Do rastreamento por reconhecimento facial às violações de dados de impressões digitais, aprenda como combater a coleta não autorizada de dados biométricos. Proteções BIPA de Illinois, acordo da Meta de $1.4B no Texas, julgamentos Clearview AI e direitos de dados de categoria especial do Artigo 9 do GDPR.
Seu rosto, impressões digitais, padrões de íris, impressão de voz e até mesmo seu DNA são identificadores biológicos únicos—muito mais sensíveis do que senhas ou números de cartão de crédito, porque não podem ser alterados se roubados ou mal utilizados. No entanto, as empresas coletam cada vez mais esses dados biométricos com supervisão mínima, incorporando o reconhecimento facial em aplicativos de mídia social, usando escaneamentos de impressões digitais para relógios de ponto no local de trabalho, implantando escaneadores de íris para acesso a edifícios e coletando bilhões de fotos da internet para construir bancos de dados de vigilância—muitas vezes sem consentimento claro, segurança adequada ou divulgação de como os dados serão usados ou compartilhados.
As consequências da coleta não autorizada de dados biométricos são graves. Uma vez que sua geometria facial ou modelo de impressão digital é roubado em uma violação de dados, criminosos podem usá-lo para roubo de identidade para sempre—você não pode obter um novo rosto ou novas impressões digitais. Sistemas de vigilância biométrica permitem o rastreamento generalizado de seus movimentos através de espaços públicos, lojas e locais de trabalho sem o seu conhecimento. Algoritmos discriminatórios incorporados em sistemas de reconhecimento facial identificam erroneamente minorias em taxas alarmantes, levando a prisões indevidas (pelo menos seis casos documentados nos EUA até 2024). As empresas lucram vendendo seus dados biométricos para anunciantes, corretores de dados e até mesmo governos autoritários.
Illinois liderou o caminho em 2008 ao promulgar a Lei de Privacidade de Informações Biomimétricas (BIPA), a lei de privacidade biométrica mais forte do país, que concede aos indivíduos um direito privado de ação para processar empresas que coletam dados biométricos sem consentimento e divulgação por escrito. A BIPA prevê danos estatutários de $1,000 por violação negligente e $5,000 por violação imprudente/intencional—o que significa que nenhuma prova de dano real é exigida. O Texas seguiu com a Lei de Captura ou Uso de Identificador Biomimétrico (CUBI) (emendas de 2023 fortaleceram a aplicação). A CCPA da Califórnia classifica os dados biométricos como informações pessoais sensíveis que exigem proteções elevadas. E o Artigo 9 do GDPR da União Europeia trata os dados biométricos como dados de "categoria especial" que exigem consentimento explícito e segurança rigorosa.
Grandes acordos validaram essas proteções: A Meta pagou $1.4 bilhão ao Texas (2024) pela coleta de dados de reconhecimento facial sem consentimento, o maior acordo de privacidade por um único estado. A Meta pagou anteriormente $650 milhões para resolver uma ação coletiva BIPA de Illinois sobre a marcação de fotos no Facebook. A Clearview AI pagou $50 milhões para resolver reivindicações de Illinois por coletar bilhões de fotos. O Google pagou $100 milhões pelo reconhecimento facial do Google Fotos (Illinois). Amazon Ring, Six Flags, Snapchat, TikTok e dezenas de empregadores pagaram acordos BIPA que variam de $500,000 a $100 milhões. Reivindicações individuais BIPA regularmente rendem $5,000-$15,000 por pessoa. Este guia mostra como identificar violações de privacidade biométrica, entender seus direitos e buscar todas as vias de compensação.
