Esti pregatit(a) pentru biometrie? Riscuri si beneficii

Biometria cumuleaza tehnologiile care identifica o persoana / autentifica identificarea unei persoane pe baza caracteristicilor fizice sau chiar comportamentale. Dezvoltarea biometriei s-a petrecut in ritm ametitor, de la tehnologii bazate pe amprenta digitala, la cele bazate pe recunoasterea irisului, recunoasterea faciala sau chiar a ritmului biologic ori pe caracteristici comportamentale precum trasaturi specifice mersului unei persoane. Pentru ca suntem in era vitezei si a simplificarii, autentificarea biometrica a devenit din ce in ce mai comuna, inclusiv in sistemele de acces in institutii sau in spatii publice ori private, dar si in comert.

Daca tehnologiile biometrice ne pot facilita viata, nu este mai putin adevarat ca ele colecteaza date care intra in sfera mai larga a datelor personale si vin cu preocupari pentru securitatea individului. Afla ce parere au despre datele biometrice, din punct de vedere juridic, Monica Iancu, partener al casei de avocatura PeliFilip, si Marcu Florea, Associate in cadrul companiei.

In Romania, procesele legate de date biometrice nu sunt supuse unei reglementari amanuntite sau speciale, iar Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal (”Autoritatea”), dar si instantele de judecata s-au aratat mai degraba conservatoare in analiza proportionalitatii utilizarii unor tehnologii biometrice. Cu toate acestea, realitatea ne arata ca in aceasta materie suntem pe o autostrada cu un singur sens, iar autoritatile cu putere de legiferare si de decizie trebuie sa gaseasca intotdeauna echilibrul intre avantajele tehnologiilor biometrice si riscurile pe care le presupun.

1. Colectarea datelor biometrice

Tehnologiile biometrice presupun captarea datelor biometrice ale unei persoane, transformarea lor intr-un tipar biometric (template), stocarea acestuia intr-o baza de date si, ulterior, verificarea identitatii acelei persoane prin compararea tiparului biometric cu caracteristica corespunzatoare a individului.

Aceste sisteme asigura rapiditatea identificarii si au rata redusa de esec in identificare. In mod evident, identificarea cu ajutorul unui cititor de amprente este mai rapida decat cea folosind, spre exemplu, cardul de identitate. In acelasi timp, intrucat identificarea se face printr-o caracteristica unica a persoanei si prin eliminarea factorului uman, identificarea este mai sigura.

Totusi, tehnologiile biometrice si rezultatele lor in procesul de identificare/ autentificare nu sunt la adapost de critici. In primul rand, tehnologiile sunt criticate inclusiv din punctul de vedere al securitatii intrucat nu exclud riscul furtului de identitate (spre exemplu, prin folosirea amprentelor false realizate din materiale artificiale). Mai mult, exista critici legate de caracterul invaziv, agresiv si inoportun (intrusive) al acestor tehnologii care ar depasi scopul pentru care sunt folosite (de exemplu, conform unor studii, amprentele pot dezvalui alte date sensibile cu privire la persoana, respectiv informatii privind originea etnica a persoanei).

Se mai invoca si riscurile de securitate a bazelor de date care contin date biometrice. Din acest punct de vedere, este de mentionat ca pare ca exista tehnologii mai prietenoase care inlatura acest risc intrucat ar permite identificarea si autentificarea biometrica a unei persoane fara a conduce la stocarea datelor intr-o baza de date, ci la stocarea lor intr-un aparat aflat in controlul acelei persoane (de exemplu, un smartphone).

2. Datele biometrice in legislatia datelor personale

Conceptul de date biometrice nu este definit sau reglementat in mod expres in Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date (”Legea 677/2001”); de altfel, el nu este definit nici in Directiva 95/46/EC privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si libera circulatie a acestor date (”Directiva 95/46/EC”).

Definitia rezulta insa din opinia Grupului de Lucru Art. 29 potrivit careia datele biometrice sunt „proprietati biologice, de comportament, caracteristici psihologice, trasaturi sau actiuni repetate daca aceste caracteristici sau actiuni sunt unice pentru un individ, masurabile, chiar daca tiparele folosite in practica pentru masurarea lor presupun un grad de probabilitate (incertitudine)”

Mai mult, insasi Legea 677/2001 poate fi considerata prin interpretare ca se refera la acest tip de date reglementand categoria datelor ”cu caracter personal avand o functie de identificare de aplicabilitate generala” care pot include si datele biometrice avand in vedere ca acestea constau in caracteristici ale corpului ce nu pot fi, in general, schimbate si care pot fi citite de instrumente automate. In plus, datele biometrice sunt mentionate expres printre categoriile de date pentru care obligatia de notificare ramane valabila in Decizia Autoritatii nr. 200/2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesara notificarea, precum si pentru modificarea si abrogarea unor decizii. Asadar, se poate concluziona ca datele biometrice sunt reglementate de legislatia romana, desi de maniera foarte restransa si prin act cu o natura juridica secundara.

