Illinois
BIPA Explicada: Ley de Privacidad Biométrica de Illinois (740 ILCS 14)
La Ley de Privacidad de Información Biométrica de Illinois (BIPA), 740 ILCS 14, es la ley de privacidad biométrica más estricta de Estados Unidos. Promulgada en 2008, exige el consentimiento por escrito antes de que una empresa privada recopile su huella dactilar, escaneo facial o huella de voz, y es la única ley de este tipo que permite a las personas demandar por su cuenta.
Alcance jurisdiccional: Esta guía cubre la Ley de Privacidad de Información Biométrica de Illinois (740 ILCS 14) a partir de 2026, incluida la enmienda de 2024. Es información legal general, no asesoría legal. Para conocer las reglas biométricas de Illinois en el contexto más amplio de la privacidad estatal, consulte nuestra guía de privacidad de datos de Illinois.
¿Qué es la Ley de Privacidad de Información Biométrica (BIPA)?
La Ley de Privacidad de Información Biométrica es un estatuto de Illinois, 740 ILCS 14, que la Asamblea General aprobó en 2008. Su propósito es sencillo: un identificador biométrico es biológicamente único y, a diferencia de una contraseña o un número de tarjeta de crédito, no se puede cambiar si se filtra. Por lo tanto, la ley regula cómo las empresas privadas manejan esos datos y otorga a los residentes de Illinois derechos exigibles sobre ellos.
BIPA cubre cuatro tipos de identificadores biométricos: un escaneo de retina o iris, una huella dactilar, una huella de voz y un escaneo de la geometría de la mano o el rostro. También cubre información biométrica, es decir, cualquier dato basado en uno de esos identificadores que se utilice para identificar a una persona. El estatuto excluye deliberadamente algunas cosas, incluidas las fotografías, las firmas manuscritas, las descripciones físicas como la estatura o el color de ojos, y los datos de atención médica ya regulados por HIPAA.
Qué Exige BIPA
Los deberes principales de BIPA se encuentran en la Sección 15. Una empresa privada que maneje datos biométricos debe cumplir con todo lo siguiente.
- Obtener primero el consentimiento informado por escrito (Sección 15(b)). Antes de recopilar un identificador biométrico, la empresa debe informar a la persona por escrito que los datos están siendo recopilados y almacenados, explicar el propósito específico y por cuánto tiempo se conservarán, y obtener una autorización por escrito. Después de la enmienda de 2024, una firma electrónica cuenta como esa autorización por escrito.
- Publicar y seguir un calendario de retención y destrucción (Sección 15(a)). La política debe estar disponible públicamente, y los datos deben destruirse cuando se cumpla el propósito o dentro de los tres años posteriores a la última interacción de la persona, lo que ocurra primero.
- Nunca vender ni lucrar con los datos (Sección 15(c)).
- Limitar la divulgación (Sección 15(d)). Los datos biométricos no pueden compartirse sin consentimiento, a menos que se aplique una excepción limitada, como completar una transacción solicitada por la persona o responder a una orden judicial o citación válida.
- Almacenarlos de forma segura (Sección 15(e)), utilizando al menos el estándar razonable de cuidado de la industria.
A Quién Cubre BIPA (y a Quién No)
BIPA se aplica a una "entidad privada", que incluye empresas, sociedades y asociaciones. Excluye expresamente a las agencias gubernamentales estatales y locales y a cualquier tribunal, secretario judicial o juez de Illinois, por lo que los organismos públicos no están sujetos a su derecho de acción privada. El proveedor del reloj checador biométrico que construye el sistema es en sí mismo una entidad privada y puede ser demandado directamente, razón por la cual los proveedores de tecnología, no solo los empleadores, son demandados frecuentes bajo BIPA.
Sanciones y el Derecho a Demandar
La Sección 20 es lo que hace que BIPA sea tan consecuente. Cualquier persona agraviada por una infracción puede demandar en un tribunal estatal, o como reclamo suplementario en un tribunal federal, y recuperar el mayor de los daños liquidados o reales: $1,000 por cada infracción negligente y $5,000 por cada infracción intencional o imprudente, más honorarios de abogados razonables, costos y medidas cautelares. La Corte Suprema de Illinois ha aclarado que estos daños estatutarios son discrecionales y no automáticos, lo que da a los tribunales de primera instancia margen para evitar sentencias ruinosas.
