Contencioso sob illinois informação biométrica Privacy Act destaca os riscos de dados biométricos – lexology ganhar bitcoins sobre iphone

Desde 1 de Junho de 2017, mais de trinta ações coletivas foram arquivados em Illinois alegando reivindicações ao abrigo da Illinois Biometric Information Act de Privacidade ( “Illinois BIPA”), que regula o uso e retenção de informações biométricas.

informação biométrica geralmente significa que os dados gerados pela análise das características biológicas de um indivíduo, como a retina ou da íris digitalização, impressão digital, impressão vocal, handprint, geometria de face, ou outros padrões ou características que identificam um indivíduo específico biológicas únicas.

Illinois BIPA foi promulgada em 2008, porque grandes empresas nacionais tinham selecionado Illinois como o local de teste para novas aplicações de “transações financeiras facilitadas biométricos, incluindo as tecnologias de impressão digital em supermercados, postos de gasolina e cantinas escolares.” [1] Apesar de Illinois BIPA tem sido nos livros há quase uma década, só recentemente tornou-se um foco significativo de bar dos demandantes.


Então, por que o pequeno aumento no contencioso agora?

Desde 2008, o uso de reconhecimento facial e outros sistemas de recolha de informação biométrica tem sido comum no setor público. [2] No sector privado, a recolha de informação biométrica é igualmente prevalente, incluindo o uso de exames de impressões digitais para bloquear e desbloquear smartphones, recursos de marca à base de reconhecimento facial em aplicações de fotos digitais, para usar por parte dos empregadores, e em aplicações de segurança.

Os vastos repositórios de informação biométrica recolhida através destes sistemas inumeráveis ​​pode ser particularmente atraente para hackers porque a informação biométrica não muda bitcoin gráfico em tempo real. Como senador Al Franken observou em seu discurso de abertura a audiência do Senado Judiciário Subcomissão de Privacidade, Tecnologia e da Lei sobre a tecnologia de reconhecimento facial como afeta a privacidade e as liberdades civis:

“… informação biométrica já está entre os mais sensíveis da nossa informação privada, principalmente porque ele é único e permanente. Você pode alterar sua senha. Você pode obter um novo cartão de crédito. Mas você não pode mudar a sua impressão digital, e você não pode mudar a sua face-a menos, eu acho, você vai a uma grande quantidade de problemas.”[3]

Com manchetes diárias alimentando temores de violações de dados em larga escala e as características imutáveis ​​de informações biométricas, aumentando a preocupação pública sobre a privacidade e segurança da informação biométrica é nenhuma surpresa.

Como a maioria dos casos trazidos Illinois permanecem pendentes, o risco de responsabilidade é uma questão em aberto, mas os réus enfrentam o custo de defender ações judiciais coletivas, potenciais danos estatutários, descoberta potencialmente invasoras, ea possibilidade de pedidos de alívio potencial para garantir a futura observância a BIPA Illinois.

Abaixo, discutimos a história de leis de informação biométrica, definições de informação biométrica, âmbito e aplicação das leis existentes, um breve resumo do litígio atual desdobramento em Illinois, e recomendações para assegurar o cumprimento das leis de biometria existentes.

Uma Breve História do Biometric legislações Informação Quando foi aprovada em 2008, Illinois BIPA foi o primeiro de seu tipo. Fechar nos saltos de Illinois BIPA, Texas promulgou sua captura ou uso de Biometric Identificador estatuto ( “Texas BIS”) em 2009. [4] Em 23 de Julho de 2017, a lei Biometric Identificadores de Washington ( “Washington BI”) entrou em vigor. [5] Destes três leis de informação biométrica, única Illinois BIPA prevê um direito privado de ação, como discutido abaixo.

Também este ano, outros estados considerados (mas não passou) as leis que regem a coleta e uso de informações biométricas, incluindo Alasca, New Hampshire (HB 523, 2017 (HB 72, 30 Perna, Reg. Sess. (Alasca 2017).) NH locais bitcoin. H.R., Reg. Session (N.H. 2017)), e Connecticut (H. B. 5522, 2017 Gen Assemb., Reg comprar bitcoin com cartão de crédito reddit. Sess. (Conn. 2017)).

Em vários estados, informação biométrica está incluído na definição de informação pessoal que está sujeita a requisitos de notificação de violação de dados, incluindo Delaware, Illinois, Iowa, Maryland (1º de janeiro de 2018), Nebraska, Novo México, Carolina do Norte, Wisconsin, e Wyoming. [6] Entre outros, New York (2015) e Califórnia (2016) ter considerado (mas não passou) leis que incluíam informações biométricas para fins de notificação de violação de dados.

