno, o la divulgación se realice a las fuerzas de seguridad con el fin de responder a una orden judicial u otro requisito legal.
• Una persona que posea el identificador biométrico de un individuo también está obligada a garantizar que dicha información se almacena, transmite y protege de la divulgación utilizando un cuidado razonable, y de una manera que sea coherente o más protectora con la manera en que dicha persona almacena, transmite y protege otras formas de información personal que tiene en su posesión.
• La persona que posea el identificador biométrico de un individuo deberá destruir dicho identificador biométrico en un plazo razonable, pero no más tarde del primer aniversario de la fecha en que haya expirado el propósito para el que se recogió dicho identificador, excepto en los casos en que un individuo haya dado su consentimiento para que su identificador biométrico se utilice en caso de desaparición o fallecimiento, como se ha indicado anteriormente.
• Si el identificador biométrico de una persona que ha sido capturado con fines comerciales se utiliza en relación con un documento o instrumento que, en virtud de otra ley, debe conservarse durante un periodo superior al descrito en el apartado anterior, la persona que posea dicho identificador biométrico deberá destruirlo en un plazo razonable, pero no más tarde del primer aniversario de los datos en que el documento o instrumento en cuestión ya no deba conservarse en virtud de la ley.
• Si un identificador biométrico que ha sido capturado con fines comerciales también ha sido recopilado con fines de seguridad por un empleador, se presume que los fines para esta recopilación bajo el CUBI expiran de acuerdo con la terminación de la relación laboral.

¿Qué pueden hacer las empresas del Estado de Texas para cumplir con el CUBI?

Hay una variedad de pasos y medidas que las empresas y organizaciones pueden tomar para mantener el cumplimiento con el CUBI. Tales pasos y medidas incluyen:

• Desarrollar y mantener una política de privacidad– Aunque el CUBI no requiere que las empresas u organizaciones creen una política de privacidad en lo que respecta a los identificadores biométricos, dicha política se recomienda de acuerdo con las mejores prácticas. Como mínimo, esta política de privacidad debe proporcionar a los ciudadanos de Texas un aviso claro con respecto a las razones por las que sus identificadores biométricos están siendo recogidos, utilizados, almacenados o divulgados, los propósitos actuales o previsibles para los que una empresa puede utilizar el identificador biométrico de un individuo, y las directrices o el calendario de dicha empresa para la eliminación permanente de los identificadores biométricos de un individuo.
• Seguridad de los datos– También se recomienda que las entidades y organizaciones empresariales apliquen medidas exhaustivas de seguridad de los datos que puedan proteger los identificadores biométricos de los ciudadanos de Texas de la misma manera, si no más estricta, que la manera en que dicha empresa u organización maneja otras formas de datos o información personales.
• Mapeo de datos– Se recomienda que las empresas y organizaciones lleven a cabo algún tipo de ejercicio de mapeo o inventario de datos, lo que implica inventariar y mapear cada dato biométrico que dicha empresa u organización recopila, utiliza o vende, así como las prácticas de procesamiento de datos de la empresa u organización. Llevar a cabo el proceso de mapeo de datos puede ayudar a las empresas tanto a gestionar proactivamente como a salvaguardar los identificadores biométricos que reciben de los ciudadanos de Texas.
• Implementar mecanismos para asegurar que ningún identificador biométrico sea vendido, alquilado o divulgado– Se aconseja a las empresas y organizaciones que implementen mecanismos que aseguren que ningún identificador biométrico de los ciudadanos sea vendido, alquilado o divulgado a terceros por la empresa que recopiló esta información, los empleados de dicha empresa y cualquier parte relacionada con la empresa.

¿Cuáles son las sanciones por incumplimiento del CUBI?

En virtud del CUBI, las entidades y organizaciones comerciales que incumplan la ley están sujetas a sanciones pecuniarias de hasta 25.000 dólares por infracción. La aplicación del CUBI corre a cargo del Fiscal General del Estado de Texas, y la ley no permite a los particulares entablar acciones judiciales por infracciones de la ley. En particular, no existe un límite máximo para las multas que pueden imponerse como consecuencia de infracciones de la CUBI. Como ejemplo del alcance y la gravedad potencial de las penas previstas en el CUBI, el gigante tecnológico Facebook fue investigado por el fiscal general de Texas en relación con las infracciones del CUBI en 2020, después de que Facebook resolviera una demanda colectiva en respuesta a las infracciones de la Ley de Privacidad de la Información Biométrica de Illinois o BIPA a principios de este año.

A medida que el tema de la privacidad de la información biométrica sigue ganando fuerza en las legislaturas estatales de todo el país, el estado de Texas va por delante en lo que respecta a la protección de los derechos de privacidad de los datos biométricos de sus ciudadanos. A medida que aumentan las demandas colectivas por violación de los derechos de privacidad de los datos biométricos, muchos estados seguirán el ejemplo de Illinois, Washington y Texas y aprobarán sus propias leyes de privacidad de la información biométrica. Aunque el CUBI no proporciona la misma amplitud de protección que la ley BIPA de Illinois, la ley ofrece a los residentes del estado de Texas una vía de recurso en caso de que se infrinjan sus derechos de privacidad de datos biométricos. De este modo, los ciudadanos de Texas pueden tener la tranquilidad de que su privacidad está protegida a todos los niveles.