Los Casos Que Dieron Forma a BIPA
Tres decisiones de la Corte Suprema de Illinois definen cómo funciona BIPA en la actualidad.
- Rosenbach v. Six Flags Entertainment Corp. (2019 IL 123186). La corte resolvió que una persona no necesita alegar ningún daño más allá de la infracción estatutaria para estar agraviada. La infracción del derecho es en sí misma el daño. Esto abrió la puerta a la ola de demandas colectivas bajo BIPA.
- Tims v. Black Horse Carriers, Inc. (2023 IL 127801). La corte resolvió que un único plazo de prescripción de cinco años se aplica a todos los reclamos bajo BIPA, resolviendo la incertidumbre anterior sobre el plazo de presentación.
- Cothron v. White Castle System, Inc. (2023 IL 128004). La corte resolvió que surge un reclamo independiente cada vez que una empresa escanea o transmite datos biométricos sin consentimiento, no solo la primera vez. Debido a que un reloj checador de huellas dactilares puede escanear a un empleado miles de veces, esto generó una exposición a daños enorme e impulsó a la legislatura a actuar.
Un fallo relacionado, Mosby v. Ingalls Memorial Hospital (2023 IL 129081), sostuvo que la exención de atención médica de BIPA no se limita a los propios pacientes de un hospital.
La Enmienda de 2024
En respuesta a Cothron, la legislatura de Illinois enmendó BIPA mediante el Senate Bill 2979, promulgado como la Ley Pública 103-0769 y vigente desde el 2 de agosto de 2024. La enmienda introdujo dos cambios importantes:
- Una sola recuperación por recopilación repetida. Cuando una empresa recopila o divulga el mismo identificador biométrico de la misma persona utilizando el mismo método más de una vez en infracción de la Sección 15(b) o 15(d), ahora cuenta como una sola infracción, y la persona tiene derecho a, como máximo, una recuperación. Esto anula directamente la multiplicación de daños por escaneo que estableció Cothron.
- Las firmas electrónicas cuentan. La enmienda confirma que una firma electrónica satisface el requisito de autorización por escrito de BIPA.
Queda una pregunta abierta sin resolver: si este límite de daños se aplica a los reclamos que surgieron antes de agosto de 2024. El Séptimo Circuito federal ha aplicado la enmienda de forma retroactiva, pero los tribunales estatales de Illinois no han resuelto la cuestión de manera uniforme, por lo que la retroactividad debe considerarse un tema en evolución.
BIPA en el Lugar de Trabajo
La mayor parte de los litigios bajo BIPA proviene del contexto laboral, donde las empresas usan relojes checadores de huella dactilar o geometría de la mano sin completar los pasos de aviso y consentimiento. Rosenbach involucró una huella dactilar en un parque temático, y Cothron, Tims y el caso de BNSF involucraron todos escaneos biométricos de trabajadores. Para un empleador, el cumplimiento significa dar a cada empleado un aviso por escrito y obtener una autorización firmada o firmada electrónicamente antes del primer escaneo, publicar una política de retención y destrucción, nunca vender los datos, controlar las divulgaciones al proveedor del reloj checador, y proteger los datos.
Principales Acuerdos de BIPA
| Empresa | Monto | Año | Estado |
|---|---|---|---|
| Facebook / Meta (etiquetado facial) | $650 millones | 2021 | Final |
| Google (agrupación facial de Google Photos) | $100 millones | 2022 | Final |
| TikTok | $92 millones | 2021 | Final |
| Clearview AI (extracción masiva de datos faciales) | Aproximadamente $51.75 millones, pagados como participación accionaria | 2025 | Final |
| BNSF Railway (relojes checadores de huella dactilar) | Acuerdo de $75 millones (un veredicto anterior del jurado de $228 millones fue anulado) | 2024 | Acordado |
Explore BIPA en Detalle
- Daños de BIPA: cuánto vale una infracción
- Plazo de prescripción de BIPA: el límite de 5 años
- Cumplimiento de BIPA para empleadores (con autoevaluación gratuita)
- ¿Tiene un reclamo bajo BIPA? (verificador de elegibilidad)
Guías Relacionadas
- Privacidad Biométrica de Illinois (contexto estatal): cómo encaja BIPA dentro de la ley de privacidad de datos de Illinois.
