El TS de Illinois propicia sanciones millonarias por privacidad

En una decisión de febrero de 2023, Cothron v. White Castle System, el Tribunal Supremo de Illinois (“TSI”) sostiene que cada tratamiento de datos biométricos sin consentimiento constituye una infracción independiente y acumulable en materia de privacidad conforme a la normativa estatal. Así, si una empresa requiere a sus trabajadores escanear su huella dactilar como mecanismo de control de acceso sin contar con su consentimiento, cada día en que se haya escaneado la huella implica una infracción independiente y acumulable al resto de infracciones a lo largo de los años.

Hechos

Desde 2008, la Biometric Information Privacy Act de Illinois (“BIPA”) exige a las empresas que obtengan el consentimiento del interesado antes de tratar sus huellas dactilares o retinas, entre otros datos biométricos. Sin embargo, una cadena de comida rápida, White Castle System Inc., estuvo escaneando huellas dactilares de sus trabajadores de manera repetida y sin el debido consentimiento durante un periodo de 10 años. Ante esta situación, una trabajadora de la empresa instó una demanda colectiva en nombre de los empleados de White Castle System.

Por medio de una cuestión prejudicial, el TSI ha tenido que pronunciarse para decidir si la infracción cometida por la empresa ocurre únicamente con la primera recogida del dato biométrico, o bien cada vez que se recoge el mismo dato biométrico.

El TSI, si bien de manera dividida, ha establecido que cada vez que se vulnera la norma se comete una nueva infracción y, por tanto, la empresa podría haber estado infringiendo la BIPA múltiples veces al día. Esta multiplicidad de infracciones hace que la multa a White Castle System pueda llegar a los 17.000 millones de dólares, al tener 9.500 trabajadores que durante años han tenido que escanear sus huellas para acceder a los sistemas informáticos.

Voto particular

A pesar de lo anterior, tres magistrados de la Sala del TSI han formulado una opinión contraria a la decisión alcanzada. Para estos magistrados, dado que el dato recogido es siempre el mismo -en este caso, la huella dactilar-, únicamente se habría menoscabado la privacidad de cada trabajador una sola vez. Así, si la sanción fuese de 1.000 dólares por trabajador, se estaría ante una sanción de 9,5 millones de dólares, suma que seguro ya incentivaría el cumplimiento de la normativa con creces.

Sin perjuicio de lo anterior, hay que tener en cuenta que en el caso analizado la mayoría de las infracciones se habría dado en el año 2008 -momento de la recogida de gran parte de las huellas- y, por lo tanto, de conformidad con la normativa norteamericana aplicable, las acciones ya habrían prescrito en el año 2013.

Los tres magistrados que formulan el voto particular terminan advirtiendo del riesgo que tiene la interpretación acordada por la mayoría del TSI, ya que podría tener como consecuencia indeseada el retraso de acciones de afectados que quieran acumular el máximo número de infracciones en el tiempo. De ser así, esto iría en contra de la finalidad de la BIPA, que pretende promover la denuncia de las infracciones en materia de privacidad.

Sin embargo, la mayoría del TSI, que ya preveía este argumento, ha recordado que la Corte de Apelación -instancia que planteó la cuestión prejudicial al TSI- tiene la discreción para modular la cuantía de los daños para que sea a la vez equitativa y disuasoria de futuros incumplimientos.