Într-o lume din ce în ce mai digitalizată, protecția datelor cu caracter personal a devenit o prioritate. În paralel, tehnologiile de recunoaștere facială au evoluat din ce în ce mai mult și sunt utilizate în diverse domenii precum retail, sănătate sau publicitate.
GDPR impune o serie de reguli stricte din punct de vedere al datelor biometrice ce sunt considerate sensibile, deoarece sunt unice pentru fiecare individ în parte și odată compromise, acestea nu pot fi schimbate, spre deosebire de parole sau alte metode de autentificare. Art. 4, pct.14 din GDPR definește datele biometrice ca fiind date personale care rezultă din prelucrarea specifică tehnică, legată de caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirmă identificarea unică a acelei persoane, cum ar fi imagini faciale.
Pentru ca prelucrarea datelor în acest domeniu să fie legală, o serie de principii trebuie să fie respectate:
- trebuie să fie prelucrate în mod echitabil și transparent;
- trebuie să fie colectate pentru scopuri explicite, legitime, și nu trebuie să fie prelucrate în mod incompatibil cu aceste scopuri;
- trebuie să fie adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile pentru care sunt prelucrate;
- trebuie să fie exacte și actualizate;
- trebuie să fie păstrate într-o formă care permite ientificarea persoanelor vizate doar pe durata necesară pentru îndeplinirea scopurilor pentru care sunt prelucrate;
- trebuie să fie prelucrate într-un mod care să asigure securitatea adecvată.
De asemenea, conform art. 9, alin. 1, din GDPR prelucrarea datelor biometrice este interzisă. Există însă excepții ce presupun condiții stricte, cum ar fi consimțământul explicit al persoanei vizate sau necesitatea pentru îndeplinirea unor obligații specifice în domeniul muncii, securității sociale și protecției sociale, protejarea intereselor vitale a persoanei vizate sau în scopuri de arhivare în interes public, cercetare științifică sau istorică sau scopuri statistice.
Operatorul trebuie să ofere persoanei vizate informații concise, ușor de înțeles, transparente, inteligibile, utilizând un limbaj simplu și clar în ceea ce privește prelucrarea datelor sale personale. Conform GDPR, organizațiile trebuie să publice politici de confidențialitate care explică modul în care datele faciale sunt colectate, utilizate, stocate, protejate. De asemenea, acestea trebuie să numească un responsabil cu protecția datelor (DPO) pentru a supraveghea conformitatea cu GDPR și pentru a gestiona cererile și plângerile persoanei vizate și să informeze autoritățile competente și persoanele vizate în cazul unei breșe. GDPR acordă o serie de drepturi extinse indivizilor în ceea ce privește prelucrarea datelor lor personale, inclusiv dreptul de a le accesa, de a solicita corectarea sau ștergerea acestora sau de a se opune prelucrării. Aceste drepturi complică utilizarea recunoașterii faciale, deoarece organizațiile trebuie să fie pregătite să răspundă acestor solicitări și să gestioneze datele conform GDPR.
Un aspect foarte important este faptul că se impune o evaluare asupra datelor cu caracter personal (DPIA) atunci când prelucrarea poate avea un risc ridicat pentru drepturile și libertățile persoanelor fizice (Art. din 35 GDPR). Tehnologiile de recunoaștere facială, din cauza naturii sensibile a datelor prelucrate, necesită o DPIA pentru a identifica și atenua potențialele riscuri. DPIA implică identificarea potențialelor riscuri și a vulnerabilităților asociate cu prelucrarea, implementarea de măsuri pentru a reduce riscurile identificate, cum ar fi pseudonimizarea sau criptarea, păstrarea unei evidențe detaliate a DPIA și a măsurilor luate pentru a proteja datele.
Implementarea GDPR a adus provocări semnificative pentru utilizarea recunoașterii faciale. Autoritățile de supraveghere din statele membre ale UE au ridicat probleme privind legalitatea utilizării acestei tehnologii fără consimțământul explicit al indivizilor. De exemplu, utilizarea recunoașterii faciale de către forțele de ordine a fost subiectul unor controverse majore în Franța, unde Comisia Naționala pentru Informatică a Libertății a interzis utlilizarea recunoașterii faciale în școli pentru a proteja identitatea copiilor.
În concluzie, tehnologiile de recunoaștere facială oferă beneficii semnficative dar aduc și provocări importante în ceea ce privește protecția datelor personale. Regulamentul GDPR impune reguli stricte care trebuie să fie respectate pentru a asigura confidențialitatea și securitatea datelor. Prin adoptarea unor tehnologii adecvate, companiile pot depăși aceste provocări și pot asigura o utilizare etică și conformă a tehnologiilor de recunoaștere facială.
Pentru mai multe informații sau orice întrebări suplimentare, vă rugăm să nu ezitați să ne contactați:
➡ Telefon: (+4) 031 426 0745
📧 Email: office@grecupartners.ro
Suntem aici pentru a vă ajuta și pentru a oferi suportul nostru legal la toate situațiile dumneavoastră.
Așteptăm cu nerăbdare să discutăm cu dumneavoastră.
Avocat Raluca Rășcanu
