He aquí por qué las empresas de tecnología siguen pagando millones para resolver demandas en Illinois


CNN Negocios

Los reguladores han pasado años tratando de hacer que las grandes empresas de tecnología paguen por la forma en que recolectan y, en ocasiones, abusan de los datos de los usuarios. Mientras tanto, un estado literalmente los obliga a pagar y pagar directamente a los consumidores.

Illinois es uno de los pocos estados de los Estados Unidos que tiene una ley que exige que las empresas obtengan el consentimiento de los consumidores antes de obtener sus datos biométricos, y su La regla, aprobada en 2008, es vista como la más dura de la nación. La ley, llamada Ley de privacidad de la información biométrica (BIPA), no solo obliga a empresas para obtener el permiso de las personas antes de recopilar datos biométricos como huellas dactilares o escaneos de geometría facial. También establece reglas sobre cómo las empresas deben salvaguardar dicha información, prohíbe que las empresas vendan los datos biométricos de los residentes de Illinois y permite que los residentes de Illinois demanden a las empresas por supuestas violaciones de la ley.

En los casi 15 años transcurridos desde su aprobación, los servicios que utilizan datos biométricos, desde el reconocimiento de la huella de la palma de la mano para comprar comestibles hasta el software de reconocimiento facial para desbloquear su teléfono inteligente, han volverse cada vez más comunes. Pero la legislación en los Estados Unidos no se ha mantenido. No existe una legislación federal sobre el tema, y ​​entre los pocos estados seleccionados que han tomado medidas, la ley de Illinois se considera excepcionalmente eficaz.

“Es la ley estándar de oro”, dijo Chad Marlow, asesor principal de políticas de la Unión Estadounidense de Libertades Civiles.

Como resultado, Illinois se ha convertido en el punto de referencia para la regulación de tecnologías biométricas como el software de reconocimiento facial. Grupos como la ACLU y los consumidores individuales han utilizado la ley para demandar a una lista cada vez mayor de empresas destacadas, desde Facebook hasta Snapchat, y en algunos casos frenar el comportamiento de las empresas tecnológicas que ofrecen productos y servicios en el estado. En el proceso, ha enviado un mensaje sobre la importancia de la privacidad de los datos personales que repercute mucho más allá de Illinois.

En Illinois, BIPA surgió, al menos en parte, debido a las preocupaciones sobre los datos recopilados por una empresa de pago de escaneo de huellas dactilares en bancarrota, que luego quebró. A los legisladores les preocupaba que los datos recopilados por Pay By Touch, que había estado disponible en las tiendas de comestibles Jewel-Osco en el área de Chicago, pudieran venderse a raíz de su quiebra (la empresa fue subastada por partes).

El texto de la ley, que se presentó a principios de 2008, menciona Pay By Touch por su nombre y señala que, a diferencia de un número de Seguro Social, los identificadores biométricos son “biológicamente únicos” y no se pueden cambiar simplemente si están comprometidos.

“Las ramificaciones completas de la tecnología biométrica no se conocen por completo”, dice la ley.

De hecho, en ese momento, las empresas de los Estados Unidos buscaban tecnologías biométricas, pero los consumidores no estaban tan familiarizados con ellas como lo estamos hoy, y el impacto de tales tecnologías era imposible de calcular. No fue hasta 2010 que Facebook comenzó a usar un software de reconocimiento facial para etiquetar automáticamente a los usuarios en las imágenes cargadas en la red social, por ejemplo, y fue en 2013 cuando Apple agregó por primera vez un sensor de huellas dactilares al iPhone para desbloquear el dispositivo. BIPA se aprobó 12 años antes del primer arresto injusto conocido en Estados Unidos debido al reconocimiento facial.

Los expertos dicen que una de las disposiciones más poderosas de la ley es que permite a las personas demandar, en lugar de dejarlo en manos del estado. (Texas y Washington, que tienen sus propias reglas similares, dejan la decisión de emprender acciones legales a los fiscales generales de sus estados). Las empresas que hayan violado BIPA “intencional o imprudentemente” pueden deber hasta $5,000 por cada violación; aquellos que hayan violado la ley debido a negligencia pueden deber hasta $1,000 por violación.

Ese derecho a demandar “ha sido una de las únicas formas en que las empresas se toman en serio el cumplimiento”, dijo Hayley Tsukayama, activista legislativa sénior de Electronic Frontier Foundation, un grupo de derechos digitales. “Y, por supuesto, es una de las razones por las que las personas que lo odian lo odian con una pasión ardiente”.

A pesar de los dientes legales de BIPA, la ley no mostró toda su fuerza hasta 2015. Ese año, la firma del abogado Jay Edelson, Edelson PC, con sede en Chicago, encabezó una demanda colectiva contra Facebook alegando que la red social violó BIPA con el uso de software de reconocimiento facial para identificar a las personas en las fotos de los usuarios y sugerir a los usuarios que etiquetaran a esas personas. por nombre. La demanda argumentaba, esencialmente, que Facebook estaba recopilando y conservando los datos biométricos faciales de los usuarios (medidas de su geometría facial extraídas de las imágenes) sin preguntar por adelantado ni pedir permiso, lo cual va en contra de la ley de Illinois.

“Nuestro cliente estaba literalmente preocupado de que perdería sus datos biométricos y estaría en el mundo”, dijo Edelson sobre la decisión inicial del demandante de demandar a la red social.

