Empremta digital en violació de GDPR

En aquesta època moderna en què vivim actualment, cada cop és més habitual utilitzar empremtes dactilars com a mitjà d’identificació, per exemple: desbloquejar un telèfon intel·ligent amb una exploració digital. Però, què passa amb la privadesa quan ja no té lloc en un assumpte privat on hi ha voluntarisme conscient? Es pot fer obligatòria la identificació dels dits relacionats amb el treball en el context de seguretat? Pot una organització imposar una obligació als seus empleats de lliurar les seves empremtes dactilars, per exemple per a l’accés a un sistema de seguretat? I com es relaciona aquesta obligació amb les normes de privadesa?

Empremta digital en violació de GDPR

Empremtes digitals com a dades personals especials

La pregunta que ens hem de plantejar aquí és si una exploració digital s'aplica com a dades personals en el sentit del Reglament general de protecció de dades. Una empremta digital és una informació personal biomètrica que és el resultat d’un tractament tècnic específic de les característiques físiques, fisiològiques o de comportament d’una persona.[1] Les dades biomètriques es poden considerar com a informació relativa a una persona física, ja que són dades que, per la seva naturalesa, proporcionen informació sobre una persona determinada. Mitjançant dades biomètriques com ara una empremta digital, la persona es pot identificar i es pot distingir d’una altra persona. A l’article 4 GDPR això també es confirma explícitament per les disposicions de definició.[2]

La identificació d’empremtes digitals és una violació de la privadesa?

El Tribunal Subdistricte d'Amsterdam ha dictat recentment l'admissibilitat d'una exploració digital com a sistema d'identificació basat en el nivell de regulació de seguretat.

La cadena de sabateries Manfield utilitzava un sistema d’autorització d’exploració digital, que permetia als empleats accedir a una caixa registradora.

Segons Manfield, l'ús de la identificació dels dits era l'única manera d'accedir al sistema de caixa registradora. Calia, entre altres coses, protegir la informació financera i les dades personals dels empleats. Altres mètodes deixaven de ser qualificats i susceptibles de frau. Un dels empleats de l’organització es va oposar a l’ús de la seva empremta digital. Va adoptar aquest mètode d'autorització com a violació de la seva privadesa, fent referència a l'article 9 del GDPR. Segons aquest article, està prohibit el tractament de dades biomètriques amb la finalitat de la identificació única d’una persona.

Necessitat

Aquesta prohibició no s’aplica quan el processament sigui necessari amb finalitats de autenticació o seguretat. L’interès empresarial de Manfield era evitar la pèrdua d’ingressos a causa de personal fraudulent. El Tribunal de Subdistricció va rebutjar la apel·lació de l’empresari. Els interessos empresarials de Manfield no feien que el sistema fos “necessari per a autenticacions o seguretat”, tal com estipula la secció 29 de la Llei d’implantació de GDPR. Per descomptat, Manfield és lliure d’actuar contra el frau, però això no pot fer-se en violació de les disposicions del GDPR. A més, l'empresari no havia proporcionat a la seva empresa cap altra forma de seguretat. S'han realitzat investigacions insuficients sobre mètodes d'autorització alternatius; penseu en l’ús d’un passi d’accés o codi numèric, combinant o no tots dos. L’empresari no havia mesurat detingudament els avantatges i els desavantatges dels diferents tipus de sistemes de seguretat i no podia motivar suficientment per què preferia un sistema específic d’escaneig de dits. Per aquest motiu, l’empresari no tenia el dret legal d’exigir l’ús del sistema d’autorització d’exploració d’empremtes dactilars al seu personal sobre la base de la Llei d’aplicació del GDPR.

Si esteu interessats a introduir un nou sistema de seguretat, caldrà valorar si aquests sistemes estan autoritzats en virtut de la GDPR i la Llei d'aplicació. Si hi ha alguna pregunta, poseu-vos en contacte amb els advocats a Law & More. Respondrem a les vostres preguntes i us proporcionarem informació i assistència legal.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Compartir