El Tribunal Supremo de Illinois declaró la semana pasada que un centro de cuidados de larga duración del área de Chicago violó los derechos de una antigua empleada cuando, sin notificárselo inicialmente ni obtener su consentimiento por escrito, la empresa recogió la información biométrica de la persona al escanear sus huellas dactilares como parte del sistema de control de horarios de la empresa.

La decisión unánime de 7-0 del 3 de febrero en el caso McDonald contra “Symphony Bronzeville Park LLC” confirmó una sentencia anterior del Tribunal de Apelación de Illinois según la cual la Ley de Compensación de los Trabajadores de Illinois (“Illinois Workers’ Compensation Act”, IWCA por sus siglas en inglés) no impide las reclamaciones por daños y perjuicios legales en virtud de la pionera ley de privacidad biométrica del estado, la Ley de Privacidad de la Información Biométrica (“Biometric Information Privacy Act “, BIPA por sus siglas en inglés).

La sentencia abre la puerta a los demandantes que quieran presentar reclamaciones al amparo de la BIPA, que otorga a los consumidores y a los empleados derechos sobre la forma en que sus voces, huellas dactilares, escaneos faciales y otros elementos similares son recogidos y compartidos por las empresas, informó “Bloomberg Law”.

Marquita McDonald demandó en agosto de 2017 a “Symphony Bronzeville Park LLC” y a otros centros de atención de larga duración de la zona de Chicago. La demanda llegó al Tribunal de Apelación de Illinois, que en septiembre de 2020 determinó que Symphony no podía evitar la reclamación de la BIPA y que los daños y perjuicios solicitados por McDonald no podían clasificarse como una lesión en el lugar de trabajo ocurrida en el cumplimiento del deber, lo que la situaría en el ámbito de la IWCA.

La sentencia inicial representaba la primera vez que un tribunal de apelación estatal se pronunciaba sobre la cuestión de si la ley de compensación de los trabajadores se antepone a las reclamaciones en virtud de una ley de privacidad de datos biométricos.

En la decisión del Tribunal Supremo de Illinois, el juez David K. Overstreet declaró:

“Los perjuicios personales y sociales causados por la violación de los requisitos profilácticos de la Ley de Privacidad son de naturaleza y alcance diferentes a los perjuicios laborales físicos y psicológicos que son indemnizables en virtud de la Ley de Indemnización.

“La Ley de Privacidad implica medidas profilácticas para evitar que se comprometan los datos biométricos de un individuo”.

El precedente legal establecido por el Tribunal Supremo de Illinois echa por tierra una defensa comúnmente utilizada por los empleadores y abre la puerta a una posible avalancha de nuevas demandas y reclamaciones en virtud de la BIPA en relación con la forma en que las empresas recogen, almacenan y comparten los datos biométricos de las personas.

En virtud de la BIPA, los particulares pueden reclamar una indemnización por daños y perjuicios de 1.000 dólares por infracción negligente y de 5.000 dólares por infracción intencionada o temeraria.

En 2008, la legislatura de Illinois aprobó por unanimidad la BIPA, en parte gracias al apoyo de la Unión Americana de Libertades Civiles de Illinois.

La ley establece normas sobre cómo las empresas deben manejar los datos biométricos de los consumidores y empleados de Illinois. Se considera que el control de los datos corresponde a cada persona, y se prohíbe a las empresas privadas recoger esos datos a menos que:

  • Se informe a la persona por escrito de los datos que se recogen o almacenan.
  • Se informe a la persona por escrito de la finalidad específica y la duración de la recogida, almacenamiento y utilización de los datos.
  • Se obtenga el consentimiento por escrito de la persona en cuestión.

Según la ley, los datos biométricos incluyen el ADN, los escaneos faciales, las huellas dactilares, los escaneos de manos, los escaneos de retina o iris y las huellas de voz.

La BIPA es reconocida como una de las pocas leyes de privacidad biométrica en los Estados Unidos que incluye los derechos de acción privados, incluyendo el consentimiento por escrito y la divulgación de un calendario de retención de datos.

También se considera la única ley estatal de este tipo que permite a los particulares llevar a una empresa a los tribunales por supuestas infracciones.

La BIPA también prohíbe a cualquier empresa vender o beneficiarse de dicha información biométrica.

La cuestión jurídica concreta que se planteó en el caso McDonald contra “Symphony Bronzeville Park LLC” se refería a si los legisladores de Illinois, al aprobar la BIPA, pretendían que la ley quedara anulada por las disposiciones de exclusividad contenidas en la IWCA.

El Tribunal Supremo de Illinois determinó que no existe tal preeminencia, afirmando que el lenguaje claro de la BIPA demuestra que no había intención de que la ley fuera preeminente por la IWCA.

