Ley de Privacidad de Datos Biométricos en Washington

El Código Revisado de Washington Ann. 19.375.020 o Código 19.375.020 para abreviar es una ley de privacidad de datos biométricos orientada a proteger la información biométrica de los ciudadanos que residen en el estado de Washington. Creada en 2017, la ley fue aprobada después de que la legislatura del estado de Washington observara que a los ciudadanos dentro del estado “se les pide cada vez más que revelen información biológica sensible que los identifica de forma única para el comercio, la seguridad y la conveniencia”. La recopilación y comercialización de información biométrica sobre individuos, sin consentimiento o conocimiento del individuo cuyos datos se recopilan, es cada vez más preocupante.”

En comparación con la emblemática Ley de Privacidad de la Información Biométrica de Illinois (Illinois Biometric Information Privacy Act o BIPA), el Código 19.375.020 no tiene el mismo alcance o aplicación que la BIPA, ya que el Código 19.375.020 sólo aborda la “inscripción” de identificadores biométricos en una base de datos con fines comerciales, a diferencia de la BIPA, que protege tanto la recogida como la inscripción de identificadores biométricos. Es más, la ley incluye varias excepciones relacionadas con el consentimiento y la notificación, afirmando que la inscripción de los identificadores biométricos con fines comerciales depende del contexto. No obstante, el Código 19.375.020 protege la información biométrica de los ciudadanos del Estado de Washington que se utiliza con fines comerciales.

¿Cuáles son los requisitos del Código 19.375.020 para las entidades y organizaciones comerciales?

En virtud del artículo 19.375.020 del Código, se prohíbe a las empresas, organizaciones y particulares introducir datos biométricos “en una base de datos con fines comerciales, sin notificarlo previamente, obtener el consentimiento o proporcionar un mecanismo que impida el uso posterior de un identificador biométrico con fines comerciales”. En virtud del Código 19.375.020, un fin comercial se define como “un fin que promueva la venta o divulgación a un tercero de un identificador biométrico con fines de comercialización de bienes o servicios cuando dichos bienes o servicios no estén relacionados con la transacción inicial en la que una persona obtiene por primera vez la posesión del identificador biométrico de un individuo”. “Finalidad comercial” no incluye una finalidad de seguridad o de aplicación de la ley”.

Con este fin, existen varias excepciones al Código 19.375.020, ya que los identificadores biométricos que se utilizan con fines de autenticación de dos factores u otros asuntos relacionados con el cumplimiento de la ley no están cubiertos por la ley. Al recopilar información biométrica de ciudadanos del Estado de Washington con fines comerciales, las entidades y organizaciones empresariales deben cumplir los siguientes requisitos:

• Las organizaciones y entidades empresariales no pueden inscribir un identificador biométrico en una base de datos con fines comerciales sin obtener previamente el consentimiento, proporcionar un aviso o proporcionar un mecanismo para impedir el uso posterior de un identificador biométrico con fines comerciales.
• Según el Código 19.375.020, la notificación es una revelación que no se considera consentimiento afirmativo y que se realiza mediante un procedimiento razonablemente diseñado para estar fácilmente disponible para cualquier persona cuya información biométrica pueda verse afectada. Como tal, el tipo exacto de notificación y consentimiento que se requiere para mantener el cumplimiento de la ley depende del contexto.
• A menos que una empresa u organización haya obtenido primero el consentimiento de un individuo, una entidad o individuo que haya registrado los datos biométricos de un ciudadano del Estado de Washington tiene prohibido vender, arrendar o divulgar de cualquier otro modo estos datos a otra persona con fines comerciales, a menos que la divulgación sea coherente con las secciones anteriores, sea necesaria para proporcionar el producto o servicio que fue solicitado por el ciudadano, sea necesaria para administrar, efectuar, completar o hacer cumplir una transacción financiera a instancias del ciudadano, esté expresamente autorizada o exigida por una ley federal o estatal o una orden judicial, se utilice en el contexto de un litigio o para responder o participar en el proceso judicial, o se haga a un tercero que esté contractualmente obligado a no divulgar la información biométrica de un ciudadano.
• Una persona, empresa u organización que posea a sabiendas la información biométrica de un ciudadano del Estado de Washington está obligada a tomar las precauciones razonables para evitar el uso y la adquisición no autorizados de esta información, conservar la información biométrica de un ciudadano durante no más tiempo del necesario para prestar los servicios en los que se inscribió el identificador biométrico, para evitar o protegerse contra fraudes potenciales o reales, amenazas a la seguridad o actividades delictivas, y cumplir cualquier orden judicial, calendario de conservación de registros públicos o estatuto especificado en virtud de la legislación estatal o federal.
• Una persona, empresa u organización que inscriba la información biométrica de un ciudadano del Estado de Washington con fines comerciales u obtenga esta información de un tercero no podrá utilizar o divulgar dicha información de manera incompatible con los fines para los que se recopiló en primer lugar sin obtener primero el consentimiento relativo a los nuevos términos de dicha divulgación.

¿Cuáles son las sanciones por infringir el Código 19.375.020?

En virtud del Código 19.375.020, las personas, organizaciones o entidades comerciales que incumplan la ley están sujetas a las mismas sanciones y multas que quienes infringen la Ley de Protección al Consumidor de Washington. La Ley de Protección de los Consumidores de Washington o CPA se promulgó en 1961 y protege a los ciudadanos del Estado de Washington de actos o prácticas comerciales leales o engañosas. Como tal, las sanciones por violar la CPA incluyen una multa monetaria de hasta 500.000 dólares, daños y perjuicios, así como los honorarios de abogados que puedan incurrir. Estas sanciones son aplicadas por el Fiscal General del Estado de Washington, y el Código 19.375.020 no permite el derecho de acción privada de un ciudadano de Washington en relación con las violaciones de la ley.

Aunque las leyes sobre privacidad que regulan el uso de información biométrica o identificadores son escasas en todo el país en el momento de redactar este informe, el Código 19.375.020 de Washington protege la información biométrica de los residentes del Estado de Washington. Además, en los últimos años muchos estados han empezado a explorar la posibilidad de aprobar sus propias leyes sobre información biométrica, ya que el uso de la información biométrica no hace más que aumentar. Como testimonio de este hecho, la recientemente aprobada Ley de Derechos de Privacidad de California o CCPA contiene disposiciones que protegen específicamente la información biométrica de los residentes de California. Como tal, muchas leyes de privacidad futuras seguramente considerarán tales disposiciones, con el objetivo de proteger todas las formas de privacidad personal de los ciudadanos estadounidenses.