Em dezembro de 2011, a Comissão Federal de Comércio (FTC) organizou um workshop explorando a tecnologia de reconhecimento facial e as implicações de privacidade e segurança suscitada pelo seu uso crescente. [7] Pouco tempo depois, o Senado Subcomissão de Privacidade, Tecnologia e Lei realizou a sua audição na tecnologia de reconhecimento facial. Não é de surpreender, tanto o workshop da FTC e da audiência no Senado Subcomissão teve ampla participação do setor privado.

No nível federal, contas de endereçamento privacidade biométrica foram propostos, mas nenhum conseguiu. [8] Uma lei existente, Infantil Online Privacy Protection Act (COPPA) [9], regula a recolha de informação biométrica de crianças. Especificamente, COPPA requer consentimento dos pais antes de gravações fotos, vídeos e áudio que contenham imagem ou voz de uma criança são coletadas de crianças. [10] COPPA também permite que uma empresa para verificar o consentimento dos pais usando a tecnologia de reconhecimento facial. [11] No verão passado, a FTC, que tem poderes para impor COPPA, emitiu uma declaração política indicando que a cobrança de um arquivo de áudio com a voz de uma criança apenas como uma substituição de palavras escritas não está sujeito a restrições de COPPA se (entre outros requisitos) a informações recolhidas através de voz não é de outra forma considerada informação pessoal, e nenhum outro uso do arquivo de áudio é feita antes de ser destruído.

• Illinois BIPA define “dados biométricos” como uma “retina ou da íris digitalização, impressão digital, impressão vocal, ou varredura de mão ou face geometria.” Entre outras exclusões, Illinois BIPA exclui expressamente amostras de escrita, assinaturas escritas, fotografias, amostras biológicas humanas utilizadas para teste válido científica ou screening, dados demográficos, descrições tatuagem, descrições físicas (tais como altura, peso, cor do cabelo e cor dos olhos), informações capturadas a partir de um paciente em um estabelecimento de saúde e outros tipos de informação. [12]

• A Washington BI define informação biométrica como “dados gerados por medições automáticas das características biológicas de um indivíduo” e fornece alguns exemplos [13], mas restringe apenas uma informação biométrica que foi “inscrito” ou reduzida para uma outra forma irreversível em uma base de dados. Como Illinois BIPA, Washington BI exclui fotos e informações recolhidos no âmbito dos tratamentos de saúde e também exclui expressamente os dados gerados a partir de fotografias, uma área que se tornou o foco de algumas recentes ações judiciais Illinois conforme descrito abaixo.

Na UE, a nova lei de privacidade conhecido como o Regulamento Geral de Protecção de Dados (PIBR), que entra em vigor em 28 de Maio de 2018, inclui uma ampla definição de dados biométricos como “resultante do processamento da técnica específica relativa à física, fisiológica ou comportamental características de uma pessoa singular, que permitem ou confirmar a identificação única dessa pessoa natural, tais como imagens faciais ou dados dactiloscópicos “[15] Desde PIBR introduz alcance extraterritorial -. aplica-se a qualquer empresa que oferece produtos ou serviços para o comportamento da UE ou monitores de um indivíduo na UE – empresas dos EUA sujeitos a Illinois BIPA, Texas BIS, ou o BI Washington também poderia estar sujeito a PIBR.

Dos três leis, Illinois BIPA tem as mais rigorosas exigências de notificação e consentimento como entidade privada pode coletar informação biométrica somente após: (1) informando o assunto por escrito que a informação biométrica está sendo coletada ou armazenada e indicando a finalidade específica e comprimento período para o qual a informação está a ser recolhidas, armazenadas e utilizadas; e (2) que recebe um assinadas, por escrito. [16] Texas BIS também exige aviso prévio e consentimento, mas não necessariamente o consentimento por escrito, antes de informações biométricas são recolhidas. [17]

O Washington BI é um pouco mais opaca sobre o tema de notificação e consentimento. Especificamente, ele requer a consideração do contexto ao determinar a adequação de aviso antes do “registro” de informações biométricas. Para ‘inscrever’ um identificador biométrico significa “capturar um identificador biométrico de um indivíduo, convertê-lo em um modelo de referência que não pode ser reconstruído na imagem de saída original, e armazená-lo em um banco de dados que coincide com o identificador biométrico a um indivíduo específico. “[18] a lei Washington também oferece as alternativas de pré-inscrição de‘obter o consentimento’ou‘fornecendo um mecanismo para impedir a utilização posterior de um identificador biométrico para fins comerciais.’[19]

