Os danos causados pela lei biométrica de Illinois estão a aumentar: como os empregadores podem tornar-se e permanecer em conformidade?

Um dos desenvolvimentos jurídicos mais significativos em Illinois no mês passado foram duas ordens da Suprema Corte de Illinois interpretando a onerosa Lei de Proteção de Informações Biométricas (BIPA) do estado. Recentemente, examinámoscomo essas decisões: (1) ampliaram o prazo de prescrição aplicável para cinco anos a partir da primeira violação; e (2) interpretaram as violações da BIPA como «acumuladas» não apenas na primeira instância, mas também em todas as instâncias subsequentes em que informações biométricas são coletadas.

Com a responsabilidade potencial a atingir agora os milhares de milhões de dólares, como podem os empregadores minimizar o seu risco e cumprir os rigorosos requisitos da BIPA?

Apesar dos números assustadores relativos à responsabilidade, o cumprimento da BIPA não precisa ser uma tarefa impossível. Os requisitos da BIPA estão descritos em detalhes nas Seções 15(a)-(e), mas podem ser resumidos nas seguintes obrigações:

• Os empregadores devem manter uma política escrita e disponível ao público que aborde como a organização utiliza dados biométricos, incluindo detalhes específicos sobre recolha, retenção e destruição;
• Os empregadores devem obter consentimento por escrito antes da recolha de dados biométricos, com uma autorização assinada por qualquer indivíduo que forneça os seus dados biométricos, incluindo a finalidade e o período de tempo durante o qual os dados biométricos serão mantidos;
• Os empregadores não podem lucrar com o uso de informações biométricas de indivíduos;
• Sem o consentimento informado, os empregadores não podem divulgar dados biométricos de terceiros sem consentimento por escrito; e
• Os empregadores devem armazenar, transmitir e proteger todas as informações biométricas de forma compatível com a natureza sensível e confidencial dessas informações.

Dividido nessas partes, criar uma política adequada à sua organização é muito mais fácil. A especificidade deve ser incluída para usos específicos, o que requer uma compreensão profunda de como o seu sistema biométrico funciona. Por exemplo, o sistema armazena alguma informação biométrica localmente? O sistema transmite dados biométricos a terceiros, como fornecedores que fornecem ou mantêm o sistema? O sistema elimina automaticamente os dados biométricos após um determinado período? Estas e várias outras questões são importantes a considerar ao elaborar políticas em conformidade com a BIPA.

É claro que nem todos os empregadores utilizam sistemas biométricos nas suas organizações. No entanto, se um empregador opera em Illinois e existe a possibilidade de a organização adotar tecnologia biométrica no futuro, ainda assim recomendamos a implementação de uma política biométrica genérica para cobrir essa possibilidade. Muitas vezes, uma parte da organização pode não ser informada quando outra divisão decide que um sistema biométrico seria útil. Embora uma política genérica precise ser adaptada depois que um sistema for escolhido, ela pelo menos fornece uma proteção no caso de o uso da biometria passar despercebido.

Se a sua empresa ou organização opera em Illinois, mas atualmente não possui uma política de recolha e uso de dados biométricos, considere desenvolver uma, em consulta com um advogado experiente.