Según la decisión, los “daños personales y sociales” causados por las violaciones de la BIPA difieren en su naturaleza y alcance de los daños que pueden ser indemnizados en virtud de la IWCA:

“Como tal, el tribunal de circuito razonó correctamente que la pérdida de McDonald de la capacidad de mantener sus derechos de privacidad no era una lesión psicológica o física que es compensable bajo la Ley de Compensación.

“Asimismo, el tribunal de apelación sostuvo correctamente que una violación de la Ley de Privacidad no es el tipo de lesión que encaja categóricamente en el ámbito de la Ley de Compensación y, por lo tanto, no es compensable bajo la Ley de Compensación.”

Lo que la sentencia del Tribunal Supremo de Illinois podría significar para reclamaciones estatales y federales similares

A pesar de haber sido aprobada en 2008, los expertos legales consideran que la BIPA es todavía un “estatuto nuevo y no probado”. Por ello, la sentencia del Tribunal Supremo de Illinois es una de las primeras de este tipo que aclara la aplicabilidad de la ley y los tipos de reclamaciones que pueden presentarse en virtud de sus disposiciones.

Otro caso de este tipo en curso, Cothron contra “White Castle Sys. Inc.”, se encuentra actualmente ante un tribunal federal, el Tribunal de Apelaciones del Séptimo Circuito.

Este caso se refiere a si las reclamaciones de la BIPA se acumulan cada vez que una empresa infringe una ley, o si sólo el primer caso de una determinada infracción constituye legalmente una reclamación.

En diciembre de 2018, la demandante Latrina Cothron demandó a su empleador, la cadena de restaurantes White Castle, alegando que la empresa violó la BIPA cuando utilizó sus huellas dactilares como parte de su sistema de control de horarios sin obtener primero su consentimiento por escrito.

En enero de 2019, el caso se trasladó a un tribunal federal, el Tribunal de Distrito de Estados Unidos para el Distrito Norte de Illinois. En agosto de 2020, este tribunal dictaminó que Cothron había alegado múltiples violaciones oportunas de la BIPA.

Cothron cuenta con el apoyo de un grupo de defensa de la tecnología, el Centro de Información sobre la Privacidad Electrónica (“Electronic Privacy Information Center”, EPIC por sus siglas en inglés).

EPIC presentó un informe amicus ante el Séptimo Circuito pidiendo al tribunal que dictamine que un individuo sufre un nuevo perjuicio legal en virtud de la BIPA con cada caso distinto en el que se violan los derechos de privacidad de esa persona en virtud de la ley.

Según John Davisson, consejero principal y director de litigios de EPIC, la cuestión que se plantea en este caso es la siguiente:

“…incentivar a las empresas para que corrijan sus errores o su mal manejo de los datos personales y biométricos en particular.

“También se trata de compensar a las personas cuyos datos se han utilizado de forma indebida y de garantizar que no se les da tan solo una pequeña parte de las compensaciones a las que tienen derecho”.

Por el contrario, la abogada Meredith Slawe, presidenta del grupo de comercio minorista y copresidenta de la división de prácticas de acciones colectivas del bufete de abogados Cozen O’Connor, con sede en Filadelfia, argumentó que contabilizar cada caso de recogida de datos biométricos como una violación independiente tendría un impacto “catastrófico” en las empresas, ya que los daños podrían multiplicarse rápidamente.

Slawe presentó un informe amicus en nombre de los demandados en este caso.

Cualquier fallo que salga del Séptimo Circuito puede tener amplias implicaciones nacionales para los casos relacionados con la privacidad de los datos y la biometría, incluidos los que implican otras leyes estatales similares, como la Ley de Privacidad del Consumidor de California.

Como explica la abogada Kristin Bryan, asociada principal del bufete de abogados Squire Patton Boggs, con sede en Cleveland:

“En esta apelación del Séptimo Circuito están en juego potencialmente miles de millones de dólares. Va a tener un gran impacto en los litigios actuales y futuros.

“Cualquier sentencia del Tribunal de Apelación del Séptimo Circuito será una autoridad persuasiva para otros tribunales cuando se enfrenten a acciones colectivas de privacidad de datos”.

De hecho, la preocupación por la recopilación y el uso de datos biométricos personales ha alcanzado recientemente una importancia nacional, después de que el Servicio de Impuestos Internos (“Internal Revenue Service”, IRS por sus siglas en inglés) anunciara, en noviembre de 2021, que para el verano de 2022, las personas sólo podrían acceder a sus registros en el sitio web irs.gov a través de ID.me, un servicio de verificación de identidad en línea que recoge datos biométricos, como escaneos faciales en vivo a través de cámaras web o cámaras de teléfonos inteligentes.

Un número cada vez mayor de servicios en línea, incluidos muchos sitios web de “FinTech”, ya utilizan un sistema de credenciales de este tipo para que los usuarios puedan crear una cuenta o iniciar sesión.

Sin embargo, tras las reacciones del público, el 7 de febrero el IRS anunció que abandona sus planes de implantar el sistema de verificación biométrica ID.me.