El siguiente es un interesante caso tanto desde un punto de vista de la protección de los datos personales como desde una perspectiva contractual. En él se tocan temas tan interesantes como el del sistema de reconocimiento facial usado por Facebook y el de los contratos electrónicos, más específicamente, los click-wrap y browse-wrap agreements.

 Las normas de la BIPA que supuestamente fueron transgredidas por Facebook, son:

  1. la sección 740 ILCS 14/15(b), que establece que es ilegal, en relación a cualquier entidad privada, la recolección, captura, compra, recepción por medio de intercambio u otra forma de obtención del identificador biométrico de una persona o consumidor, a menos que primero: (1) se informe por escrito al sujeto sobre el hecho de que su identificador biométrico está siendo recolectado o almacenado; (2) se informe por escrito al sujeto acerca del propósito y duración del período por el que el identificador biométricos está siendo recolectado, almacenado o usado; y (3) recibir una autorización escrita del sujeto del identificador biométrico.

  2. la sección 740 ILCS 14/15(a),que requiere que cualquier entidad privada que esté en posesión de identificadores biométricos deben desarrollar una política por medios escritos, poner a disposición del público, establecer un programa de retención y directrices para destruir de forma permanente los identificadores biométricos cuando el propósito inicial de la recolección o obtención de dichos identificadores haya sido satisfecho o dentro de tres años de la última interacción del individuo con la entidad privada, lo que suceda primero.

 En palabras de los usuarios que demandaron a Facebook, Inc., lo anterior habría ocurrido toda vez que el sistema de reconocimiento facial de la red social, que realiza una “sugerencia de tag” entre sus contactos, es una forma de identificador biométrico de acuerdo a lo establecido en la BIPA. Al haberse hecho uso de esta herramienta por parte de Facebook sin haber cumplido con los estándares legales mínimos mencionados en los puntos 1 y 2, la compañía habría violado los derechos de sus usuarios e incumplido con obligaciones legales.

 Al contestar la demanda, Facebook, Inc. ha solicitado el rechazo de la misma en base a dos argumentos:

  1. primero, sobre el fondo del asunto, señaló que la interpretación correcta de la BIPA exime o deja de lado en el proceso de recolección de identificadores biométricos a las “fotografías” y “cualquier información derivada de dichas fotografías”.

  2. segundo, mediante una “motion to dismiss”, señalando que los propios usuarios de Facebook, al registrarse en la red social, se han sometido a las leyes del Estado de California y no el de Illinois. La razón práctica de ésto es que California no cuenta con una Ley similar a la BIPA, por lo que difícilmente la demanda podría prosperar.

Pues bien, el día 5 de mayo de 2016, la Corte del Distrito Norte de California (por acuerdo de partes el caso fue acumulado con otros similares en dicho Estado), se hizo cargo de las alegaciones de las partes:

En cuanto a los planteamientos de fondo, rechazó la postura de Facebook, Inc., en el sentido de considerar, a diferencia de dicha compañía, que los fotografías y la información derivada de la misma sí están incluidas en los supuestos legales de la BIPA. Para ésto, la Corte se basó en la jurisprudencia Lebowitz v. City of New York y Norberg v. Shutterfly, Inc.

En relación a la elección de sometimiento a la ley de California por parte de los usuarios, la Corte hizo un notable trabajo al establecer el marco teórico de los contratos electrónicos (aunque no logró ser clara en la determinación de la naturaleza de los contratos efectivamente celebrados por las partes y sus posteriores modificaciones). En primer término explicó el concepto y alcance de los click-wrap agreements y, luego, el de los browse-wrap agreements.

El primer tipo de contratos, los “click-wrap agreements”, son aquellos que para ser aceptados por el usuario o consumidor, hacen obligatoria la lectura de los términos y condiciones (T&C) y las condiciones de servicio. Además, este tipo de contratos requieren de una manifestación de voluntad expresa del usuario, que se cristaliza por medio de un clic en una casilla aceptando dichos términos y condiciones.

