Impronta digitale in violazione del GDPR

Impronta digitale in violazione del GDPR

In questa era moderna in cui viviamo oggi, è sempre più comune utilizzare le impronte digitali come mezzo di identificazione, ad esempio: sbloccare uno smartphone con una scansione digitale. Ma che dire della privacy quando non si svolge più in una questione privata in cui c'è volontarismo consapevole? L'identificazione delle dita sul lavoro può essere resa obbligatoria nel contesto della sicurezza? Un'organizzazione può imporre ai propri dipendenti l'obbligo di consegnare le impronte digitali, ad esempio per l'accesso a un sistema di sicurezza? E in che modo tale obbligo si collega alle norme sulla privacy?

Impronta digitale in violazione del GDPR

Impronte digitali come dati personali speciali

La domanda che dovremmo porci qui è se una scansione delle dita si applica come dati personali ai sensi del regolamento generale sulla protezione dei dati. Un'impronta digitale è un dato personale biometrico che è il risultato di un trattamento tecnico specifico delle caratteristiche fisiche, fisiologiche o comportamentali di una persona. [1] I dati biometrici possono essere considerati informazioni relative a una persona fisica, in quanto sono dati che, per loro natura, forniscono informazioni su una determinata persona. Per mezzo di dati biometrici come un'impronta digitale, la persona è identificabile e può essere distinta da un'altra persona. Nell'articolo 4 del GDPR ciò è anche esplicitamente confermato dalle disposizioni di definizione. [2]

L'identificazione delle impronte digitali è una violazione della privacy?

Il tribunale distrettuale Amsterdam recentemente si è pronunciato sull'ammissibilità della scansione delle dita come sistema di identificazione basato sul livello di regolamentazione della sicurezza.

La catena di negozi di scarpe Manfield utilizzava un sistema di autorizzazione per le impronte digitali che consentiva ai dipendenti di accedere a un registratore di cassa.

Secondo Manfield, l'uso dell'identificazione tramite dito era l'unico modo per accedere al sistema del registratore di cassa. Era necessario, tra le altre cose, proteggere le informazioni finanziarie e i dati personali dei dipendenti. Altri metodi non erano più qualificati e suscettibili di frode. Uno dei dipendenti dell'organizzazione si è opposto all'uso della sua impronta digitale. Ha preso questa modalità di autorizzazione come una violazione della sua privacy, facendo riferimento all'articolo 9 del GDPR. Secondo questo articolo, il trattamento dei dati biometrici ai fini dell'identificazione univoca di una persona è vietato.

Necessità

Questo divieto non si applica laddove il trattamento sia necessario per scopi di autenticazione o sicurezza. L'interesse commerciale di Manfield era prevenire la perdita di entrate dovuta a personale fraudolento. Il tribunale del sottodistretto ha respinto il ricorso del datore di lavoro. Gli interessi commerciali di Manfield non rendevano il sistema "necessario per scopi di autenticazione o sicurezza", come stabilito nella Sezione 29 della Legge sull'implementazione del GDPR. Ovviamente Manfield è libera di agire contro le frodi, ma ciò non può essere fatto in violazione delle disposizioni del GDPR. Inoltre, il datore di lavoro non aveva fornito alla sua azienda nessun'altra forma di garanzia. Era stata condotta una ricerca insufficiente sui metodi di autorizzazione alternativi; pensa all'uso di una tessera di accesso o di un codice numerico, indipendentemente dal fatto che sia una combinazione di entrambi. Il datore di lavoro non aveva misurato attentamente i vantaggi e gli svantaggi di diversi tipi di sistemi di sicurezza e non poteva motivare sufficientemente il motivo per cui preferiva uno specifico sistema di scansione delle dita. Principalmente per questo motivo, il datore di lavoro non aveva il diritto legale di richiedere l'uso del sistema di autorizzazione della scansione delle impronte digitali al suo personale sulla base della legge di attuazione del GDPR.

Se sei interessato a introdurre un nuovo sistema di sicurezza, dovrai valutare se tali sistemi sono consentiti ai sensi del GDPR e della legge di attuazione. In caso di domande, si prega di contattare gli avvocati all'indirizzo Law & More. Risponderemo alle tue domande e ti forniremo assistenza e informazioni legali.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Law & More