A BIPA de Illinois (740 ILCS 14/) é a lei de privacidade biométrica mais forte dos EUA. Ela se aplica a qualquer entidade privada que coleta, captura, armazena ou usa identificadores biométricos (geometria facial, impressões digitais, impressões de voz, escaneamentos de íris, escaneamentos de retina, escaneamentos de mão, reconhecimento de marcha) de residentes de Illinois—mesmo que a empresa esteja sediada em outro lugar. As empresas devem: (1) desenvolver e publicar uma política de retenção e destruição por escrito; (2) fornecer aviso por escrito de que dados biométricos estão sendo coletados; (3) obter consentimento por escrito; (4) nunca vender, alugar ou lucrar com dados biométricos; (5) usar cuidado razoável para proteger dados biométricos (o mesmo padrão que dados financeiros).
Poder chave da BIPA: direito privado de ação. Você pode processar diretamente no tribunal estadual de Illinois sem apresentar uma queixa administrativa. Danos: $1,000 por violação negligente, $5,000 por violação intencional/imprudente, mais honorários advocatícios. Nenhuma prova de dano real é exigida—a própria violação cria uma reivindicação. Os tribunais decidiram que cada escaneamento pode ser uma violação separada (por exemplo, se o empregador escaneou sua impressão digital 500 vezes para o relógio de ponto ao longo de 2 anos, danos potenciais: $500,000-$2.5M, embora os tribunais geralmente concedam menos). Prazo de prescrição: 5 anos (às vezes 1 ano para violações de liberação por escrito—complexo).
Common BIPA Violations:
Violações comuns da BIPA: Empregador exige escaneamento de impressão digital sem consentimento por escrito. Facebook te marca em fotos usando reconhecimento facial sem consentimento. Sistema de segurança escaneia seu rosto para entrada no edifício sem divulgação. Varejista usa reconhecimento facial para rastreamento de clientes sem aviso. Aplicativo analisa sua impressão de voz sem consentimento.
O Capítulo 503 do Código de Negócios e Comércio do Texas (fortalecido em 2023) protege identificadores biométricos (geometria facial, impressão de voz, escaneamento de retina/íris, impressão digital, escaneamento de mão, dinâmica de digitação). As empresas devem: (1) informar os indivíduos de que dados biométricos estão sendo capturados; (2) obter consentimento (pode estar nos termos de serviço, mas deve ser claro); (3) destruir os dados dentro de um tempo razoável após o cumprimento da finalidade; (4) proteger os dados com cuidado razoável. Proibição: não pode vender, alugar ou divulgar dados biométricos sem consentimento.
Aplicação: O Procurador-Geral do Texas pode processar por medida cautelar e $25,000 por violação. Direito privado de ação: indivíduos podem processar por danos reais se sofrerem dano, mais honorários advocatícios. Ao contrário da BIPA de Illinois, a CUBI do Texas exige prova de dano real para ações judiciais privadas (ônus mais difícil), mas a aplicação estadual tem sido agressiva—o acordo da Meta de $1.4B foi movido pelo AG do Texas sob CUBI + Texas DTPA. Ações coletivas são possíveis.
Note:
Prioridades de aplicação do AG do Texas (2024): Reconhecimento facial em mídias sociais, rastreamento biométrico de funcionários sem consentimento, violações de dados expondo dados biométricos, venda de dados biométricos a terceiros.
A CCPA (Cal. Civ. Code § 1798.100 et seq.) classifica "informações biométricas" (características fisiológicas, biológicas ou comportamentais que podem ser usadas para identificação, incluindo imagens faciais, escaneamentos de íris, impressões digitais, impressões de voz, padrões de digitação, marcha) como "informações pessoais sensíveis." As empresas devem: (1) divulgar a coleta de dados biométricos na política de privacidade; (2) oferecer direito de opt-out (os consumidores podem limitar o uso a propósitos necessários); (3) não vender dados biométricos sem consentimento explícito de opt-in. Violações: O Procurador-Geral da Califórnia ou a Agência de Proteção à Privacidade podem multar em $2,500 por violação ($7,500 por intencional). Violação de dados: Se dados biométricos forem violados devido à falta de segurança razoável, os consumidores podem processar por $100-$750 por incidente, ou danos reais (o que for maior), mais honorários advocatícios. Ao contrário da BIPA de Illinois, a CCPA não prevê danos estatutários para coleta sem consentimento na ausência de uma violação de dados.