Por su parte, los “browse-wrap agreements” son aquellos contratos electrónicos que no requieren de una manifestación de voluntad expresa ni de la lectura y aprobación de un documento. Estos contratos generalmente se ubican en el “footer” de los sitios web en donde existe un link generalmente denominado “Condiciones de uso y términos de servicio”, que al clickearlo lleva a un sitio web en donde constan tales condiciones y términos. En este tipo de contratos el consentimiento se entiende dado por el acto de navegación en un sitio web. Como sea, la formación del consentimiento en los browse-wrap agreements, como se puede concluir, es mucho más discutible.

Para que el consentimiento se considere dado, según la doctrina norteamericana, deben concurrir dos requisitos: i) que el oferente entregue un aviso razonable de los términos y condiciones, y ii) que el aceptante manifieste su consentimiento sin ambigüedades.

La Corte consideró que sea cual haya sido el caso de todos y cada uno de los demandantes, sí se cumplió con los requisitos anteriores, por lo que la elección de sometimiento a las leyes de California tuvo lugar. 

Sin embargo lo anterior, la Corte, dando un giro de 180°, estimó que la cláusula de elección de sometimiento a las leyes de California no era exigible y/o ejecutable, toda vez que operaría la sección 187 de la Restatement of Conflict of Laws. Dicho precepto establece que dicha cláusula podría ser exigible o ejecutable a menos que la otra parte establezca que tanto la ley elegida es contraria a políticas fundamentales de la ley del estado y que el otro estado tiene mayor interés en la determinación de la materia. 

La cláusula que comentamos es contraria a las políticas fundamentales de la ley de Illinois, toda vez que, de aplicarse y ejecutarse la misma, la política de dicho estado de proteger la privacidad de sus ciudadanos en relación a sus datos biométricos, sería un mero saludo a la bandera. En palabras de la Corte: “[i]f California law is applied, the Illinois policy of protecting its citizens’ privacy interests in their biometric data, especially in the context of dealing with “major national corporations” like Facebook, would be written out of existence”.

Como se puede concluir, a priori, esta primera batalla tiene un final feliz, pero crítica podría hacerse a la parte del fallo que establece que Facebook cumplió con los requisitos que deben cumplirse para entender que hubo consentimiento. En primer lugar, la Corte no es clara en cuanto a qué tipo de contrato celebró cada uno de los demandantes. Más específicamente, la Corte es poco clara en dilucidar qué elementos teóricos de cada tipo de contrato se logra evidenciar en los celebrados por los demandantes. Asimismo, la Corte hace referencia a una peligrosa idea: en cuanto a las actualizaciones de los T&C, basta con una “jewel notification” (entiéndase por esa notificación color rojo que aparece en la parte superior derecha del sitio, que da a entender que mensajes, etiquetas, solicitudes de amistad, respuestas, pokes y un sinnúmero de otras actividades están ocurriendo o han ocurrido). En el concepto de la Corte, esa nimia alerta vendría en consolidarse como una adecuada forma de aviso cuando los usuarios llevan “un tiempo” como tales en dicha red social. En otras palabras, según la Corte el tiempo es sinónimo de experiencia, lo que a mi juicio es erróneo, ya que podría ocurrir, como ocurre muy seguido en Facebook, que simplemente un usuario (i) no tenga dicha experiencia, ya que no usa Facebook de un modo sostenido o, (ii) derechamente que él, entre tanta alerta o notificación, haya pasado por alto la alerta de actualización de T&C, como le podría suceder a cualquier mortal.

¡Cuidado!: entre los cientos de notificaciones podría haber un aviso de modificación de T&C.

En el sentido de lo anterior, consideramos que Facebook debiese incorporar un sistema de actualización de T&C que efectivamente otorgue un aviso “razonable” a sus usuarios sobre el mismo y que a la vez permita una manifestación de voluntad inequívoca. Por ejemplo, cada vez que Facebook aplique actualizaciones en sus T&C, debería lanzar un pequeño “pop-up” que incluya información sobre los mismos y un botón que indique que al presionarlo se aceptan los nuevos T&C.