Huella digital en violación de GDPR

En esta era moderna en la que vivimos hoy en día, es cada vez más común usar las huellas digitales como un medio de identificación, por ejemplo: desbloquear un teléfono inteligente con un escaneo digital. Pero, ¿qué pasa con la privacidad cuando ya no tiene lugar en un asunto privado donde hay voluntarismo consciente? ¿Se puede hacer obligatoria la identificación de los dedos relacionada con el trabajo en el contexto de la seguridad? ¿Puede una organización imponer a sus empleados la obligación de entregar sus huellas digitales, por ejemplo, para acceder a un sistema de seguridad? ¿Y cómo se relaciona dicha obligación con las reglas de privacidad?

Huella digital en violación de GDPR

Las huellas digitales como datos personales especiales

The question we should ask ourselves here, is whether a finger scan applies as personal data within the meaning of the General Data Protection Regulation. A fingerprint is a biometric personal data that is the result of specific technical processing of a person’s physical, physiological or behavioral characteristics.[] Los datos biométricos pueden considerarse como información relacionada con una persona física, ya que son datos que, por su naturaleza, proporcionan información sobre una persona en particular. Mediante datos biométricos, como una huella digital, la persona es identificable y puede distinguirse de otra persona. En el artículo 4 del RGPD esto también se confirma explícitamente en las disposiciones de definición.[]

¿La identificación de huellas digitales es una violación de la privacidad?

El Tribunal del subdistrito de Amsterdam se pronunció recientemente sobre la admisibilidad de un escaneo digital como un sistema de identificación basado en el nivel de regulación de seguridad.

La cadena de tiendas de zapatos Manfield usó el sistema de autorización de escaneo digital, que dio a los empleados acceso a una caja registradora.

Según Manfield, el uso de la identificación con los dedos era la única forma de acceder al sistema de caja registradora. Era necesario, entre otras cosas, proteger la información financiera y los datos personales de los empleados. Otros métodos ya no estaban calificados y no eran susceptibles de fraude. Uno de los empleados de la organización se opuso al uso de su huella digital. Ella tomó este método de autorización como una violación de su privacidad, refiriéndose al artículo 9 del RGPD. Según este artículo, se prohíbe el procesamiento de datos biométricos con el propósito de la identificación única de una persona.

Necesidad

This prohibition does not apply where the processing is necessary for authentication or security purposes. Manfield’s business interest was to prevent loss of revenue due to fraudulent personnel. The Subdistrict Court rejected the employer’s appeal. Manfield’s business interests did not make the system ‘necessary for authentication or security purposes’, as stipulated in Section 29 of the GDPR Implementation Act. Of course, Manfield is free to act against fraud, but this may not be done in violation of the provisions of the GDPR. Furthermore, the employer had not provided its company with any other form of security. Insufficient research had been carried out into alternative authorization methods; think of the use of an access pass or numerical code, whether or not a combination of both.  The employer had not carefully measured the advantages and disadvantages of different types of security systems and could not sufficiently motivate why he preferred a specific finger scan system. Mainly because of this reason, the employer did not have the legal right to require the use of the fingerprint scanning authorization system on his staff on the basis of the GDPR Implementation Act.

Si está interesado en introducir un nuevo sistema de seguridad, deberá evaluar si dichos sistemas están permitidos por el GDPR y la Ley de Implementación. Si tiene alguna pregunta, comuníquese con los abogados en Law & More. Responderemos sus preguntas y le brindaremos asistencia legal e información..

[] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[] ECLI: NL: RBAMS: 2019: 6005

Compartir