Resumen y resultado del caso

El Tribunal de Apelaciones del Noveno Circuito de los Estados Unidos sostuvo que la tecnología de reconocimiento facial utilizada para crear plantillas faciales sin consentimiento previo invade los intereses y la privacidad de las personas. En 2010, Facebook comenzó a utilizar la tecnología de reconocimiento facial para desarrollar su función de sugerencias de etiquetas, sin el consentimiento previo  y por escrito de los usuarios, y sin un cronograma de conservación de la información biométrica. Tres usuarios de Facebook en Illinois presentaron una demanda en 2015, alegando que la tecnología de reconocimiento facial de Facebook violaba la Ley de Privacidad de la Información Biométrica de Illinois. El Tribunal confirmó la decisión del Tribunal de Distrito de los Estados Unidos para el Distrito Norte de California, confirmando que la tecnología de reconocimiento facial de Facebook afectó la privacidad y los asuntos personales de los usuarios y señaló el impacto que los avances tecnológicos pueden tener en la privacidad.

Hechos

En 2010, Facebook implementó una nueva función llamada Sugerencias de Etiquetas, que utilizaba tecnología de reconocimiento facial para identificar a las personas en fotografías subidas por un usuario que hubiera habilitado la función Sugerencia de Etiquetas. Esta función, que permitía el etiquetado automático de otros usuarios en fotografías subidas a Facebook, fue más allá del etiquetado original, que era manual y permitía a un usuario identificar a otros usuarios en sus fotografías, con un enlace a los perfiles de esos usuarios. La tecnología que aplicó Facebook escaneaba las fotografías una vez que se habían subido y extraía «los diversos puntos de datos geométricos que hacen que una cara sea única, como la distancia entre los ojos, la nariz y las orejas, para crear una firma o mapa facial», comparaba ese «mapa” con las plantillas de las caras de los usuarios guardadas en sus bases de datos y luego sugería etiquetar a ese usuario en particular en la fotografía.

En agosto de 2015, tres usuarios de Facebook de Illinois, EE. UU., Nimesh Patel, Adam Pezen y Carlo Licata, actuando como representantes de un grupo, presentaron una demanda operativa contra Facebook, alegando que la tecnología de reconocimiento facial de Facebook violaba la Ley de Privacidad de la Información Biométrica (BIPA, por sus siglas en inglés) de Illinois. Patel, Pezen y Licata habían sido usuarios de Facebook desde 2008, 2005 y 2009 respectivamente. La BIPA se adoptó en 2008 y define a un «identificador biométrico» como aquel que incluye «un escaneo de la geometría de la mano o la cara»[p. 8]

Los usuarios argumentaron que Facebook violó las secciones 15(a) y 15(b) de la BIPA porque recopiló y usó la información biométrica de los usuarios, específicamente sus plantillas faciales, sin su consentimiento previo y por escrito, para desarrollar la función Sugerencias de Etiquetas. También argumentaron que Facebook violó la BIPA porque no tenía un cronograma de conservación de datos para la destrucción de identificadores biométricos.

La sección 15(a) establece: “Una entidad privada en posesión de identificadores biométricos o información biométrica debe desarrollar una política escrita, puesta a disposición del público, que establezca un cronograma de conservación y pautas para destruir de manera permanente los identificadores biométricos e información biométrica cuando el propósito inicial de recopilar u obtener dichos identificadores o información haya sido satisfecho, o dentro de los 3 años de la última interacción de la persona con la entidad privada, lo que ocurra primero. En ausencia de una orden judicial o citación válida emitida por un tribunal de jurisdicción competente, una entidad privada en posesión de identificadores biométricos o información biométrica debe cumplir con su cronograma de conservación establecido y con las pautas de destrucción.»

La sección 15(b) establece que ninguna entidad privada puede recopilar, capturar, comprar, recibir a través de comercio u obtener de otra manera, el identificador biométrico o información biométrica de una persona o cliente, a menos que primero: (1) informe por escrito al sujeto o a su representante legalmente autorizado que se está recopilando o almacenando un identificador biométrico o información biométrica; (2) informe por escrito al sujeto o a su representante legalmente autorizado sobre el propósito específico y el plazo por el cual se recopila, almacena y utiliza un identificador biométrico o información biométrica; y (3) reciba una autorización escrita firmada por el sujeto del identificador biométrico o información biométrica o su representante legalmente autorizado.

La BIPA reconoció que “[…] los [datos] biométricos son diferentes a otros identificadores únicos que se utilizan para acceder a las finanzas u otra información sensible” porque son “biológicamente únicos” para un individuo y nunca podrían cambiarse si su integridad se viera comprometida. La legislatura de Illinois describió que el propósito de la legislación es que “[…] la seguridad y el bienestar público se beneficiarán mediante la regulación de la recopilación, uso, protección, manipulación, almacenamiento, conservación y destrucción de los identificadores biométricos e información biométrica”.

Facebook presentó una moción para desestimar la demanda argumentando que los usuarios no probaron la existencia de un perjuicio de hecho.

