Recunoașterea facială la locul de muncă: când devine o problemă GDPR

Utilizarea tehnologiilor moderne pentru securizarea accesului în spațiile organizațiilor este tot mai frecventă. Totuși, atunci când aceste soluții implică prelucrarea datelor biometrice, cum ar fi recunoașterea facială, apar riscuri semnificative din perspectiva protecției datelor personale.

Un caz recent analizat de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal evidențiază clar limitele legale în utilizarea acestor tehnologii și importanța respectării principiilor fundamentale din Regulamentul (UE) 2016/679 (GDPR).

Contextul investigației

Autoritatea a demarat o investigație în urma unor sesizări privind intenția unei organizații de a implementa un sistem de control al accesului bazat pe recunoaștere facială pentru angajați.

Deși sistemul nu fusese încă implementat, analiza a vizat modul în care ar fi fost realizată prelucrarea datelor biometrice și dacă aceasta respectă cerințele GDPR.

Organizația utiliza deja un sistem de acces bazat pe carduri, iar noua soluție biometrică avea rolul de a preveni accesul neautorizat și utilizarea abuzivă a acestor carduri.

De ce sunt sensibile datele biometrice

Datele biometrice, precum imaginea facială utilizată pentru identificare, sunt considerate date sensibile deoarece permit identificarea unică a unei persoane.

Conform GDPR, prelucrarea acestora este supusă unor condiții stricte și trebuie să respecte principii esențiale precum:

  • legalitatea prelucrării

  • necesitatea

  • proporționalitatea

  • minimizarea datelor

Problema identificată: lipsa necesității și proporționalității

În urma analizei, autoritatea a constatat că utilizarea recunoașterii faciale nu îndeplinea cerințele de necesitate și proporționalitate.

Mai exact:

  • exista deja un sistem funcțional de control al accesului (bazat pe carduri)

  • riscurile invocate puteau fi gestionate prin metode mai puțin intruzive

  • implementarea unui sistem biometric ar fi implicat o ingerință mai mare în viața privată a persoanelor vizate

În acest context, utilizarea datelor biometrice ar fi fost excesivă în raport cu scopul urmărit.

Ce a decis autoritatea

Deși sistemul nu era încă operațional, autoritatea a emis o avertizare, subliniind că o astfel de prelucrare ar putea încălca prevederile GDPR, în special:

  • principiul legalității

  • principiul minimizării datelor

Totodată, s-a recomandat utilizarea unor soluții alternative, mai puțin intruzive, pentru atingerea obiectivului de securitate.

Ce pot învăța organizațiile din acest caz

Acest caz este un exemplu clar că intenția de a implementa o tehnologie nu este suficientă — trebuie demonstrată și conformitatea acesteia cu GDPR înainte de utilizare.

Pentru a evita riscurile, organizațiile ar trebui să:

1. Evalueze necesitatea reală

Este esențial să se demonstreze că soluția aleasă este cu adevărat necesară și nu există alternative mai puțin intruzive.

2. Aplice principiul proporționalității

Impactul asupra vieții private trebuie să fie proporțional cu scopul urmărit.

3. Evite utilizarea excesivă a datelor sensibile

Datele biometrice trebuie utilizate doar în situații excepționale și bine justificate.

4. Realizeze o analiză de impact (DPIA)

Pentru astfel de prelucrări, o evaluare a impactului asupra protecției datelor este esențială.

Tehnologiile de tip recunoaștere facială pot aduce beneficii în materie de securitate, însă utilizarea lor trebuie analizată cu atenție din perspectiva GDPR.

Acest caz arată clar că nu orice soluție tehnologică este justificată legal, chiar dacă scopul este legitim. Alegerea unor metode mai puțin intruzive și respectarea principiilor de bază ale protecției datelor rămân esențiale pentru evitarea sancțiunilor și protejarea drepturilor persoanelor vizate.

Împărtășește-ți dragostea
Felix
Felix
Articole: 9

Actualizări newsletter

Introdu adresa ta de email mai jos și abonează-te la newsletter-ul nostru

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *