Empremta digital en violació de GDPR

En aquesta època moderna en què vivim actualment, cada cop és més habitual utilitzar empremtes dactilars com a mitjà d’identificació, per exemple: desbloquejar un telèfon intel·ligent amb una exploració digital. Però, què passa amb la privadesa quan ja no té lloc en un assumpte privat on hi ha voluntarisme conscient? Es pot fer obligatòria la identificació dels dits relacionats amb el treball en el context de seguretat? Pot una organització imposar una obligació als seus empleats de lliurar les seves empremtes dactilars, per exemple per a l’accés a un sistema de seguretat? I com es relaciona aquesta obligació amb les normes de privadesa?

Empremta digital en violació de GDPR

Empremtes digitals com a dades personals especials

La pregunta que ens hauríem de fer aquí és si l’escaneig digital s’aplica com a dades personals en el sentit del Reglament general de protecció de dades. Una empremta digital és una dada personal biomètrica que és el resultat d’un processament tècnic específic de les característiques físiques, fisiològiques o de comportament d’una persona.[1] Les dades biomètriques es poden considerar com a informació relativa a una persona física, ja que són dades que, per la seva naturalesa, proporcionen informació sobre una persona determinada. Mitjançant dades biomètriques com ara una empremta digital, la persona es pot identificar i es pot distingir d’una altra persona. A l’article 4 GDPR això també es confirma explícitament per les disposicions de definició.[2]

La identificació d’empremtes digitals és una violació de la privadesa?

El Tribunal Subdistricte d'Amsterdam ha dictat recentment l'admissibilitat d'una exploració digital com a sistema d'identificació basat en el nivell de regulació de seguretat.

La cadena de sabateries Manfield utilitzava un sistema d’autorització d’exploració digital, que permetia als empleats accedir a una caixa registradora.

Segons Manfield, l'ús de la identificació dels dits era l'única manera d'accedir al sistema de caixa registradora. Calia, entre altres coses, protegir la informació financera i les dades personals dels empleats. Altres mètodes deixaven de ser qualificats i susceptibles de frau. Un dels empleats de l’organització es va oposar a l’ús de la seva empremta digital. Va adoptar aquest mètode d'autorització com a violació de la seva privadesa, fent referència a l'article 9 del GDPR. Segons aquest article, està prohibit el tractament de dades biomètriques amb la finalitat de la identificació única d’una persona.

Necessitat

Aquesta prohibició no s'aplica quan el tractament sigui necessari per a finalitats d'autenticació o seguretat. L’interès comercial de Manfield era evitar la pèrdua d’ingressos a causa de personal fraudulent. El tribunal del subdistricte va rebutjar la apel·lació de l’empresari. Els interessos comercials de Manfield no feien que el sistema fos "necessari per a l'autenticació o la seguretat", tal com s'estipula a la secció 29 de la Llei d'implementació del RGPD. Per descomptat, Manfield és lliure d’actuar contra el frau, però és possible que això no es faci en contravenció de les disposicions del GDPR. A més, l'empresari no havia proporcionat a la seva empresa cap altra forma de seguretat. S'havia dut a terme una investigació insuficient sobre mètodes d'autorització alternatius; penseu en l'ús d'un passi d'accés o d'un codi numèric, sigui o no una combinació d'ambdós. L'empresari no havia mesurat acuradament els avantatges i els desavantatges de diferents tipus de sistemes de seguretat i no va poder motivar prou per què preferia un sistema específic d'escaneig digital. Principalment per aquesta raó, l’empresari no tenia el dret legal d’exigir l’ús del sistema d’autorització d’escaneig d’empremtes digitals al seu personal en funció de la Llei d’implementació del RGPD.

Si esteu interessats a introduir un nou sistema de seguretat, caldrà valorar si aquests sistemes estan autoritzats en virtut de la GDPR i la Llei d'aplicació. Si hi ha alguna pregunta, poseu-vos en contacte amb els advocats a Law & More. Respondrem a les vostres preguntes i us proporcionarem informació i assistència legal.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Compartir