- Leyes de Privacidad Biométrica por Estado: cómo se compara Illinois con Texas, Washington y todos los demás estados.
- Leyes de Privacidad de Datos de Illinois: el panorama completo de la privacidad del consumidor en Illinois.
Preguntas frecuentes
¿Qué es la Ley de Privacidad de Información Biométrica de Illinois (BIPA)?
BIPA (740 ILCS 14) es una ley de Illinois de 2008 que regula cómo las empresas privadas recopilan, almacenan, usan y destruyen identificadores biométricos como huellas dactilares, escaneos faciales y de iris, y huellas de voz. Exige aviso y consentimiento por escrito, y otorga a las personas un derecho de acción privada con daños estatutarios.
¿Cuánto se puede recuperar por una infracción de BIPA?
La Sección 20 permite el mayor de los daños liquidados o reales: $1,000 por cada infracción negligente y $5,000 por cada infracción intencional o imprudente, más honorarios de abogados, costos y medidas cautelares. Los daños son discrecionales, no automáticos, y una enmienda de 2024 limita las recopilaciones repetidas mediante el mismo método a una sola recuperación.
¿Es necesario probar un daño para demandar bajo BIPA?
No. Bajo Rosenbach v. Six Flags (2019 IL 123186), una simple infracción de las reglas de aviso y consentimiento de BIPA lo convierte en una persona agraviada que puede demandar, incluso sin un daño independiente.
¿Qué cambió la enmienda de BIPA de 2024?
Vigente desde el 2 de agosto de 2024, la Ley Pública 103-0769 limita las infracciones de la Sección 15(b) y 15(d) a una sola recuperación por persona, sin importar cuántas veces se recopilaron los mismos datos de la misma manera, lo que anula la regla de daños por escaneo establecida en Cothron v. White Castle, y confirma que una firma electrónica satisface el requisito de consentimiento por escrito.
¿Cuál es el plazo para presentar un reclamo bajo BIPA?
Cinco años, según Tims v. Black Horse Carriers (2023 IL 127801), que aplicó el plazo de prescripción general de 735 ILCS 5/13-205 a todos los reclamos bajo BIPA.
¿Se aplica BIPA a las agencias gubernamentales?
No. BIPA regula únicamente a las entidades privadas y excluye expresamente a las agencias gubernamentales estatales y locales y a los tribunales, por lo que los organismos públicos no están sujetos a su derecho de acción privada.
¿Puede mi empleador obligarme a marcar mi entrada con una huella dactilar?
Sí, pero solo después de darle un aviso por escrito sobre qué se recopila, el propósito y el plazo de retención, y de obtener su consentimiento firmado o firmado electrónicamente, además de seguir un calendario de retención y destrucción publicado. La mayoría de las demandas bajo BIPA provienen de relojes checadores de huella dactilar de empleadores que omitieron estos pasos.
¿Afectado por una filtración de datos o una violación de privacidad biométrica?
Si sus datos personales quedaron expuestos en una filtración, o si su huella dactilar o escaneo facial se recopiló sin su consentimiento, podría ser elegible para unirse a un reclamo por compensación. Averígüelo gratis y sin compromiso.
Fuentes y referencias
- Ley de Privacidad de Información Biométrica de Illinois, 740 ILCS 14(ilga.gov).gov
- 740 ILCS 14/15 - Recopilación, Retención, Divulgación, Destrucción(ilga.gov).gov
- 740 ILCS 14/20 - Derecho de Acción y Daños(ilga.gov).gov
- Ley Pública 103-0769 (SB 2979) - Enmienda de BIPA de 2024(ilga.gov).gov
- Rosenbach v. Six Flags Entertainment Corp., 2019 IL 123186(illinoiscourts.gov).gov
- Cothron v. White Castle System, Inc., 2023 IL 128004(courtlistener.com)
- Tims v. Black Horse Carriers, Inc., 2023 IL 127801(courtlistener.com)