A RCW 19.375 exige que as empresas que inscrevem consumidores em sistemas de identificadores biométricos: (1) forneçam aviso da finalidade e duração da inscrição; (2) obtenham consentimento; (3) destruam os dados quando a finalidade for cumprida ou dentro de 3 anos. Violações são aplicadas pelo Procurador-Geral de Washington sob a Lei de Proteção ao Consumidor: até $7,500 por violação. Direito privado de ação: os consumidores podem processar por danos reais, medida cautelar e honorários advocatícios se sofrerem dano. Mais forte que a CCPA, mas mais fraca que a BIPA de Illinois (exige prova de dano para danos individuais).
O Artigo 9 do GDPR classifica os dados biométricos usados para identificação única (reconhecimento facial, correspondência de impressões digitais, escaneamentos de íris, DNA) como dados pessoais de "categoria especial" que exigem consentimento explícito (não apenas opt-in, mas consentimento afirmativo, informado e livremente dado) ou outra exceção do Artigo 9 (por exemplo, interesse público substancial com base legal). Os controladores devem realizar Avaliações de Impacto sobre a Proteção de Dados (AIPDs) para o processamento biométrico. Os requisitos de segurança são elevados.
Violações: Até €20 milhões ou 4% do faturamento anual global (o que for maior). Indivíduos podem processar por danos materiais e não materiais sob o Artigo 82 (tribunais da UE concederam €2,000-€10,000 por violações biométricas do GDPR causando sofrimento emocional, mais alto se houver violação de dados ou discriminação). Direito ao apagamento (Artigo 17): você pode exigir a exclusão de seus dados biométricos se o consentimento for inválido ou se os dados não forem mais necessários. As APDs nacionais (Autoridades de Proteção de Dados) aplicam—apresente uma queixa à APD em seu país da UE.
Major GDPR Fines:
Principais multas biométricas do GDPR: Clearview AI (€20M+ em multas em vários países da UE por banco de dados ilegal de reconhecimento facial), H&M (€35M por vigilância de funcionários), British Airways (£20M por violação de dados de passaporte biométrico).
Nenhuma lei federal abrangente de privacidade biométrica ainda, mas: (1) Seção 5 da Lei da FTC: A FTC pode processar empresas por práticas injustas/enganosas se coletarem dados biométricos contrariamente às promessas da política de privacidade ou sem divulgação. Snapchat, TikTok, Facebook resolveram queixas da FTC. (2) Lei de Proteção da Privacidade Online das Crianças (COPPA): Proíbe a coleta de dados biométricos de crianças menores de 13 anos sem consentimento parental verificável. (3) Leis federais propostas: Lei Nacional de Privacidade de Informações Biomimétricas (pendente, modelada na BIPA de Illinois), Lei da Quarta Emenda Não Está à Venda (restringe a compra de dados biométricos pelo governo). (4) Agências federais: A HIPAA do HHS cobre dados biométricos coletados por entidades de saúde. O reconhecimento facial da TSA em aeroportos está sujeito à Lei de Privacidade—recursos limitados.
O Procurador-Geral do Texas processou a Meta (Facebook) sob a CUBI do Texas e a Lei de Práticas Comerciais Enganosas por coletar milhões de dados de reconhecimento facial de texanos através da marcação de fotos sem consentimento. O recurso de reconhecimento facial do Facebook escaneava automaticamente rostos em fotos carregadas para sugerir marcações, coletando geometria facial. Acordo: $1.4 bilhão (o maior acordo de privacidade por um único estado), pago ao longo de 5 anos. A Meta concordou em parar de usar reconhecimento facial no Texas sem consentimento explícito, excluir dados previamente coletados e se submeter a monitoramento. Significado: Provou que os Procuradores-Gerais estaduais podem garantir danos massivos sob as leis biométricas estaduais mesmo na ausência de lei federal.
