La Cámara de Representantes de Illinois aprobó el jueves una legislación destinada a frenar el potencial de daños descontrolados en virtud de la ley de privacidad biométrica del estado, más de un año después de que la Corte Suprema de Illinois sugiriera que la legislatura revisara la ley.
La ley de privacidad biométrica de Illinois, que la legislatura estatal aprobó en 2008, exige que las empresas obtengan el consentimiento antes de recopilar y almacenar información biométrica, como huellas dactilares o escaneos de retina. Se considera la ley de este tipo más estricta del país, en parte porque permite a las personas demandar por presuntas violaciones. Las empresas que han quedado atrapadas en el punto de mira de la ley incluyen a Facebook, que pagó un acuerdo de 650 millones de dólares por su función de etiquetado facial, y Google, que resolvió un caso sobre su herramienta de agrupación facial en Google Photos por 100 millones de dólares.
En febrero de 2023, la Corte Suprema de Illinois sugirió que la legislatura revisara el lenguaje de la ley en una opinión dividida muy esperada emitida en un caso relacionado con escáneres de huellas dactilares utilizados por empleados de la empresa de comida rápida White Castle.
En ese caso, el tribunal dictaminó que los daños conforme a la ley se acumulan cada vez que una persona proporciona su información biométrica sin su consentimiento informado previo. Pero en la opinión mayoritaria, el tribunal reconoció que su lectura del estatuto abrió la puerta a daños “potencialmente excesivos” en casos BIPA y sugirió a la legislatura revisar el lenguaje de la ley.
“Seguimos creyendo que las preocupaciones basadas en políticas sobre indemnizaciones por daños potencialmente excesivos en virtud de la Ley son mejor abordadas por la legislatura”, escribió la jueza Elizabeth Rochford en la opinión. “Respetuosamente sugerimos que la legislatura revise estas preocupaciones políticas y deje clara su intención con respecto a la evaluación de daños bajo la Ley”.
La legislación aprobada el jueves modifica la ley para establecer que se produce una violación de la ley (y los daños conforme a la ley se acumulan) sólo una vez cuando una entidad recopila o divulga la información biométrica de una persona sin consentimiento, en lugar de todas las veces.
Nueve republicanos se unieron a los demócratas en la supermayoría de la Cámara para aprobar la medida en una votación de 81 a 30. Después de pasar por el Senado el mes pasado en una votación de 46 a 13, la siguiente parada del proyecto de ley es el escritorio del gobernador JB Pritzker para su consideración.
“Una vez que llegue a su escritorio, el gobernador Pritzker revisará cuidadosamente la legislación final”, dijo Alex Gough, portavoz del gobernador, en un comunicado.
“Este es un requisito realmente sencillo en BIPA para un derecho de privacidad muy importante y valioso”, dijo la principal patrocinadora del proyecto de ley en la Cámara, la representante estatal Ann Williams, demócrata de Chicago. “Este proyecto de ley responde a la invitación del tribunal de abordar los daños y perjuicios, y eso es exactamente lo que estamos haciendo aquí”.
El representante estatal Abdelnasser Rashid, demócrata de Justicia, también defendió el proyecto de ley, diciendo que preserva las “protecciones críticas de privacidad” en el núcleo de la ley, incluida la protección del público de la recopilación de datos personales por parte de las empresas de redes sociales. Pero también dijo que la legislación agrega “claridad muy necesaria” para ayudar a las pequeñas empresas a operar en un entorno regulatorio más predecible.
“Sé que muchos propietarios de pequeñas empresas se sentirán aliviados al ver que se apruebe esta medida”, dijo Rashid, quien copatrocinó la medida, poco antes de la votación en la Cámara.
En marzo, una coalición de importantes grupos empresariales, incluida la Cámara de Comercio de Chicago, la Cámara de Comercio de Illinois, la Asociación de Hoteles y Alojamiento de Illinois, la Asociación de Fabricantes de Illinois y la Asociación de Comerciantes Minoristas de Illinois emitieron una declaración diciendo que no podían apoyar la legislación. en su forma tal como se presentó. Aunque el proyecto de ley impondría “algunos límites” a la responsabilidad financiera bajo BIPA, dijo el grupo, “no es retroactivo y por lo tanto no ayuda a las miles de empresas que aún luchan contra sentencias masivas a pesar de que no hay pruebas de que alguna vez haya ocurrido daño”.
