Los daños por incumplimiento de la ley biométrica de Illinois se están disparando: ¿cómo pueden los empleadores cumplir con la normativa y mantener el cumplimiento?

Uno de los avances legales más significativos en Illinois durante el último mes fueron dos órdenes del Tribunal Supremo de Illinois que interpretaban la onerosa Ley de Protección de la Información Biométrica (BIPA) del estado. Recientemente hemos examinadocómo estas sentencias: (1) ampliaron el plazo de prescripción aplicable a cinco años desde la primera infracción; e (2) interpretaron que las infracciones de la BIPA «se acumulan» no solo en la primera instancia, sino también en todas las instancias posteriores en las que se recopila información biométrica.

Ahora que la responsabilidad potencial alcanza los miles de millones de dólares, ¿cómo pueden los empleadores minimizar su riesgo y cumplir con los estrictos requisitos de la BIPA?

A pesar de las abrumadoras cifras de responsabilidad, el cumplimiento de la BIPA no tiene por qué ser una tarea insuperable. Los requisitos de la BIPA se describen con cierto detalle en las secciones 15(a)-(e), pero en general pueden desglosarse en las siguientes obligaciones:

• Los empleadores deben mantener una política escrita y disponible públicamente que aborde cómo la organización utiliza la biometría, incluyendo detalles específicos sobre la recopilación, conservación y destrucción.
• Los empleadores deben obtener el consentimiento por escrito antes de recopilar datos biométricos, con una autorización firmada por cualquier persona que vaya a proporcionar sus datos biométricos, incluyendo el propósito y el período de tiempo durante el que se conservarán dichos datos.
• Los empleadores no pueden obtener beneficios económicos del uso de la información biométrica de las personas.
• Sin el consentimiento informado, los empleadores no pueden divulgar los datos biométricos de terceros sin su consentimiento por escrito; y
• Los empleadores deben almacenar, transmitir y proteger todos los datos biométricos de manera acorde con la naturaleza sensible y confidencial de la información biométrica.

Una vez desglosado en estas partes, crear una política que se adapte a su organización resulta mucho más manejable. Se debe incluir especificidad para usos concretos, lo que requiere un conocimiento profundo del funcionamiento de su sistema biométrico. Por ejemplo, ¿el sistema almacena información biométrica a nivel local? ¿El sistema transmite datos biométricos a terceros, como proveedores que suministran o mantienen el sistema? ¿El sistema elimina automáticamente los datos biométricos después de un determinado período? Estas y otras preguntas son importantes a tener en cuenta al redactar políticas que cumplan con la BIPA.

Por supuesto, no todos los empleadores utilizan sistemas biométricos en sus organizaciones. Sin embargo, si un empleador opera en Illinois y existe la posibilidad de que la organización adopte tecnología biométrica en el futuro, recomendamos implementar una política biométrica genérica para cubrir esta posibilidad. Con demasiada frecuencia, una parte de la organización puede quedar al margen cuando otra división decide que un sistema biométrico sería útil. Aunque será necesario adaptar aún más una política genérica una vez que se haya elegido un sistema, una política genérica al menos proporciona un respaldo en caso de que el uso de la biometría pase desapercibido.

Si su empresa u organización opera en Illinois pero actualmente no cuenta con una política de recopilación y uso de datos biométricos, considere la posibilidad de desarrollar una, consultando con un abogado con experiencia.