A ação coletiva Patel v. Facebook alegou que o reconhecimento facial de marcação de fotos do Facebook violou a BIPA de Illinois ao coletar e armazenar geometria facial sem consentimento por escrito de 1.6 milhão de usuários de Illinois. O tribunal federal aprovou um acordo de $650M (média de $397 por pessoa, com alguns recebendo $300-$500 dependendo dos anos de uso). Requisitos: Residente de Illinois com conta no Facebook entre junho de 2011 e agosto de 2021, onde você ou amigos apareceram em fotos. Significado: Maior acordo BIPA e maior ação coletiva de privacidade na época. Estabeleceu que o reconhecimento facial automático de fotos, mesmo que carregadas por amigos (não por você), aciona os requisitos de consentimento da BIPA.
A Clearview AI coletou 30 bilhões de fotos de mídias sociais, sites e internet pública para construir um banco de dados de reconhecimento facial vendido a autoridades policiais e empresas privadas. Residentes de Illinois processaram sob a BIPA. Acordo (2024): $50M (pago em ações da Clearview aos membros da classe—estrutura controversa), mais liminar nacional: A Clearview proibida de vender acesso ao banco de dados a empresas privadas nos EUA, deve notificar os indivíduos se seus dados biométricos estiverem no banco de dados e permitir o opt-out. Acordos separados: Acordo da ACLU restringiu o uso da Clearview. Vários países da UE multaram a Clearview em mais de €20M sob o GDPR. Casos em andamento na Califórnia, Vermont. Significado: Estabeleceu que a coleta de fotos públicas para construir um banco de dados de reconhecimento facial viola a BIPA mesmo que as fotos tenham sido publicadas publicamente.
Ação coletiva alegou que o recurso de agrupamento por reconhecimento facial do Google Fotos ("agrupamento facial" para organizar fotos por pessoa) violou a BIPA ao coletar e armazenar geometria facial sem consentimento por escrito. Acordo: US$ 100 milhões para residentes de Illinois que usaram o Google Fotos e foram retratados em fotos entre maio de 2015 e abril de 2023. Pagamento médio: US$ 150 a US$ 400 por pessoa. O Google concordou em fornecer divulgações mais claras da BIPA e obter consentimento antes do reconhecimento facial em Illinois. Significado: Primeiro grande acordo da BIPA contra o Google, mostra que os serviços de fotos em nuvem estão sujeitos à BIPA.
A FTC processou a Amazon pelas câmeras de campainha Ring: (1) por dar aos funcionários acesso irrestrito a gravações de vídeo de clientes, incluindo momentos íntimos; (2) por usar reconhecimento facial em vídeos de clientes para treinar IA sem consentimento; (3) por falhas de segurança que levaram hackers a acessar câmeras. Acordo: US$ 5,8 milhões para reparação ao consumidor. A Amazon concordou em excluir dados coletados indevidamente, implementar salvaguardas de privacidade e parar de usar vídeos de clientes para treinamento de IA sem consentimento explícito. Significado: Estabeleceu que a FTC fará cumprir a privacidade biométrica sob a Seção 5, mesmo na ausência de uma lei biométrica federal específica.
Rosenbach v. Six Flags (Suprema Corte de Illinois 2019) estabeleceu um precedente chave da BIPA: A Six Flags escaneou a impressão digital de um adolescente para um passe de temporada sem consentimento por escrito ou divulgação. A Suprema Corte de Illinois decidiu: A violação da BIPA ocorre no momento da coleta sem consentimento — nenhuma prova de dano real é exigida (anulando a decisão de arquivamento do tribunal inferior). A ação coletiva subsequente foi resolvida por US$ 36 milhões (para titulares de passes de temporada de Illinois de 2013 a 2018 cujas impressões digitais foram escaneadas). Pagamento médio: US$ 200 a US$ 400 por pessoa. Significado: Caso marcante que estabelece o poder da BIPA mesmo sem dano tangível.
