Biometrics under the GDPR: Stay compliant
Os dados biométricos podem ser sensíveis e vulneráveis a abusos. Leis como o RGPD fornecem orientações sobre como tratar os dados biométricos de forma segura.
Dados biométricos como uma categoria especial
Dados biométricos são informações coletadas através de tecnologias biométricas como reconhecimento facial ou scanners de impressões digitais.
Existem algumas preocupações genuínas sobre privacidade e proteção de dados. O uso indevido de características faciais e impressões digitais soa consideravelmente mais ominoso do que o uso indevido de um número de celular.
O Regulamento Geral sobre a Proteção de Dados contém um conjunto de regras para a proteção de dados pessoais dentro e fora da UE. O GDPR classifica os dados biométricos como uma categoria particular. Isso significa que, em princípio, você não pode processar dados biométricos. No entanto, o regulamento permite que você processe categorias especiais de dados se o processamento estiver dentro de uma das razões legais para processamento sob o GDPR, como consentimento explícito ou interesse público.
Dados biográficos
Este tipo de informação pode ser coletado e armazenado e pode incluir o nome da pessoa, local de residência e data de nascimento.
Consentimento explícito
O processamento de dados só é permitido se os sujeitos tiverem dado o seu consentimento explícito para processar dados biométricos e se lhes for oferecida uma escolha, incluindo uma alternativa.
Interesse público
A proteção da saúde pública e segurança e a prevenção de danos ambientais são considerados interesses preponderantes que vão além dos interesses comerciais ou organizacionais.
Vigilância em massa
Atualmente, há um aumento na coleta de dados biométricos. Os dados podem ser coletados para fins de vigilância. À medida que os biométricos se tornam mais populares, certos países como os EUA e o Reino Unido, começaram a usar ferramentas biométricas como vigilância em massa sobre seus cidadãos. Questões legais e éticas foram levantadas sobre a coleta, processamento e armazenamento de dados biométricos, como imagens faciais.
Caso do RGPD
As Autoridade Sueca para a Proteção da Privacidade multou uma escola por levar a cabo a marcação de presença através da tecnologia de reconhecimento facial. A multa foi emitida porque a razão para o processamento de dados biométricos não se enquadrava em uma das razões permitidas sob o GDPR.
A escola obteve o consentimento dos pais para usar a tecnologia de reconhecimento facial. No entanto, a Autoridade considerou o consentimento deles defeituoso, uma vez que foi 'forçado' devido ao desequilíbrio de poder entre a escola e os pais. Além disso, o GDPR estabelece que, se você puder obter dados através de meios menos intrusivos, como assinar uma página, isso deve ser optado.
