El Tribunal de Apelaciones de Illinois dice que las empresas deben implementar políticas de retención y destrucción biométrica antes de recopilar datos biométricos

0
180


Por Danielle Kays y James Nasiri

Sinopsis de Seyfarth: El 30 de noviembre de 2022, el Tribunal de Apelaciones del Segundo Distrito de Illinois invertido la concesión por parte del tribunal de primera instancia de una sentencia sumaria a favor del acusado en un caso llamado Mora v. J&M Plating, Inc. La demanda fue presentada por un ex empleado del acabador de metales demandado, alegando que el demandado violó la Ley de privacidad de información biométrica de Illinois (“BIPA”) al recopilar las huellas dactilares de los empleados sin establecer primero un cronograma escrito para la retención. y destrucción de datos biométricos. El tribunal de primera instancia inicialmente desestimó los reclamos del demandante, pero el Tribunal de Apelación revocó y encontró que la BIPA requiere que los empleadores establezcan un cronograma de retención y destrucción. antes de no tienen datos biométricos.

Fondo en Mora contra J&M Plating, Inc.

El demandado J&M Plating, Inc. contrató a la demandante Trinidad Mora en julio de 2014, y poco después la empresa comenzó a registrar a sus empleados en el trabajo mediante un lector de huellas dactilares. En mayo de 2018, la empresa implementó un cronograma escrito para la retención y destrucción de datos biométricos. El solicitante ha firmado esta política, consintiendo así la recopilación de sus identificadores biométricos (es decir, huellas dactilares). El Demandado luego terminó el empleo del Demandante en enero de 2021 y, de acuerdo con su política biométrica escrita, el Demandado destruyó los supuestos datos biométricos del Demandante aproximadamente dos semanas después de su terminación.

Un mes después, el demandante presentó una demanda colectiva alegando que la empresa violó las secciones 15(a) y (b) de BIPA al recopilar datos biométricos de los empleados sin primero proporcionar aviso, obtener consentimiento informado o emitir una política de retención y destrucción.

Inicialmente, la compañía ganó la desestimación de la demanda del demandante de que este reclamo estaba prescrito bajo el estatuto de limitaciones aplicable de cinco años porque el reclamo se acumuló por primera vez en septiembre de 2014. Posteriormente, el demandado presentó una moción de juicio sumario sobre el reclamo por la sección 15(a) por no mantener una política de recopilación y retención de BIPA, argumentando que esta sección no contiene un requisito de límite de tiempo y que, en última instancia, los datos biométricos del solicitante fueron destruidos adecuadamente de acuerdo con una política de destrucción y preservación. El tribunal de primera instancia dictó sentencia sumaria a favor de la empresa y luego el demandante apeló.

El Tribunal de Apelaciones de Illinois anula la desestimación del Tribunal de Primera Instancia

En la apelación, el Demandante se basó en la intención legislativa detrás de la promulgación de BIPA para respaldar su interpretación de que las Entidades cubiertas deben publicar un cronograma por escrito. antes de recopilar o poseer datos biométricos. Con este fin, el Demandante señaló el objetivo de la Legislatura de Illinois de proteger los derechos de privacidad biométrica de las personas a través de BIPA, y que la empresa tenía seis años antes de que el Demandante fuera contratado para cumplir con la ley (que se promulgó en 2008).

La empresa respondió que la Sección 15(a) no contiene ningún componente de tiempo, ya que su principal preocupación es garantizar que las entidades tengan políticas implementadas para destruir los datos biométricos una vez que finalice el propósito para el cual se recopilaron los datos. Debido a que la empresa tenía un cronograma de retención y destrucción al finalizar el empleo del solicitante (y de acuerdo con BIPA, cuando finalizaba la necesidad de utilizar los datos del solicitante), la empresa argumenta que cualquier daño sufrido por el demandante era puramente hipotético.

El tribunal de apelaciones revocó la decisión del tribunal de primera instancia y concluyó que el tribunal inferior había malinterpretado la sección pertinente de la ley. Específicamente, el Tribunal de Apelación citó el lenguaje claro de la sección 15(a), que establece que “[a] entidad privadaen posesión de identificadores biométricos o información biométrica debe desarrollar una política escrita . . . .” Por lo tanto, el Tribunal sostuvo que la implementación de una política escrita se desencadena por la posesión de datos biométricos por parte de la entidad.

El Tribunal de Apelación también consideró la sección 15(b) para reforzar su decisión, ya que esta sección requiere que las entidades obtengan el consentimiento informado de un individuo antes de recopilación de datos biométricos. Finalmente, con respecto al argumento de la empresa sobre la ausencia de perjuicio sufrido por el demandante, la Corte se basó en la decisión de la Corte Suprema de Illinois Rosenbach decisión de razonar que el daño real no es necesario para iniciar una acción conforme a la ley, ya que BIPA se promulgó con “fines preventivos y disuasorios”. En consecuencia, el Tribunal revocó la concesión del juicio sumario y remitió el asunto de nuevo al tribunal de primera instancia para reevaluar las reclamaciones del Demandante en virtud de la Sección 15(a).

Consecuencias para los empleadores

Incluso en situaciones en las que, como en Más, una empresa implementa una política escrita y destruye adecuadamente los datos biométricos, una empresa demandada puede ser considerada responsable por no implementar la política antes de poseer esos datos. Por lo tanto, las empresas de Illinois deben asegurarse de que sus prácticas de privacidad biométrica cumplan plenamente con la ley. antes de comenzar a recopilar todo tipo de datos biométricos.

Para obtener más información sobre la ley de privacidad de información biométrica de Illinois y cómo esta decisión puede afectar su negocio, comuníquese con los autores. danielle kays y james nasirisu abogado de Seyfarth o el Grupo de Práctica de Biometría y Privacidad en el Lugar de Trabajo de Seyfarth.

LEAVE A REPLY

Please enter your comment!
Please enter your name here