Ação coletiva alegou que as lentes/filtros de realidade aumentada do Snapchat (orelhas de cachorro, troca de rosto, etc.) usavam reconhecimento facial para mapear a geometria facial sem o consentimento da BIPA. Acordo: US$ 35 milhões para usuários do Snapchat em Illinois de janeiro de 2015 a novembro de 2022 que usaram as lentes. Média: US$ 58 por pessoa. O Snapchat concordou em fornecer divulgações da BIPA em Illinois. Significado: Estabeleceu que filtros de RA "divertidos" que coletam geometria facial estão sujeitos à BIPA — não isentos como "entretenimento comercial".
Ação coletiva consolidou 21 processos alegando que o TikTok: (1) coletou dados de reconhecimento facial e voz sem consentimento (reivindicações da BIPA em Illinois); (2) compartilhou dados com a China; (3) violou a privacidade de crianças. Acordo: US$ 92 milhões (2021) para usuários do TikTok nos EUA a partir de outubro de 2021. Os requerentes da BIPA em Illinois receberam pagamentos aprimorados (US$ 167 a US$ 500, dependendo do nível de atividade). O TikTok concordou em interromper certas práticas de coleta de dados e fornecer divulgações de privacidade mais claras. Significado: Um dos primeiros grandes acordos da BIPA contra uma grande plataforma de propriedade chinesa.
Centenas de empregadores de Illinois foram processados sob a BIPA por exigir escaneamento de impressões digitais para relógios de ponto sem consentimento por escrito: franquias do McDonald's (acordo de US$ 50 milhões), Mondelez/Nabisco (US$ 5 milhões), empresas de transporte, armazéns, instalações de saúde. A maioria se acerta por US$ 500 a US$ 5.000 por funcionário afetado. Significado: Estabeleceu que os sistemas biométricos no local de trabalho devem cumprir a BIPA — a relação empregador-empregado não cria isenção. Impacto prático: A maioria dos grandes empregadores de Illinois agora usa crachás em vez de relógios de ponto biométricos.
Casos de privacidade biométrica exigem a prova de que: (1) a empresa coletou/armazenou seus dados biométricos, (2) sem consentimento/divulgação adequados, (3) em violação da lei aplicável. Veja como coletar evidências:
Documente quais dados biométricos foram coletados: Reconhecimento facial (câmeras de segurança, filtros de aplicativos, marcação de fotos), escaneamento de impressão digital (relógios de ponto, acesso a edifícios, desbloqueio de telefone), escaneamento de íris/retina (segurança de aeroportos, acesso de alta segurança), voz (assistentes de voz, centrais de atendimento), reconhecimento de marcha (sistemas de vigilância). Evidências: Tire fotos de dispositivos/sinais, capture telas de permissões de aplicativos mostrando acesso biométrico, revise políticas de privacidade que mencionam reconhecimento facial ou dados biométricos.
Para reivindicações da BIPA em Illinois, você deve mostrar que a empresa NÃO forneceu: (1) divulgação por escrito de que dados biométricos estavam sendo coletados, (2) divulgação por escrito da finalidade e duração do armazenamento, (3) consentimento por escrito (assinatura ou caixa de seleção concordando com a coleta biométrica). Evidências: Mostre que você nunca assinou um formulário de consentimento biométrico. Se o consentimento estava "enterrado" em termos de serviço gerais ou política de privacidade sem uma seção biométrica específica, isso muitas vezes NÃO satisfaz o requisito de "divulgação e consentimento por escrito" da BIPA (os tribunais decidiram que a BIPA exige divulgação separada e específica — não linguagem geral de política de privacidade). Se o empregador implementou um relógio de ponto de impressão digital sem treinamento ou formulários de consentimento, isso é uma forte evidência. Verifique a documentação de contratação — se não houver consentimento biométrico, você tem uma reivindicação.
