Poate o aplicație să folosească pozele feței pentru autentificare conform GDPR?

Întrebare: poate o aplicație să folosească recunoașterea facială pentru a autentifica un utilizator potrivit GDPR?

 

Potrivit art. 9 alin. (1) din GDPR, datele personale ”speciale” includ:

    • originea rasială sau etnică,
    • opiniile politice,
    • confesiunea religioasă
    • convingerile filozofice sau apartenența la sindicate
    • date genetice
    • date biometrice pentru identificarea unică a unei persoane fizice
    • date privind sănătatea
    • date privind viața sexuală sau
    • date privind orientarea sexuală ale unei persoane fizice.

Mai departe, conform art. 4 alin. (14) din GDPR, prin „date biometrice” înțelegem date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice (amprentele).

Grupul de Lucru al Articolului 29 a confirmat că utilizarea tehnologiei de recunoaștere facială “ca mijloc de identificare și verificare” intră în definiția “datelor biometrice”.

Astfel, prelucrarea acestor categorii de date sensibile este interzisă dacă nu intră în una din excepțiile enumerate de GDPR, respectiv:

    • persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prelucrării să nu poată fi ridicată prin consimțământul persoanei vizate;
    • prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;
    • prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;
    • prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate;
    • prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;
    • prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;
    • prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate;
    • prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor;
    • prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional; sau
    • prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.

Pentru majoritatea companiilor care vor folosi/folosesc aplicații ce implică recunoașterea facială, excepția va fi reprezentată de ”consimțământul explicit” al persoanei vizate (utilizatorul). Practic, aceștia vor solicita utilizatorului ca acesta să-și dea acordul pentru ca imaginile sale să facă obiectul recunoașterii faciale anterior autentificării în aplicație.

Totodată, conform Avizului emis de Grupul de Lucru al Articolului 29, trebuie să avem în vedere că:

    • pentru ca acest consimțământ să fie valabil, metoda prin care acesta este oferit trebuie să fie oarecum pe același grad de siguranță;
    • consimțământul trebuie obținut anterior oricărei tip de prelucrări care implică date biometrice;
    • ar trebui să existe metode mai puțin invazive care să fie folosite;
    • utilizatorii ar trebui să aibă și o altă variantă de autentificare, care să nu implice recunoașterea facială.

Pe lângă obținerea consimțământului, cel mai probabil proprietarul aplicației va fi și un operator de date.

Astfel, acesta are și următoarele obligații față de utilizator:

    • Să îl informeze printr-o notă cu privire la activitățile de prelucrare, perioada stocării, scopul, durata, drepturile sale etc.;
    • Minimizeze la strictul necesar perioada prelucrării;
    • Să răspundă la cererile acestora de acces, modificare, ștergere, retragere consimțământ;
    • Să aibă implementate metode de securitate tehnice și organizație adecvate pentru aceste date speciale.

Totodată, trebuie ținut cont de faptul că într-un asemenea caz, atât GDPR, cât și Decizia nr. 174/2018 a ANSPCP spun clar că trebuie să faci o analiză de impact (DPIA), pentru că sunt considerate activități de mare risc, iar cel mai probabil va trebui să angajezi un DPO (ofițer responsabil cu protecția datelor cu caracter personal).

În concluzie, GDPR permite unei aplicații să folosească autentificarea utilizatorilor pe bază de recunoaștere, dar impune totodată un set de reguli suplimentare foarte riguroase, ceea ce ne duce cu gândul la găsirea unor alternative mai prietenoase, dar la fel de sigure, prin care să se facă acest lucru.

Comment

This post doesn't have any comment. Be the first one!

hide comments
Follow
...
Back

Your cart

0

No products in the cart.

Total
0,00 lei
Checkout
Empty

This is a unique website which will require a more modern browser to work!

Please upgrade today!

Dacă vrei să nu mai cauți

Îți livrăm tot ce e nou la noi direct la tine în inbox.
VREAU
close-link
Our site uses cookies. Learn more about our use of cookies: cookie policy.
I accept