Todos os três estados proibir a venda ou outro divulgação de informação biométrica recolhida a partir de um indivíduo, a menos que: (1) os consentimentos individuais para a divulgação; (2) a divulgação completa uma transação financeira autorizada; (3) a divulgação é exigida por lei federal ou estadual ou portaria municipal; ou (4) a divulgação é necessária força de um mandado válido ou intimação emitida por um tribunal de jurisdição competente. A lei Washington permite a divulgação de informações biométricas sem o consentimento sempre que isso é “necessário para fornecer um produto ou serviço subscrito, solicitado, ou expressamente autorizados pelo indivíduo” ou sujeitas a exigências contratuais que são consistentes com o âmbito da autorização bitcoin costa Rica. Além disso, a lei Washington não requer conhecimento e consentimento “para coletar, captura, ou registrar um identificador biométrico e armazená-lo em um sistema biométrico, ou de outra forma, em prol de um propósito de segurança.” [20]

Illinois’ BIPA também exige que uma empresa na posse de identificadores biométricos têm uma política escrita publicamente disponível e estabelecer um cronograma de retenção e as diretrizes para a destruição de informações biométricas. A política deve exigir a destruição de informações biométricas, sempre que o objectivo inicial para a sua coleção foi satisfeito, ou dentro de três anos, o que ocorrer primeiro. Texas BIS tem um período de destruição de um ano, em vez de período de três anos, mas não exige uma política escrita publicamente disponível.

informação biométrica coletadas de pacientes no contexto de cuidados de saúde sob o Health Insurance Portability e Accountability Act Federal ( “HIPAA”) é excluído da regulamentação sob as leis de Illinois e Washington.

A lei PIBR UE proíbe a coleta e uso de dados biométricos, a menos que a finalidade para a coleta e uso se encaixa dentro de uma das exceções limitadas, que incluem circunstâncias em que a coleta e uso são necessárias para o cumprimento da legislação, ou para proteger os interesses vitais da a pessoa a quem a informação biométrica diz respeito (a “pessoa em causa”) se esse indivíduo estiver física ou legalmente incapaz de dar consentimento, ou se a pessoa em causa faz com que a informação biométrica manifestamente disponível, ou dá escrita, inequívoco, específico e livremente dado seu consentimento [21].

Illinois BIPA tem atraído mais atenção dos bar dos demandantes porque, ao contrário Texas BIS e Washington BI, Illinois BIPA tem um direito privado expresso de ação com danos estatutários significativas de US $ 1.000 ou danos reais (o que for maior) para cada violação negligente do ato, e US $ 5.000 ou danos reais (o que for maior) para cada violação intencional ou negligente do ato. [22] Assim, os autores procuram danos para cada violação – por exemplo, cada instância quando um membro da classe putativa digitalizados seu dedo no dispositivo de cronometragem do réu, ou cada foto enviada para um site onde a tecnologia de reconhecimento facial é aplicada automaticamente. Significativamente, Illinois BIPA também inclui a provisão taxa de um advogado, incluindo taxas de testemunhas especialistas e outras despesas, e permite que autores de buscar uma medida cautelar bitcoin gráfico de moeda. bar Os demandantes aproveitou esta oportunidade, a propositura de ações de classe sob Illinois BIPA não só em Illinois, mas também em outros estados também. [23] Danos sob Illinois BIPA pode ser incapacitante em litígio de ação de classe, onde o número de violações potenciais podem proliferar na faixa de sete ou oito figura.

O Texas BIS deixou aplicação para o procurador-geral, com penalidades civis de não mais de US $ 25.000 por violação. O The Washington BI não incluem o seu próprio direito privado de ação, mas uma violação do que é considerado uma violação dos desleais das empresas Práticas-Consumer Protection Act de Washington [24], que prevê um direito privado de ação por danos reais. Tal como acontece com muitos outros tipos de violações de privacidade de dados, provando danos reais podem representar um obstáculo significativo para demandantes.

Sob PIBR da UE, multas por incumprimento são até o maior, de 4% da receita anual global, ou € 20m. O PIBR também prevê direitos particulares de ação ações e de classe em certos casos.