El Tribunal de Distrito certificó el grupo y rechazó la moción de Facebook. Facebook apeló la decisión del Tribunal de Distrito ante el Tribunal de Apelaciones del Noveno Circuito de los Estados Unidos.

Análisis de la Decisión

La jueza Ikuta dictó la sentencia para el tribunal de tres jueces. La cuestión principal ante el Tribunal fue si la tecnología de reconocimiento facial de Facebook violaba las secciones 15(a) y 15(b) de la BIPA y el derecho a la privacidad de los usuarios. La cuestión fue si la “violación de los requisitos legales equivalía a una violación de su derecho sustancial a la privacidad” [p. 13].

Los usuarios argumentaron que Facebook violó las secciones 15(a) y 15(b) de la BIPA y el derecho a la privacidad de los demandantes.

Facebook argumentó que en la demanda los usuarios describieron violaciones procedimentales y que no alegaron un perjuicio de hecho.

El Tribunal explicó que debe aplicar un enfoque de dos pasos en casos como estos, a saber, determinar si existe “una invasión de un interés legalmente protegido que es (a) concreto y particularizado; y (b) real o inminente, no conjetural o hipotético” [p. 10].

El Tribunal examinó la historia del derecho a la privacidad y señaló que los tribunales lo reconocieron por primera vez en el derecho consuetudinario después de que Samuel D. Warren y Louis D. Brandeis publicaran un artículo, «El derecho a la privacidad», en la revista Harvard Law Review en 1890. Agregó que los casos de la Corte Suprema del Departamento de Justicia de los Estados Unidos c/ Reporters Comm. for Freedom of the Press, 489 U.S. 749, 763 y n. 15 (1989) y Cox Broadcasting Corp. c/ Cohn, 420 US 469, 488 (1975) aceptaron esas “raíces del derecho a la privacidad en el derecho consuetudinario” [p. 15]. Sin embargo, el Tribunal enfatizó que “[…] los derechos a la privacidad en el derecho consuetudinario están entrelazados con zonas de privacidad protegidas constitucionalmente” y se refirió a los casos de Gibson c/ Fla. Legislative Investigation Comm., 372 U.S. 539, 569 n. 7 (1963) y Kyllo c/ United States, 9th Cir. 533 U.S. 27 (2001), que habían sostenido que el derecho a la privacidad formaba parte de las protecciones constitucionales según la primera enmienda (el derecho a la libertad de expresión) y la cuarta enmienda (la prohibición de registros y allanamientos irrazonables). Con respecto a la cuarta enmienda, el Tribunal señaló que la jurisprudencia de la Corte Suprema “reconoció que los avances en la tecnología pueden incrementar el potencial de intrusiones irrazonables en la privacidad personal” [p. 16].

El Tribunal describió las amenazas a la privacidad planteadas por la tecnología de reconocimiento facial de Facebook y señaló que la tecnología actualmente le permite a Facebook identificar a usuarios individuales de Facebook, sus ubicaciones y sus amigos, y que en el futuro esto podría permitir la identificación de personas a partir de fotografías de vigilancia. El Tribunal concluyó que el “desarrollo de una plantilla facial que utiliza tecnología de reconocimiento facial sin consentimiento (como se alega aquí) invade los asuntos privados e intereses concretos de un individuo” [p. 17]. El Tribunal señaló que, al adoptar la BIPA, la Asamblea General de Illinois había reconocido las amenazas a la privacidad que plantean los datos biométricos y que, en el caso de Rosenbach c/ Six Flags Entertainment Corp., IL 123186 (2019), el Tribunal Supremo de Illinois había determinado que el propósito de la BIPA era proteger la privacidad biométrica [p. 17-18]. El caso Rosenbach también estableció que un individuo podría sufrir un perjuicio debido a la violación de la BIPA cuando una entidad privada no cumple con sus obligaciones según la sección 15, porque dicha violación ocasiona una invasión de los derechos de las personas.

En consecuencia, el Tribunal sostuvo que las disposiciones de la BIPA protegen los intereses concretos y la privacidad de las personas y “no meramente los derechos procesales” [pág. 18].

Al evaluar la segunda cuestión, “si las violaciones procesales específicas alegadas en este caso realmente perjudican, o presentan un riesgo material de perjuicio a dichos intereses”, el Tribunal se refirió al caso Rosenbach al señalar que las disposiciones de la BIPA son esenciales para proteger el derecho a la privacidad en un mundo digital. El Tribunal enfatizó que la BIPA protege la privacidad biométrica, de tal manera que la recopilación de esos datos por parte de Facebook “necesariamente” viola el «derecho sustancial a la privacidad de los usuarios” [p. 19].

En consecuencia, el Tribunal sostuvo que los usuarios habían alegado un “perjuicio concreto y particularizado” [pág. 20].

El Tribunal también sostuvo que el Tribunal de Distrito estaba en lo correcto al certificar la acción de grupo.