Nesta era moderna em que vivemos hoje, é cada vez mais comum usar as impressões digitais como meio de identificação, por exemplo: desbloquear um smartphone com uma digitalização. Mas e a privacidade quando ela não ocorre mais em um assunto particular, onde existe voluntarismo consciente? A identificação digital dos dedos relacionada ao trabalho pode se tornar obrigatória no contexto da segurança? Uma organização pode impor aos seus funcionários uma obrigação de entregar suas impressões digitais, por exemplo, acesso a um sistema de segurança? E como essa obrigação se relaciona com as regras de privacidade?
Impressões digitais como dados pessoais especiais
A questão que devemos nos perguntar aqui é se uma digitalização digital se aplica como dados pessoais, na aceção do Regulamento Geral de Proteção de Dados. Uma impressão digital é um dado pessoal biométrico resultante do processamento técnico específico das características físicas, fisiológicas ou comportamentais de uma pessoa. [1] Os dados biométricos podem ser considerados informações relativas a uma pessoa singular, pois são dados que, por sua natureza, fornecem informações sobre uma pessoa em particular. Por meio de dados biométricos, como uma impressão digital, a pessoa é identificável e pode ser diferenciada de outra pessoa. No artigo 4 do RGPD, isso também é explicitamente confirmado pelas disposições de definição. [2]
A identificação de impressões digitais é uma violação da privacidade?
O Tribunal Subdistrital Amsterdam recentemente se pronunciou sobre a admissibilidade do escaneamento do dedo como sistema de identificação baseado no nível de regulamentação de segurança.
A rede de lojas de calçados Manfield usava o sistema de autorização de escaneamento digital, que dava aos funcionários acesso a uma caixa registradora.
Segundo Manfield, o uso da identificação dos dedos era a única maneira de obter acesso ao sistema de caixa registradora. Entre outras coisas, era necessário proteger as informações financeiras e os dados pessoais dos funcionários. Outros métodos não eram mais qualificados e suscetíveis à fraude. Um dos funcionários da organização se opôs ao uso de sua impressão digital. Ela adotou esse método de autorização como uma violação de sua privacidade, referindo-se ao artigo 9 do GDPR. De acordo com este artigo, é proibido o processamento de dados biométricos para fins de identificação exclusiva de uma pessoa.
Necessidade
Essa proibição não se aplica onde o processamento é necessário para fins de autenticação ou segurança. O interesse comercial de Manfield era evitar a perda de receita devido a funcionários fraudulentos. O Tribunal do Subdistrito rejeitou o recurso do empregador. Os interesses comerciais da Manfield não tornavam o sistema "necessário para fins de autenticação ou segurança", conforme estipulado na Seção 29 da Lei de Implementação do GDPR. Obviamente, a Manfield tem liberdade para agir contra a fraude, mas isso não pode ser feito em violação das disposições do GDPR. Além disso, o empregador não havia fornecido à sua empresa qualquer outra forma de garantia. Pesquisas insuficientes sobre métodos de autorização alternativos; pense no uso de um passe de acesso ou código numérico, seja uma combinação de ambos ou não. O empregador não mediu cuidadosamente as vantagens e desvantagens dos diferentes tipos de sistemas de segurança e não conseguiu motivar suficientemente por que preferia um sistema específico de digitalização do dedo. Principalmente por esse motivo, o empregador não tinha o direito legal de exigir o uso do sistema de autorização de digitalização de impressões digitais em sua equipe com base na Lei de Implementação do GDPR.
Se você estiver interessado em introduzir um novo sistema de segurança, será necessário avaliar se tais sistemas são permitidos pelo GDPR e pela Lei de Implementação. Se houver alguma dúvida, entre em contato com os advogados em Law & More. Responderemos às suas perguntas e forneceremos assistência e informações legais.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie.
[2] ECLI: NL: RBAMS: 2019: 6005.