Un sujeto interpuso una acción de clase contra una reconocida empresa de intercambio de criptoactivos a la que cuestionó por no eliminar sus datos biométricos requeridos para activarla. El reconocimiento facial y las huellas digitales como materia de discusión.
Un sujeto interpuso una demanda colectiva contra el gigante de las criptomonedas Coinbase Inc, a quien reclamó por la supuesta recopilación, obtención, uso, almacenamiento y divulgación ilegales de la información biométrica sensible de los usuarios.
La acción se interpuso ante el Tribunal del Distrito Norte de California por un hombre llamado Michael Massel, individualmente, y en nombre de todos los demás en situación similar, y contra la empresa detrás de la plataforma de criptoactivos.
En su demanda, explicó que abrió su cuenta en la aplicación hacía aproximadamente 5 años y que en el proceso de activación de la cuenta se le requería una fotografía de sus documentos de identidad y una “selfie” en tiempo real para autentificar su identidad durante el procedimiento de KYC, por medio del cual la empresa creaba una plantilla biométrica de la cara del usuario a través de la selfie y procedía a comparar la información con las fotografías de la identificación para corroborar si era la misma persona. Sin ese proceso la demandada no permitía activar la cuenta del usuario.
Además agregó que al crear la cuenta la firma crea una wallet para el usuario y requiere de una autentificación biométrica para ingresar consistente en el escaneo de la huella digital con el dispositivo móvil que se utiliza para habilitar el ingreso a la cuenta.
Con toda esa información, sostuvo que la empresa recolectaba, almacenaba, utilizaba y difundía la información de los usuarios beneficiándose de esa recopilación y que al ser datos biométricos únicos de cada usuario, los exponía a estos a un riesgo para su privacidad grave e irreversible ante un posible hackeo, robo, u otro acto ilícito, sin que el usuario pueda evitar la usurpación de identidad, el rastreo no autorizado u otros actos indebidos, todo lo cual iba en contra de la Ley BIPA de Illinois que busca proteger la privacidad de los usuarios en cuanto a sus datos biométricos.
Lo reclamado ... no eliminó los datos biométricos de reconocimiento facial cuya finalidad era permitir la activación de la cuenta, al igual que los datos de huellas digitales ... la empresa mantenía una base de datos con esta información, sin alertar al usuario en forma escrita que esa información sería almacenada, recolectada y usada con otros fines, razón por la cual no contaban con una autorización expresa de los usuarios para mantener esa información biométrica.
La ley en cuestión dispone que una entidad privada como la demandada no puede obtener ni poseer los datos biométricos de una persona a menos que “(1) informe a esa persona por escrito de que se recopilarán o almacenarán identificadores o datos biométricos; (2) informe por escrito a dicha persona de la finalidad específica y la duración de la recogida, almacenamiento y utilización de dichos identificadores biométricos o información biométrica; (3) reciba una autorización por escrito de la persona para la recogida de sus identificadores biométricos o información; y (4) publique por escrito y a disposición del público los calendarios de conservación y las directrices para la destrucción permanente de los identificadores biométricos y la información biométrica”
En definitiva, lo reclamado versaba en torno al hecho de que la empresa no eliminó los datos biométricos de reconocimiento facial cuya finalidad era permitir la activación de la cuenta, al igual que los datos de huellas digitales debieran eliminarse al desloguearse de la cuenta o dejar de usar la aplicación, sin embargo la empresa mantenía una base de datos con esta información, sin alertar al usuario en forma escrita que esa información sería almacenada, recolectada y usada con otros fines, razón por la cual no contaban con una autorización expresa de los usuarios para mantener esa información biométrica.
También acusó a la compañía de haber vendido, arrendado, comercializado o lucrado de cualquier forma con la información biométrica del actor, y de divulgarla o difundirla sin su consentimiento con terceras partes entre las que nombró algunas como las empresas Jumio Corporation, Onfido, Inc., Au10tix LTD, Solaris AG, and Liquid Co., Ltd..
La acción reclamó un juicio por jurados para que se condene a la demandada al pago de daños y perjuicios por violar la ley BIPA.