El jueves, la Asociación de Tecnología y Fabricación, una organización comercial para pequeños y medianos fabricantes, elogió la legislación y pidió a Pritzker que la promulgue.
“Muchos de los pequeños y medianos fabricantes que se han visto afectados por BIPA son fabricantes de segunda y tercera generación que no cuentan con un departamento legal y han sido objeto de demandas aniquiladoras que hicieron que muchos llegaran a un punto en el que tuvieron que considerar cerrar sus puertas. , pero esta nueva ley impide que eso siga sucediendo”, dijo el cabildero David Curtin en un comunicado.
Uno de los republicanos de la Cámara de Representantes que votó en contra de la medida el jueves, el representante estatal Dan Ugaste, dijo durante el debate en el pleno que no creía que el proyecto de ley fuera lo suficientemente lejos como para ser justo para las empresas, especialmente si la violación fue simplemente un error. También expresó su preocupación sobre si los centros de datos, que funcionan como aparatos de almacenamiento para sistemas informáticos, aún podrían estar expuestos a responsabilidades con la legislación.
“No quiero que nadie tome mis datos biométricos y los comparta con nadie, descuidándolos o haciendo algo de esa naturaleza”, dijo Ugaste, de Ginebra. “Pero tampoco creo que una empresa deba ser penalizada cuando no se ha causado ningún daño real”.
“Simplemente creo que debemos seguir hablando y dar un paso más para asegurarnos de que las empresas hagan lo que se supone que deben hacer y protejan los datos que recopilan, pero al mismo tiempo no sean castigadas innecesariamente”, Ugaste. dicho. “Entonces, si vamos a aplicar una penalización a algo, nos aseguramos de que sea algo que un centro de datos pueda cumplir si se lo solicitamos”.
Los intentos de modificar la ley de privacidad biométrica el año pasado se estancaron debido a la oposición de grupos empresariales.
“Es bastante notable que esto se haya aprobado”, dijo Matthew Kugler, profesor de derecho en la Facultad de Derecho Pritzker de la Universidad Northwestern. “Creo que demuestra lo preocupada que está la gente tras la decisión de White Castle”.
Dicho esto, añadió Kugler, la legislación -si el gobernador la promulga- no necesariamente provocaría una desviación importante del status quo en términos de cómo suelen funcionar los acuerdos bajo la ley.
“Esto indica que la larga cola de daños elevados no está sobre la mesa”, dijo. “En ese sentido, debería resultar en asentamientos más bajos. Dicho esto, no creo que muchos acuerdos anteriores se basaran en la idea de que se podía recuperar [damages] para cada escaneo individual”.
Los daños según la ley son de $1,000 por violaciones negligentes y $5,000 por violaciones “intencionales” o “imprudentes”. Cuando se aplica a cada vez que una empresa recopila información biométrica de alguien, el potencial de daños podría crecer exponencialmente.
El caso White Castle, que podría haber dejado a la compañía en apuros por 17 mil millones de dólares en daños si hubiera perdido en el juicio, se resolvió el mes pasado por 9,4 millones de dólares en un tribunal federal de Chicago a la espera de una audiencia de aprobación final en agosto.
Lior Strahilevitz, profesor de derecho en la Facultad de Derecho de la Universidad de Chicago, dijo que esperaría que los daños y perjuicios en los casos que involucran a grupos más pequeños de miembros de la clase -como los empleados en el caso White Castle- disminuyeran bajo la legislación enmendada, o que esos casos se redujeran. ni siquiera ser traído en primer lugar.
“El abogado de un demandante tiene que tomar una decisión sobre si vale la pena”, dijo Strahilevitz. Si una empresa ha recogido huellas dactilares de sus 100 empleados pero no de sus clientes, por ejemplo, la cantidad máxima que los demandantes podrían recuperar según la legislación modificada sería de 100.000 dólares por violaciones negligentes de la ley. Strahilevitz dijo que los abogados estarían “mejor si se ocuparan de una lesión automovilística o de un caso de resbalón y caída”.
Pero los tipos de casos BIPA con los que muchos residentes de Illinois están más familiarizados (aquellos que resultaron en cheques de grandes empresas tecnológicas para millones de habitantes de Illinois, por ejemplo) pueden no tener tanto impacto porque los abogados de los demandantes seguirán considerando que esos casos grandes valen la pena. , dijo Strahilevitz.
“Creo que todavía se seguirán viendo grandes acuerdos en casos que involucran a empresas como Facebook que tienen millones de clientes en Illinois”, dijo.