Impronta digitale in violazione del GDPR

In questa era moderna in cui viviamo oggi, è sempre più comune utilizzare le impronte digitali come mezzo di identificazione, ad esempio: sbloccare uno smartphone con una scansione digitale. Ma che dire della privacy quando non si svolge più in una questione privata in cui c'è volontarismo consapevole? L'identificazione delle dita sul lavoro può essere resa obbligatoria nel contesto della sicurezza? Un'organizzazione può imporre ai propri dipendenti l'obbligo di consegnare le impronte digitali, ad esempio per l'accesso a un sistema di sicurezza? E in che modo tale obbligo si collega alle norme sulla privacy?

Impronta digitale in violazione del GDPR

Impronte digitali come dati personali speciali

La domanda che dovremmo porci qui è se un finger finger si applica come dati personali ai sensi del Regolamento generale sulla protezione dei dati. Un'impronta digitale è un dato biometrico personale che è il risultato di un trattamento tecnico specifico delle caratteristiche fisiche, fisiologiche o comportamentali di una persona.[1] I dati biometrici possono essere considerati informazioni relative a una persona fisica, in quanto sono dati che, per loro natura, forniscono informazioni su una determinata persona. Mediante dati biometrici come un'impronta digitale, la persona è identificabile e può essere distinta da un'altra persona. All'articolo 4 del GDPR ciò è anche esplicitamente confermato dalle disposizioni di definizione.[2]

L'identificazione delle impronte digitali è una violazione della privacy?

Il tribunale del sottodistretto di Amsterdam ha recentemente statuito sull'ammissibilità dell'impronta digitale come sistema di identificazione basato sul livello di regolamentazione della sicurezza.

La catena di negozi di scarpe Manfield utilizzava un sistema di autorizzazione per le impronte digitali che consentiva ai dipendenti di accedere a un registratore di cassa.

Secondo Manfield, l'uso dell'identificazione con le dita era l'unico modo per ottenere l'accesso al sistema del registratore di cassa. È stato necessario, tra l'altro, proteggere le informazioni finanziarie e i dati personali dei dipendenti. Altri metodi non erano più qualificati e suscettibili di frode. Uno dei dipendenti dell'organizzazione si è opposto all'uso della sua impronta digitale. Ha preso questo metodo di autorizzazione come una violazione della sua privacy, facendo riferimento all'articolo 9 del GDPR. Secondo questo articolo, è vietato il trattamento di dati biometrici ai fini dell'identificazione univoca di una persona.

Necessità

Questo divieto non si applica quando il trattamento è necessario per scopi di autenticazione o sicurezza. L'interesse commerciale di Manfield era di prevenire la perdita di entrate dovuta a personale fraudolento. Il tribunale del subdistretto ha respinto il ricorso del datore di lavoro. Gli interessi commerciali di Manfield non hanno reso il sistema "necessario ai fini dell'autenticazione o della sicurezza", come stabilito nella Sezione 29 della legge di attuazione del GDPR. Naturalmente, Manfield è libero di agire contro le frodi, ma ciò non può essere fatto in violazione delle disposizioni del GDPR. Inoltre, il datore di lavoro non aveva fornito alla sua società alcuna altra forma di sicurezza. Sono state condotte ricerche insufficienti su metodi di autorizzazione alternativi; pensare all'uso di un pass di accesso o di un codice numerico, indipendentemente dalla combinazione di entrambi. Il datore di lavoro non aveva misurato con attenzione i vantaggi e gli svantaggi dei diversi tipi di sistemi di sicurezza e non era in grado di motivare a sufficienza il motivo per cui preferiva uno specifico sistema di scansione delle impronte digitali. Principalmente per questo motivo, il datore di lavoro non aveva il diritto legale di richiedere l'uso del sistema di autorizzazione per la scansione delle impronte digitali sul proprio personale sulla base della legge di attuazione del GDPR.

Se sei interessato a introdurre un nuovo sistema di sicurezza, dovrai valutare se tali sistemi sono consentiti ai sensi del GDPR e della legge di attuazione. In caso di domande, si prega di contattare gli avvocati all'indirizzo Law & More. Risponderemo alle tue domande e ti forniremo assistenza e informazioni legali.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI: NL: RBAMS: 2019: 6005

Condividi