Aprovechar la revolución biométrica en un paisaje cambiante

Si está pensando en incorporar información biométrica a su club de salud, hay cuatro principios que debe tener en cuenta para protegerse.

Desde hace algún tiempo, IHRSA ha examinado las múltiples facetas de la revolución biométrica, destacando cómo los clubes pueden aprovechar la demanda de los consumidores de datos de salud y fitness para crear iniciativas exitosas que aumenten los resultados y la retención. Los datos biométricos pueden hacer mucho más que ayudar con la demanda de los consumidores y aumentar el compromiso con sus miembros. Pueden impulsar una mayor eficiencia en las operaciones del club, mejorando la toma de decisiones y dando lugar a un ahorro de costes.

La biometría es el nuevo y excitante juguete que abre las posibilidades a los operadores de clubes para adaptar de forma experta los entrenamientos de los socios y demostrar resultados tangibles. Con herramientas como:

  • escaneo de huellas dactilares,
  • escáneres de composición corporal,
  • Prueba de VO2 máximo,
  • escáneres de iris y reconocimiento facial.
Revolución biométrica en un paisaje cambiante Imagen de la columna ocular

¿Cuál es el "pero"?

Los datos biométricos pueden ser el siguiente paso en la era del big data, pero también es información sensible sobre sus afiliados o empleados y debe ser protegida adecuadamente. Eso parece sencillo, pero podría no ser suficiente con proteger sus datos. Por no mencionar que lo que se considera protección podría estar cambiando.

Al igual que usted se interesa por los datos biométricos y lo que podrían significar para su empresa, los legisladores se interesan cada vez más por los datos biométricos y lo que significan para la privacidad de las personas. El uso de la biometría preocupa a algunos por la erosión de la privacidad y los posibles problemas de derechos civiles.

¿Qué significa esto?

Esto significa que esta revolución biométrica en auge -de la que quieren aprovecharse las empresas, los consumidores y partes del gobierno- está operando actualmente sobre una base construida en gran parte de arena. Con los legisladores tratando de regular la recopilación y el uso de los datos biométricos, el panorama legal y reglamentario de los datos biométricos está en constante cambio y probablemente seguirá así durante los próximos años.

En el momento de escribir este artículo, 12 estados están estudiando propuestas para restringir el uso de datos biométricos, y el Congreso también ha intervenido con una propuesta sobre la tecnología de reconocimiento facial. La forma en que se redacten e interpreten las próximas leyes sobre datos biométricos determinará el valor de los datos biométricos para los clubes de salud y otras empresas en el futuro.

Estados con y considerando leyes de datos biométricos 2019 ancho de columna

Los 12 estados están considerando propuestas que restringen el uso de datos biométricos (AZ, CA, CT, FL, IL, MA, MT, NH, NJ, NY, OR y RI).

¿Cómo aprovechar esta apasionante tecnología en un panorama jurídico incierto y cambiante?

No tengo una bola de cristal, pero si observamos los estados con leyes que restringen los datos biométricos y las propuestas de los estados que están considerando hacerlo, podemos identificar tendencias y principios que nos ayudarán a planificar el panorama biométrico que se avecina.

En la actualidad, sólo Illinois, Texas y Washington tienen leyes de privacidad que regulan la recogida y el uso de datos biométricos. Aunque cada estado define los datos biométricos de forma diferente, existen similitudes en los requisitos para la recogida y el tratamiento de los datos biométricos. Si se observan los estados que están considerando actualmente proyectos de ley sobre datos biométricos, muchos aplican los mismos principios generales que Illinois, Texas y Washington. He aquí los cinco principios generales que se desprenden de mi examen de las propuestas biométricas:

  1. Aviso: Informe a sus afiliados/empleados de que se recoge su información biométrica, por qué se recoge y cómo podría utilizarse.
  2. Consentimiento: Obtenga el consentimiento de sus afiliados/empleados para recoger y utilizar su información biométrica.
  3. Retención: Establezca un calendario para el tiempo que almacena la información biométrica de los afiliados/empleados
  4. Seguridad: Asegúrese de que proporciona un nivel de seguridad para la información biométrica al menos igual, si no superior, al que proporciona para otra información confidencial o personal.
  5. Propósito: Articular una justificación para la recogida de datos biométricos, y asegurarse de que es coherente con cualquier ley aplicable. ¿Quiere reforzar la seguridad de su club? ¿Proporcionar más beneficios a sus socios? Debe saber por qué la recogida de datos biométricos mejorará su negocio.

