El gigante minorista Target recopiló y almacenó ilegalmente datos biométricos de clientes, incluidos escaneos faciales y de huellas dactilares, según una mujer de Illinois que presentó una demanda colectiva contra la empresa con sede en Minnesota en su nombre y en el de otros clientes.
Arnetta Dean alega que Target infringió la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois al recopilar datos de clientes sin obtener su consentimiento por escrito ni compartir las políticas de retención y destrucción de datos.
La demanda, presentada el 11 de marzo ante el Tribunal de Circuito del Condado de Cook, Illinois, también afirma que la empresa no proporcionó la información necesaria ni permitió a los clientes optar por no participar en las prácticas de recopilación de datos.
Los demandantes solicitan una indemnización por daños y perjuicios de 5.000 $ por cada infracción intencionada o imprudente de la ley y de 1.000 $ por cada infracción considerada negligente. También pretenden recuperar los honorarios de los abogados y otros gastos del litigio.
La demanda también solicita medidas cautelares para impedir que Target siga violando los derechos de privacidad biométrica de los residentes de Illinois.
La vista del caso está prevista para el 10 de julio.
Target utiliza un “análisis avanzado del comportamiento” para detectar a los ladrones
Dean, residente en Illinois, presentó la demanda después de que supuestamente se recopilaran sus datos biométricos sin su consentimiento durante sus visitas a las tiendas del minorista.
Según NBC Chicago, Target supuestamente emplea avanzada tecnología de reconocimiento facial en sus tiendas para evitar robos.
La demanda cita a un responsable del centro de investigaciones de Target que dijo: “[E]stamos utilizando equipos de última generación para reunir la mayor cantidad de información posible, reducir los riesgos empresariales y acabar con los delincuentes.”
La demanda alega que Target “opera una de las mayores y más avanzadas redes de cámaras” y ha desarrollado un avanzado sistema de vigilancia electrónica que incluye 14 centros de investigación y dos laboratorios forenses “para mejorar las grabaciones de vídeo y analizar las huellas dactilares.”
Un ex directivo de Target escribió en un hilo de Quora que Target hace fotos cada vez que los clientes entran y salen de la propiedad, crea una base de datos de ellos deambulando por la tienda y utiliza “un software increíblemente avanzado de análisis de comportamiento y reconocimiento facial ” para detectar a posibles ladrones, según la demanda.
Según otro post, “Target tiene un laboratorio criminalístico tan bueno que las agencias gubernamentales acuden a ellos en busca de ayuda… [y] es el único minorista que utiliza ADN y huellas dactilares para identificar y ayudar a atrapar a bandas de ladrones profesionales”.[and]
Los clientes que frecuenten la tienda pero no realicen ninguna compra “van a ser sospechosos de ser ladrones, y serán examinados más de cerca”, según una tercera publicación de Quora.
La demanda hace referencia a “toda una página de TikTok de vídeos” en los que consumidores y antiguos empleados hablan del sistema de vigilancia de Target.
Antecedentes del BIPA
Aprobada en 2008, la BIPA de Illinois protege los datos biométricos de los residentes, como los escáneres faciales y las huellas dactilares.
La ley reconoce la naturaleza única de la información biométrica, destacando que, a diferencia de otros datos personales como los números de la seguridad social, los identificadores biométricos no pueden cambiarse fácilmente si se ponen en peligro. Esto hace que las personas sean especialmente vulnerables a la usurpación de identidad y a otros riesgos si se manejan mal sus datos biométricos.
Según la BIPA, las empresas que recojan datos biométricos en Illinois deben seguir unas directrices estrictas.
En primer lugar, deben informar por escrito a los individuos de que se está recopilando su información biométrica y especificar la finalidad y duración de su uso.
En segundo lugar, deben obtener una autorización por escrito de la persona antes de recoger los datos.
En tercer lugar, las empresas deben elaborar y poner a disposición del público un calendario de conservación y directrices para destruir permanentemente los datos biométricos recogidos.
La violación de la BIPA puede acarrear importantes sanciones para las empresas, incluidas indemnizaciones que oscilan entre 1.000 $ por cada violación negligente y 5.000 $ por cada violación intencionada o imprudente, responsabilidad por honorarios de abogados y otros gastos de litigio -precisamente la reparación que buscan los demandantes en el pleito actual-.
Demandas y acuerdos similares
La BIPA, exclusiva de Illinois, ofrece protecciones que raramente conceden las leyes de otros estados. Esto ha dado lugar a “cientos de batallas legales de David y Goliat contra algunas de las empresas más poderosas del mundo”, algunas de las cuales han dado lugar a enormes acuerdos, según la NBC Chicago.
En los últimos años, varios gigantes tecnológicos se han encontrado en el punto de mira de la ley de privacidad biométrica de Illinois. El caso más notable es el de Facebook, que resolvió una demanda colectiva por 650 millones de dólares en 2022. El gigante de las redes sociales fue acusado de recopilar y almacenar escaneos digitales de los rostros de los usuarios sin permiso. Como resultado, más de 1 millón de usuarios de Facebook de Illinois recibieron cheques de casi 400 $ cada uno.
Google, Snapchat y TikTok también se enfrentaron a sus propias demandas contra la BIPA.
Se acusó a Google de infringir la BIPA a través de su servicio Google Fotos, que entre 2015 y 2022 supuestamente recopiló y almacenó datos biométricos de residentes de Illinois que aparecían en fotos subidas a la plataforma.
Snapchat, por su parte, se metió en problemas por denuncias de que recopilaba ilegalmente información biométrica de los usuarios a través de sus filtros y lentes, lo que dio lugar a un acuerdo de 35 millones de dólares en 2022.
En cuanto a TikTok, la popular aplicación para compartir vídeos llegó en 2022 a un acuerdo multiestatal de 92 millones de dólares en una demanda colectiva, en la que los demandantes de Illinois recibieron la mayor parte del pago debido a la BIPA.
En noviembre de 2023, un tribunal federal de Illinois admitió a trámite una demanda colectiva contra Amazon, alegando que los dispositivos Alexa de la empresa violaban la BIPA al recoger las huellas vocales de los usuarios sin la debida notificación y consentimiento.
En otra decisión significativa de la BIPA de 2023, el Tribunal Supremo de Illinois sostuvo en el caso Cothron contra ‘White Castle System Inc.’ que se produce una violación de la BIPA cada vez que una entidad recopila o divulga información biométrica sin consentimiento, no sólo la primera vez.
El caso afectaba a una clase de empleados que acusaban a ‘White Castle’ de recoger y divulgar repetidamente sus huellas dactilares sin consentimiento a través de un sistema utilizado para acceder a los talones de pago y a los ordenadores.
Según los informes, las demandas relacionadas con la BIPA en Illinois aumentaron en casi dos tercios, hasta 122 casos, en los dos meses siguientes a la sentencia seminal del Tribunal Supremo.
En un caso menor de Illinois, la cadena de bocadillerías ‘Pret a Manger’ pagó más de 677.000 dólares para resolver una demanda colectiva que la acusaba de recoger y almacenar las huellas dactilares de casi 800 empleados a través de su sistema de control horario sin avisar previamente a los trabajadores afectados, como exige la BIPA.