Apesar de anos de inatividade sob Illinois BIPA, sete casos foram arquivados em 2015; demandantes, em seguida, entrou com mais sete ações coletivas putativos em 2016 ganhar bitcoin rápido. Os casos arquivados em 2015 e 2016 os varejistas geralmente direcionados e provedores de serviços online, alegando que eles indevidamente recolhidos e fotografias armazenadas. Em 2016, os queixosos também começou a se concentrar sobre as empresas que recolhem dados das impressões digitais, com vários processos movidos contra as empresas que foram digitalização de impressões digitais dos clientes ao receber serviços bitcoin wikihow. Até agora, em 2017, tem havido uma explosão de processos sob Illinois BIPA, com mais de 30 novas ações judiciais coletivas movidas nos últimos quatro meses sozinho e novos registros em uma base perto diária. Requerentes têm cada vez mais direcionado sua atenção para tecnologias que usam informação biométrica para funcionários relógio-in ou atividades do monitor de funcionários, com 14 das 18 ações movidas em 2017 apresentado por aulas putativos de empregados contra os seus empregadores.

Enquanto a maioria dos processos arquivados em Illinois BIPA em 2015 e 2016 foram trazidos em um tribunal federal, quase todas as ações de 2017 de classe Illinois BIPA foram arquivados no tribunal estadual de Illinois. A tendência é, no entanto, para remover esses processos judiciais estaduais Illinois BIPA para tribunal federal sob a Fairness Act ação de classe. [25]

Réus na maioria dos casos Illinois BIPA se mudaram para descartar as afirmações, argumentando aplicação extraterritorial indevido de lei de Illinois, violação da U.S ethereum vs bitcoin. Dormant Comércio Cláusula da Constituição, a falta de jurisdição pessoal, insuficiência alegar lesão suficiente para conferir o artigo III pé, eo fracasso para alegar uma violação de Illinois BIPA. O caso da Suprema Corte dos Estados Unidos de Spokeo Inc. v. Robbins [26] apareceu para apoiar demissão de algumas afirmações sobre o artigo II motivos de pé, mas o Distrito Norte de Illinois recentemente rejeitou esse argumento [27], descobrindo que o autor havia alegado uma violação de privacidade suficiente para conferir pé como negociar bitcoin. Mesmo onde os tribunais negaram movimentos de demitir, eles têm enfatizado a importância da descoberta precoce sobre a questão do artigo III pé. [28] Se uma acção classe Illinois BIPA sobrevive dispensa numa fase precoce, réus poderia encarar descoberta significativa, incluindo a descoberta para o uso de dados biométricos, que foi recolhido.

Embora alguns desses casos se instalaram ou foram demitidos [29], a grande maioria dos casos permanecem pendentes. Por conseguinte, o nível do risco associado com responsabilidade sob Illinois BIPA é uma questão em aberto. No entanto, tendo em conta o pesado fardo de defender litígio de ação de classe, qualquer empresa que recolhe informação biométrica deve tomar medidas para reduzir o risco de litígio e regulatórias multas nesta área. As melhores práticas incluem:

• Determine se Notificação e Consentimento requisitos se aplicam e se os processos existentes satisfazer essas obrigações. Cumprindo Notificação e Consentimento requisitos de Illinois BIPA de informação biométrica geralmente vai garantir a conformidade com requisitos de notificação e consentimento dos outros dois estados se o anúncio é suficientemente explícita sobre utilizações previstas da informação biométrica.

• Aplicar restrições administrativas, lógicos e / ou físicas para restringir a venda ou outras transferências fins lucrativos de informações biométricas. Por exemplo, garantir que a informação biométrica armazenada em um banco de dados é acessível apenas para pessoas autorizadas que são treinados nas leis informações biométricas.

• Confirmar que a política de resposta a incidentes de segurança da empresa aborda informações biométricas para aqueles estados em que a informação biométrica está sujeita a requisitos de notificação de violação de dados.

• Verifique se as políticas de segurança da informação atual considerar especificamente a sensibilidade de informações biométricas para garantir que exigência de ‘cuidados razoáveis’ as biométricos leis de informação é cumprida comprar bitcoin locais. Exemplos de cuidado razoável com relação à segurança de informações biométricas são específicos do contexto, mas podem incluir criptografia, firewalls, sistemas de detecção de intrusão e software anti-malware.

• Quando a informação biométrica é coletado de funcionários, assegurar que os processos de notificação e consentimento adequados estão no lugar. Como observado acima, o uso de identificação de impressões digitais para local de trabalho relógio-in e procedimentos de clock-out tornou-se objeto de litígio recente. [30] Considere pedir empregados para concordar com o uso de sua informação biométrica, no momento da contratação, ou antes de introduzir a tecnologia biométrica no local de trabalho.

À luz da recente enxurrada de novos estatutos e ao aumento de litígios nesta área, as empresas recolher dados que poderiam ser consideradas informações biométricas devem avaliar as suas políticas atuais para confirmar sua conformidade com as exigências diferentes destas leis estaduais.