Impressão digital em violação ao RGPD

Nesta era moderna em que vivemos hoje, é cada vez mais comum usar as impressões digitais como meio de identificação, por exemplo: desbloquear um smartphone com uma digitalização. Mas e a privacidade quando ela não ocorre mais em um assunto particular, onde existe voluntarismo consciente? A identificação digital dos dedos relacionada ao trabalho pode se tornar obrigatória no contexto da segurança? Uma organização pode impor aos seus funcionários uma obrigação de entregar suas impressões digitais, por exemplo, acesso a um sistema de segurança? E como essa obrigação se relaciona com as regras de privacidade?

Impressão digital em violação ao RGPD

Impressões digitais como dados pessoais especiais

A questão que devemos nos perguntar aqui é se uma digitalização digital se aplica como dados pessoais, na aceção do Regulamento Geral de Proteção de Dados. Uma impressão digital é um dado pessoal biométrico resultante do processamento técnico específico das características físicas, fisiológicas ou comportamentais de uma pessoa.[1] Os dados biométricos podem ser considerados informações relativas a uma pessoa singular, pois são dados que, por sua natureza, fornecem informações sobre uma pessoa em particular. Por meio de dados biométricos, como uma impressão digital, a pessoa é identificável e pode ser diferenciada de outra pessoa. No Artigo 4 do RGPD, isso também é explicitamente confirmado pelas disposições de definição.[2]

A identificação de impressões digitais é uma violação da privacidade?

O Tribunal de Subdistrito de Amsterdã decidiu recentemente sobre a admissibilidade de uma digitalização digital como um sistema de identificação baseado no nível de regulamentação de segurança.

A rede de lojas de calçados Manfield usava o sistema de autorização de escaneamento digital, que dava aos funcionários acesso a uma caixa registradora.

Segundo Manfield, o uso da identificação dos dedos era a única maneira de obter acesso ao sistema de caixa registradora. Entre outras coisas, era necessário proteger as informações financeiras e os dados pessoais dos funcionários. Outros métodos não eram mais qualificados e suscetíveis à fraude. Um dos funcionários da organização se opôs ao uso de sua impressão digital. Ela adotou esse método de autorização como uma violação de sua privacidade, referindo-se ao artigo 9 do RGPD. De acordo com este artigo, é proibido o processamento de dados biométricos para fins de identificação exclusiva de uma pessoa.

Necessidade

Esta proibição não se aplica onde o processamento é necessário para fins de autenticação ou segurança. O interesse comercial de Manfield era evitar a perda de receita devido a pessoal fraudulento. O Tribunal de Subdistrito rejeitou o recurso do empregador. Os interesses comerciais de Manfield não tornaram o sistema "necessário para fins de autenticação ou segurança", conforme estipulado na Seção 29 da Lei de Implementação do GDPR. Obviamente, Manfield é livre para agir contra fraudes, mas isso não pode ser feito em violação às disposições do RGPD. Além disso, o empregador não havia fornecido à sua empresa nenhuma outra forma de segurança. Pesquisas insuficientes foram realizadas sobre métodos alternativos de autorização; pense no uso de um passe de acesso ou código numérico, seja uma combinação ou não de ambos. O empregador não mediu cuidadosamente as vantagens e desvantagens de diferentes tipos de sistemas de segurança e não conseguiu motivar suficientemente por que preferia um sistema específico de escaneamento digital. Principalmente por esse motivo, o empregador não tinha o direito legal de exigir o uso do sistema de autorização de digitalização de impressões digitais em sua equipe, com base na Lei de Implementação do GDPR.

Se você estiver interessado em introduzir um novo sistema de segurança, será necessário avaliar se tais sistemas são permitidos pelo GDPR e pela Lei de Implementação. Se houver alguma dúvida, entre em contato com os advogados em Law & More. Responderemos às suas perguntas e forneceremos assistência e informações legais.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Partilhar