BIPA de Illinois: Você deve ser residente de Illinois ou funcionário de uma instalação em Illinois. CUBI do Texas: Residente do Texas. CCPA: Residente da Califórnia. GDPR: Residente da UE ou seus dados foram processados por um controlador na UE. Evidências: Prove residência (conta de serviços públicos, carteira de motorista, registros de emprego mostrando local de trabalho em Illinois). A BIPA de Illinois se aplica mesmo que a empresa esteja sediada em outro lugar — se você mora/trabalha em Illinois e eles coletaram seus dados biométricos, a BIPA se aplica.
Mostre que a empresa realmente coletou/armazenou dados biométricos: Captura de tela de sugestões de marcação de fotos do Facebook com seu nome. Registros de batida de ponto de impressão digital (solicite ao empregador sob os direitos de acesso a dados). Aplicativo solicitando permissão de reconhecimento facial. Filmagem de câmera de vigilância (solicite sob o Artigo 15 do GDPR / direito de acesso da CCPA). Notificação de violação de dados biométricos (se a empresa o notificou da violação). Testemunho de especialista (análise forense mostrando que o aplicativo usa reconhecimento facial mesmo que não divulgado).
BIPA de Illinois: NENHUMA prova de dano é exigida — a própria violação cria a reivindicação. Ação privada da CUBI do Texas: Deve provar dano real (sofrimento emocional, tempo/despesa para resolver a violação, risco de roubo de identidade). CCPA: Deve provar violação de dados ou dano real. GDPR: Pode recuperar por "dano não material" (sofrimento emocional, ansiedade) sem dano financeiro. Documente o dano: Registros médicos para ansiedade/terapia relacionada à violação. Tempo gasto para resolver o problema (horas × taxa horária razoável). Evidência de tentativas de roubo de identidade se dados biométricos forem violados. Capturas de tela de contato assediador se risco de perseguição for criado.
Para danos maiores da BIPA (US$ 5.000 intencional vs US$ 1.000 negligente): Mostre que a empresa sabia sobre a BIPA. Evidências: A empresa tem funcionários/clientes em Illinois (deveria saber sobre a BIPA). Processos anteriores da BIPA contra a empresa ou indústria. Cláusulas de conformidade da BIPA em contratos da empresa. E-mails internos discutindo a BIPA (passíveis de descoberta em litígio). Se a empresa ignorou a BIPA após ser notificada, isso é imprudente/intencional.
Verifique: (1) A empresa coletou seus dados de reconhecimento facial, impressão digital, escaneamento de íris, voz ou outros dados biométricos? (2) Você está em uma jurisdição protegida (Illinois, Texas, Califórnia, UE, etc.)? (3) Você deu consentimento por escrito adequado (para a BIPA, isso significa divulgação e consentimento separados — não apenas termos gerais)? (4) A empresa seguiu os procedimentos exigidos (política de retenção, cronograma de destruição, medidas de segurança)? Se a empresa coletou dados biométricos em Illinois sem o consentimento por escrito da BIPA, você quase certamente tem uma reivindicação — consulte um advogado imediatamente (prazo de prescrição de 5 anos, mas não demore).
Solicite seus dados para coletar evidências: Illinois: Envie uma solicitação por escrito citando a Seção 15(c) da BIPA, pedindo: (1) todos os dados biométricos coletados, (2) política de retenção e destruição por escrito, (3) lista de terceiros com quem os dados biométricos foram compartilhados, (4) datas de coleta e armazenamento. CCPA da Califórnia: Solicite "partes específicas de informações pessoais", incluindo dados biométricos, fontes, destinatários terceirizados. Artigo 15 do GDPR da UE: Solicite todos os dados biométricos, finalidades do processamento, destinatários, período de retenção, existência de tomada de decisão automatizada. As empresas devem responder em 30-45 dias. A recusa em fornecer dados é uma evidência adicional de violação.
