Blog

Huella digital en violación de GDPR

En esta era moderna en la que vivimos hoy en día, es cada vez más común usar las huellas digitales como un medio de identificación, por ejemplo: desbloquear un teléfono inteligente con un escaneo digital. Pero, ¿qué pasa con la privacidad cuando ya no tiene lugar en un asunto privado donde hay voluntarismo consciente? ¿Se puede hacer obligatoria la identificación de los dedos relacionada con el trabajo en el contexto de la seguridad? ¿Puede una organización imponer a sus empleados la obligación de entregar sus huellas digitales, por ejemplo, para acceder a un sistema de seguridad? ¿Y cómo se relaciona dicha obligación con las reglas de privacidad?

Las huellas digitales como datos personales especiales

La pregunta que debemos hacernos aquí es si un escaneo digital se aplica como datos personales en el sentido del Reglamento general de protección de datos. Una huella digital es un dato personal biométrico que es el resultado del procesamiento técnico específico de las características físicas, fisiológicas o de comportamiento de una persona. [1] Los datos biométricos pueden considerarse como información relativa a una persona física, ya que son datos que, por su naturaleza, proporcionan información sobre una persona en particular. Mediante datos biométricos como una huella dactilar, la persona es identificable y se puede distinguir de otra persona. En el artículo 4 del RGPD, esto también se confirma explícitamente en las disposiciones de definición. [2]

¿La identificación de huellas digitales es una violación de la privacidad?

El Tribunal del subdistrito de Amsterdam se pronunció recientemente sobre la admisibilidad de un escaneo digital como un sistema de identificación basado en el nivel de regulación de seguridad.

La cadena de tiendas de zapatos Manfield usó el sistema de autorización de escaneo digital, que dio a los empleados acceso a una caja registradora.

Según Manfield, el uso de la identificación con los dedos era la única forma de acceder al sistema de caja registradora. Era necesario, entre otras cosas, proteger la información financiera y los datos personales de los empleados. Otros métodos ya no estaban calificados y no eran susceptibles de fraude. Uno de los empleados de la organización se opuso al uso de su huella digital. Ella tomó este método de autorización como una violación de su privacidad, refiriéndose al artículo 9 del RGPD. Según este artículo, se prohíbe el procesamiento de datos biométricos con el propósito de la identificación única de una persona.

Necesidad

Esta prohibición no se aplica cuando el procesamiento es necesario para fines de autenticación o seguridad. El interés comercial de Manfield era evitar la pérdida de ingresos debido al personal fraudulento. El Tribunal de subdistrito rechazó la apelación del empleador. Los intereses comerciales de Manfield no hicieron que el sistema fuera 'necesario para fines de autenticación o seguridad', como se estipula en la Sección 29 de la Ley de Implementación de GDPR. Por supuesto, Manfield es libre de actuar contra el fraude, pero esto no se puede hacer en violación de las disposiciones del GDPR. Además, el empleador no había proporcionado a su empresa ninguna otra forma de garantía. No se han realizado suficientes investigaciones sobre métodos de autorización alternativos; piense en el uso de una tarjeta de acceso o un código numérico, sea o no una combinación de ambos. El empleador no había medido cuidadosamente las ventajas y desventajas de los diferentes tipos de sistemas de seguridad y no pudo motivar suficientemente por qué prefería un sistema específico de escaneo digital. Principalmente por esta razón, el empleador no tenía el derecho legal de exigir el uso del sistema de autorización de escaneo de huellas dactilares en su personal sobre la base de la Ley de implementación de GDPR.

Si está interesado en introducir un nuevo sistema de seguridad, deberá evaluar si dichos sistemas están permitidos por el GDPR y la Ley de Implementación. Si tiene alguna pregunta, comuníquese con los abogados en Law & More. Responderemos sus preguntas y le brindaremos asistencia legal e información..

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Compartir