Estos principios están en consonancia con un cambio más amplio en la forma en que la sociedad y los reguladores ven la privacidad de los datos. Como se destacó en la publicación de mayo del CBI The Data Privacy Priority, la llegada del Reglamento General de Protección de Datos (GDPR) en Europa y la Ley de Privacidad del Consumidor de California (CCPA) han señalado un movimiento hacia una mayor transparencia y control del consumidor sobre la recopilación y el uso de los datos personales. Si recopila datos biométricos, o está considerando hacerlo, debería pensar seriamente en incorporar estos principios a sus procesos empresariales.

Algunas sugerencias sobre cómo podría empezar a poner en práctica estos principios:

  • Póngalo por escrito: Cree un formulario escrito que pueda entregar a los afiliados/empleados explicando sus prácticas de recogida de datos biométricos.
  • Menos es más: Sólo recoja y almacene los datos biométricos que necesite. Minimizar la recogida reduce el riesgo.
  • Consígalo por escrito: Obtenga el consentimiento por escrito de los afiliados/empleados autorizando la recogida de sus datos biométricos y conserve el consentimiento en el archivo.
  • Programas de retención: Cree un calendario de retención y unas directrices para destruir permanentemente la información biométrica cuando ya no exista una necesidad empresarial o legal de conservarla. Comparta el calendario de retención con sus miembros/empleados. Además, asegúrese de consultar las leyes de retención de registros de su estado para asegurarse de que cumple con ellas.
  • Anonimizar si es posible: Si es posible, haz que los datos sean anónimos, para que no puedan vincularse a una persona concreta. Hay diferentes maneras de conseguirlo, dependiendo de la tecnología que se utilice.

Tomar medidas ahora para incorporar los principios de notificación, consentimiento, retención y seguridad podría reportar verdaderos dividendos al minimizar la interrupción de las empresas cuando entren en vigor las nuevas leyes biométricas. Por ejemplo, la Ley de Privacidad de la Información Biométrica (BIPA) de Illinois contiene un derecho de acción privado. Este derecho de acción significa que las empresas privadas culpables de violar la BIPA son responsables de compensar a los demandantes:

  • 1.000 dólares o los daños reales (lo que sea mayor) si se considera que ha habido negligencia,
  • 5.000 dólares o los daños reales (lo que sea mayor) si se descubre que ha infringido la ley de forma intencionada o temeraria.

En una sentencia reciente, Rosenbach contra Six Flags Entertainment, el Tribunal Supremo de Illinois determinó que se puede demandar a una empresa por violar la BIPA, incluso si su recogida de información biométrica no provocó ningún daño al demandante. En otras palabras, si usted recoge datos biométricos en Illinois y se salta una casilla de la lista de control de la BIPA, es responsable.

"Los datos biométricos pueden ser el siguiente paso en la era del big data, pero también es información sensible sobre sus afiliados o empleados y debe protegerse adecuadamente."

Las demandas ya han comenzado y no harán más que aumentar. Florida, Nueva York y Rhode Island están considerando proyectos de ley biométricos sustancialmente similares a la BIPA de Illinois -incluyendo el derecho de acción privada-, por lo que lo que está en juego es la participación en la revolución biométrica.

¿Cuál es el consenso sobre la regulación de los datos biométricos?

No hay ninguna. Sin embargo, hay suficientes puntos en común entre las leyes existentes y las propuestas de ley que nos permiten ver cómo los legisladores están abordando el tema. Como en cualquier evaluación, hay valores atípicos que no se ajustan a las tendencias. El proyecto de ley 284 del Senado de Oregón, por ejemplo, prohibiría directamente a los empresarios la recogida de datos biométricos de los empleados. Mientras que el proyecto de ley 536 de la Cámara de Representantes de New Hampshire, convierte en una violación de la ley de protección del consumidor de New Hampshire el hecho de que una empresa recopile, utilice, revele o almacene información biométrica para "cualquier propósito distinto al que el individuo espera razonablemente". Si se combina esto con una definición muy amplia de la información biométrica, el proyecto de ley se vuelve tan vago que es difícil entender cómo se aplicaría.

Ahora es un buen momento para empezar a evaluar cómo se recogen los datos biométricos y considerar los cuatro principios de notificación, consentimiento, retención y seguridad. Si aún no se ha sumado a la revolución biométrica, pero está pensando en hacerlo, considere la posibilidad de incorporar estos principios a su programa biométrico y ayude a protegerse del cambiante panorama de los datos biométricos.

Artículos y publicaciones relacionados

Avatar del autor

Jeff Perkins

Jeff Perkins ocupó anteriormente el cargo de Vicepresidente de Gobernanza y Asuntos Públicos de IHRSA, centrado en supervisar e influir en la legislación a nivel estatal y federal para proteger los modelos de negocio y las operaciones de los clubes, y ayudar a promover los beneficios del ejercicio físico para la salud.