En el caso Patel v. Facebook, el Noveno Circuito de Apelaciones acaba de validar un pleito de clase contra Facebook en el estado de Illinois por los daños causados por su tecnología de reconocimiento facial

El pasado 8 de agosto un panel de jueces del Noveno Circuito de Apelaciones confirmó la decisión de una corte de distrito del norte de Illinois en la que se certificó un pleito de clase contra la plataforma Facebook bajo una ley local de privacidad, la Biometric Information Privacy Act de 2008 (BIPA, por sus siglas en inglés).

Descarga el documento: Patel v. Facebook

La demanda presentada por Patel y otros establece que Facebook violó su privacidad al emplear -sin su consentimiento expreso- la tecnología de reconocimiento facial en las fotos publicadas en su perfil. Dicha violación a la privacidad está penada bajo BIPA y provee para una causa de acción contra quien genere archivos biométricos de las personas sin su consentimiento y en inobservancia a las regulaciones del estatuto para manejar, almacenar y destruir los datos generados.

La ley local fue creada para proteger a las personas contra los riesgos que representa esta tecnología ya que, como se puntualiza en la opinión, «una vez comprometidos [los identificadores biométricos del rostro de un individuo], la persona no tiene recursos a su alcance [para mitigar] el alto riesgo de robo de identidad y es probable [que decida cohibirse de realizar] transacciones biométricas».

¿Aún no estás suscrito a Microjuris? Házlo aquí. ¿Necesitas cumplir con tus créditos de Educación Jurídica Continua? Házlo en nuestra sección de cursos en línea.

Para promover objetivos de seguridad y privacidad, la sección 15 de BIPA impone «diversas obligaciones con respecto a la recopilación, retención, divulgación y destrucción de identificadores biométricos e información biométrica» a entidades privadas. Rosenbach v. Six Flags Entm’t Corp., – N.E.3d -, 2019 IL123186, 4 (Ill.2019). Estos requisitos incluyen «establecer un programa de retenciones y pautas para destruir permanentemente identificadores biométricos e información biométrica» al cumplirse tres años posteriores a la última interacción del individuo con la entidad privada custodia de la información o «cuando se ha satisfecho el propósito inicial de recopilar u obtener tales identificadores o información». Stat. 14/15 (a). El estatuto también requiere que la entidad privada notifique al individuo por escrito antes de obtener un identificador biométrico. La sección 14/15 (b). BIPA también provee para reclamar por daños por infracciones de los requisitos de la Ley.

Trasfondo
Durante años, Facebook ha permitido a los usuarios etiquetar a sus «amigos» en fotos publicadas en su red social. Una etiqueta («tag») identifica al amigo en el nombre de la foto e incluye un enlace al perfil de Facebook de ese amigo. Los usuarios a los que se les etiqueta no se les notifica previamente sobre la misma, sino que se les otorga acceso a la foto y se les permite compartirla otros amigos o «des-etiquetarlos» si así lo desean. Si el «Tag Suggestions» está habilitado, Facebook puede usar la tecnología de reconocimiento facial para analizar si los amigos de Facebook del usuario están en las fotos publicadas por el usuario. Cuando se sube una foto, la tecnología la escanea y detecta si contiene imágenes de caras. De ser así, la tecnología extrae los diversos puntos de datos geométricos que hacen que una cara sea única, como la distancia entre los ojos, la nariz y las orejas, para crear un mapa facial. Luego, la tecnología compara el mapa del rostro con los rostros en la base de datos de plantillas de rostros de usuarios de Facebook. Si hay una coincidencia entre el mapa facial y la plantilla del rostro, Facebook puede sugerir etiquetar a la persona en la foto.

Las plantillas faciales de Facebook se almacenan en sus servidores, que se encuentran en nueve centros de datos mantenidos por Facebook. Los seis centros de datos ubicados en los Estados Unidos se encuentran en Oregón, California, Iowa, Texas, Virginia y Carolina del Norte. La sede de Facebook está en California.

Daño a la privacidad
De acuerdo a la opinión del Noveno Circuito federal, y a la luz de antecedentes históricos y de opiniones del Tribunal Supremo sobre cómo intrusiones tecnológicas afectan el derecho a la privacidad, la Corte concluyó que una invasión de los derechos biométricos de privacidad de un individuo «tiene una estrecha relación con un daño que tradicionalmente se ha considerado como una base para una demanda». Una plantilla facial biométrica podría utilizarse para desbloquear el acceso de reconocimiento facial en el teléfono celular de determinado individuo, abriendo la puerta para el robo de identidad. Como en el contexto de la Cuarta Enmienda, la tecnología de reconocimiento facial en este caso puede obtener información de manera «detallada y enciclopédica», que sería casi imposible obtener sin dicha tecnología. Carpenter, 138 S. Ct. en 2216. Una vez que se crea una plantilla facial de una persona, Facebook puede usarla para identificar a esa persona en cualquiera de los cientos de millones de fotos subidas a Facebook cada día, así como determinar cuándo la persona estuvo presente en una ubicación específica. Teniendo en cuenta el desarrollo futuro de dicha tecnología, como se sugiere en Carpenter, parecería probable que se pueda identificar un individuo mapeado en una fotografía de vigilancia tomada en las calles o edificios. Es por esto, entre otras razones, por lo que el panel de jueces reconoció la causa de acción en el caso.