Antes de entrar com um processo individual, verifique se existe uma ação coletiva para sua situação: Pesquise "[Nome da Empresa] ação coletiva BIPA" ou "[Nome da Empresa] processo biométrico". Verifique classaction.org, topclassactions.com, ilbipalitigation.com. Processos da BIPA em Illinois: Muitos pendentes contra empregadores (manufatura, saúde, varejo), empresas de tecnologia (aplicativos com reconhecimento facial), proprietários (sistemas de acesso a edifícios). Se uma ação coletiva existir e você se qualificar, aderir é simples (preencha o formulário de reivindicação quando o acordo for aprovado). Se não houver ação coletiva, mas muitas pessoas afetadas, o advogado pode entrar com uma ação coletiva (mais poder de negociação para um acordo).
Encontre um advogado especializado em: litígios da BIPA (Illinois), direito da privacidade, proteção ao consumidor, direito do trabalho (para reivindicações biométricas no local de trabalho). A maioria dos advogados da BIPA trabalha com base em contingência (33-40% da recuperação, sem taxa inicial) porque: A BIPA permite que os autores vitoriosos recuperem os honorários advocatícios do réu. Danos estatutários (US$ 1.000 a US$ 5.000 por violação) tornam os casos economicamente viáveis mesmo sem prova de dano. A consulta inicial geralmente é gratuita. O advogado avaliará: a força da reivindicação, os ativos do réu (não adianta processar uma pequena empresa à prova de julgamento), se deve entrar com uma ação individual ou coletiva, o valor potencial do acordo.
BIPA de Illinois: Entre diretamente no tribunal estadual de Illinois (nenhum registro administrativo é exigido). Foro: Comarca onde a violação ocorreu ou onde o réu faz negócios. CUBI do Texas: Entre no tribunal estadual do Texas; pode ser necessário demonstrar dano real para indenização. Califórnia/outros estados: Entre com base na lei de privacidade aplicável, direito comum (invasão de privacidade, negligência) ou aguarde a aplicação da lei pelo Procurador-Geral. Muitos casos são resolvidos antes do julgamento: Empregadores frequentemente resolvem reivindicações da BIPA por US$ 2.000 a US$ 10.000 por funcionário para evitar custos de litígio e precedentes. Empresas de tecnologia podem resolver cedo se a certificação de ação coletiva for provável. Cartas de demanda (do advogado) às vezes resultam em acordo rápido se a violação for clara.
Descoberta (Discovery): Seu advogado intimará os registros da empresa: políticas de retenção de dados biométricos, documentação de sistemas de TI, formulários de consentimento (ou a falta deles), registros de quem acessou seus dados biométricos, comunicações com fornecedores, processos anteriores. Peritos: Análise forense de sistemas biométricos, análise de segurança (se houver violação de dados), cálculo de danos. Certificação de classe (se ação coletiva): O advogado deve provar a comunalidade (todos os membros da classe têm a mesma reivindicação), adequação (autores representativos são típicos), numeridade (membros da classe suficientes). Julgamento ou arbitragem: Se o caso não for resolvido, julgamento (júri ou bancada). Casos da BIPA frequentemente são resolvidos durante a fase de descoberta quando a empresa percebe que as evidências são fortes. Recursos: A lei da BIPA ainda está em desenvolvimento — alguns casos vão para a Suprema Corte de Illinois para interpretação legal.
Você também pode apresentar reclamações regulatórias para pressionar a empresa e proteger outras pessoas: Procurador-Geral de Illinois: Apresente uma reclamação alegando violação da BIPA (o Procurador-Geral pode investigar ou aderir ao processo). Agência de Proteção à Privacidade da Califórnia: Apresente uma reclamação alegando violação da CCPA (pode resultar em multas). FTC: Apresente uma reclamação em reportfraud.ftc.gov se a empresa fez promessas de privacidade enganosas ou violou a COPPA (crianças). UE: Apresente uma reclamação à Autoridade Nacional de Proteção de Dados (por exemplo, ICO no Reino Unido, CNIL na França) alegando violação do Artigo 9 do GDPR. As ações regulatórias podem ocorrer paralelamente a processos privados e aumentar a pressão por acordos.
Siga estes passos para proteger seus dados biométricos e buscar compensação por violações