Facebook acordó resolver la demanda a principios de 2020 por $ 550 millones, y un juez aumentó esa cantidad a $ 650 millones en marzo de 2021. (Esto equivale a $ 397 por persona elegible para el pago, dijo Edelson, una cantidad que puede sonar pequeña pero es mucho más de lo que la gente recibe en muchos acuerdos de demanda colectiva).

Desde entonces, Edelson ha trabajado en docenas de demandas BIPA y estima que se han presentado más de 500 demandas alegando violaciones de la ley. Muchas de las demandas se relacionan con empresas que utilizan sistemas que hacen que los empleados marquen la entrada o la salida con una huella dactilar o un rostro, pero además de Facebook, numerosas grandes empresas tecnológicas también acordaron acuerdos colectivos por valor de cientos de millones de dólares.

El año pasado, TikTok acordó pagar $ 92 millones para resolver una demanda colectiva que alegaba que recopiló datos biométricos de los usuarios de manera ilegal y luego los compartió con otras compañías; la demanda se dividió en una clase nacional y una clase de Ilinois, y los de la clase de Illinois pudieron recibir hasta seis veces más dinero debido a BIPA. Google acordó en abril pagar 100 millones de dólares para resolver una demanda relacionada con una función de agrupación de fotos en Google Photos, y la empresa matriz de Snapchat, Snap, acordó en agosto pagar 35 millones de dólares para resolver una demanda relacionada con filtros y lentes en la aplicación de Snap. (Ninguna de estas empresas ha admitido haber actuado mal).

“En el panorama general, son todos estos trajes actuando en combinación entre sí, lo que hace que BIPA sea tan poderosa”, dijo Marlow.

Los resultados no siempre se limitan al pago de dinero a los consumidores, y los impactos de las demandas pueden ir más allá de los límites estatales de Illinois. Por ejemplo, un acuerdo con la controvertida empresa de reconocimiento facial Clearview AI (que Edelson aceptó pro bono en nombre de la ACLU y otros grupos sin fines de lucro) tuvo un impacto de gran alcance cuando se resolvió a principios de este año: condujo a un acuerdo que la empresa no venderá su software a la mayoría de las empresas en los Estados Unidos, una decisión que restringe en gran medida su uso a las fuerzas del orden del país.

El resultado de la demanda “es un cambio de juego total, en nuestras mentes”, dijo Edelson.

La demanda de Facebook también puede haber tenido un impacto más allá de Illinois. En noviembre de 2021, menos de un año después de que un juez aumentara el monto del acuerdo de su caso BIPA, la compañía dijo que dejaría de usar el software de reconocimiento facial para reconocer automáticamente a las personas en fotos y videos. También anunció que eliminaría los datos relacionados, que están asociados con más de mil millones de rostros de personas (sin embargo, seguirá trabajando en la tecnología de reconocimiento facial y puede usarla en sus productos futuros).

adobestock

“No estoy seguro de que esa sea una decisión que habrían tomado si no fuera por BIPA, pero ciertamente tomar esa decisión elimina la posibilidad de incumplimiento de BIPA con imágenes faciales y geometría facial”, dijo Lior Strahilevitz, profesor de derecho en la Universidad de Chicago.

Facebook no respondió a una solicitud de comentarios. La empresa no mencionó a BIPA cuando anunció su decisión de detener el uso de la tecnología.

Para evitar incluso la posibilidad de violar la ley, algunas empresas han ido tan lejos como para decidir no vender un producto en el estado, como con el perro robot Aibo de Sony, que, según la compañía, imita el comportamiento de una mascota real mediante el uso de un software de reconocimiento facial para “comportarse de manera diferente con personas conocidas”.

Algunas otras empresas están limitando las funciones que incluyen datos biométricos a las personas que viven fuera de Illinois. Este fue el caso en 2018, cuando Google agregó una función a su aplicación Google Arts & Culture que permite a las personas tomar una selfie que luego se compara con pinturas históricas para encontrar la que más se parezca a su taza.

“Eso definitivamente no estaba disponible en Illinois, y hubo una especie de local, ‘Eh, eso es interesante. ¿Por qué no podemos usar eso?’”, dijo Strahilevitz.

A raíz de la aprobación de BIPA, Texas y Washington aprobaron sus leyes biométricas en 2009 y 2017, respectivamente. Pero las leyes apenas han sido puestas a prueba (en 2022, Texas también demandó a Facebook por acusaciones de que se apropió ilegalmente de los datos de reconocimiento facial de los tejanos), probablemente porque depende de los estados, en lugar de los ciudadanos individuales, decidir si demandar.

Las ideas básicas detrás de BIPA “parecen ser consistentes con el sentimiento popular”, dijo Strahilevitz, sin embargo, los legisladores en estados como California y Maine han intentado sin éxito aprobar sus propias versiones de la regla.

Los expertos dicen que parte de la razón de estas fallas es que se ha generado un impulso contra tales leyes biométricas, particularmente de compañías grandes y pequeñas que pueden ser sus objetivos.

Sin embargo, Tsukayama de la EFF, cuyo grupo trabajó con el senador estatal de California Bob Wieckowski en el proyecto de ley que presentó en febrero que habría creado una ley similar a BIPA en California, cree que podría revivir en el futuro, a pesar de que se estancó en el comité este primavera.

Después de todo, Tsukayama señaló: “Puedo cambiar una contraseña, pero no puedo cambiar mi cara”.