3. Limitele procesarii datelor biometrice conform legislatiei din Romania

Conform Legii 677/2001, in general, datele cu caracter personal trebui sa fie „adecvate, pertinente si neexcesive prin raportare la scopul in care sunt colectate si ulterior prelucrate”. In plus, datele biometrice pot fi prelucrate exclusiv in baza consimtamantului expres al persoanei vizate sau daca prelucrarea este permisa in mod expres de o prevedere legala.

Cat priveste caracterul adecvat, pertinent si neexcesiv, nici legea si nici reglementarile secundare nu ofera linii directoare. Prin aceasta, masura in care datele colectate sunt adecvate, pertinente si neexcesive devine subiect de interpretare.

Cu titlu de exemplu, Autoritatea a considerat ca un sistem de pontaj ce functiona pe baza de cititor de amprente implica o procesare excesiva in raport cu scopul urmarit. Interpretarea Autoritatii a fost imbratisata de instanta chemata sa desfiinteze interpretarea si masurile Autoritatii, instanta retinand ca ”nu se justifica necesitatea apelarii la sistemul de pontare electronica a angajatilor, pontarea acestora putand fi realizata si prin alte mijloace […] intrucat amprentarea angajatilor ar aduce atingere vietii private a acestora si s-ar incalca echilibrul intre scopul urmarit si anume monitorizarea prezentei acestora la locul de munca si respectarea drepturilor persoanelor angajate”. In mod similar, o alta instanta a constatat ca „sistemul electronic de pontaj cu data biometrice nu este eficient, nefiind justificata necesitatea apelarii la acest sistem, cata vreme pontarea angajatilor se poate realiza si prin alte mijloace care sa nu aduca atingere vietii private a angajatilor”.

Fara a contesta judecata de valoare din deciziile invocate mai sus, fata de amploarea acestor tehnologii, riscurile dar si beneficiile lor, efortul de evaluare si de interpretare al autoritatilor trebuie sa fie unul asumat si constructiv. Vor exista mereu solutii alternative pentru monitorizarea prezentei angajatilor de exemplu, dar tehnologiile biometrice nu vor mai putea fi respinse in orice circumstante. In epoca inteligentei artificiale, analiza masurii in care o tehnologie nu asigura suficienta protectie va fi din ce in ce mai necesara.

Din acest punct de vedere, amintim, cum o faceam si mai sus, ca exista informatii cu privire la existenta unor tehnologii prietenoase care nu permit stocarea datelor biometrice in baze de date ci stergerea lor imediata odata ce scopul autentificarii a fost atins. In mod similar, Grupul de Lucru Art. 29 arata intr-una din opiniile sale ca criptarea datelor biometrice si stocarea codului intr-o forma in care informatia nu poate fi folosita pentru a reda datele biometrice in forma initiala ar trebui sa asigure un nivel de securitate adecvat. Autoritatile vor avea nevoie de suportul necesar pentru a evalua argumentele partilor, a solicita angajamente si a lua deciziile adecvate.

Cu titlu de exemplu, mentionam decizia autoritatii pentru protectia datelor din Franta care a anuntat in data de 27 Septembrie 2016 ca si-a actualizat doctrina si a adoptat o decizie cu privire la procesarea datelor biometrice pentru a tine pasul cu evolutia tehnologiei. Cu privire la sistemele de acces in spatiile de lucru pe baza de date biometrice, Autoritatea impune trei obligatii principale: (i) justificarea folosirii sistemului cu luarea in considerare a masurii in care pot fi folosite mijloace mai putin invazive; (ii) demonstrarea faptului ca sistemele sunt proiectate pentru a asigura securitatea si caracterul confidential al prelucrarii si (iii) prezentarea de asigurari cu privire la modul de stocare a datelor. In acelasi timp, adoptarea masurilor care sa micsoreze riscurile de securitate, precum criptarea, este incurajata.

4. Perspectiva

Regulamentul (UE) 2016/679 al Parlamentului European si al Consiliului din 27 aprilie 2016 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date care va intra in vigoare in luna mai a anului 2018 reglementeaza in mod expres datele biometrice, mentionandu-le intre categorii de date cu caracter special. Ca regula, procesarea acestora este posibila cu consimtamantul persoanei vizate, precum si, in anumite conditii, in scopul indeplinirii anumitor obligatii si al exercitarii unor drepturi specifice ale operatorului sau ale persoanei vizate in domeniul ocuparii fortei de munca, cand prelucrarea este necesara in scopuri legate de medicina preventiva sau a muncii. In plus, Statele Membre pot introduce restrictii suplimentare pentru procesarea datelor biometrice.

In considerarea celor de mai sus, interventia Autoritatii prin emiterea de proceduri si linii directoare cu privire la acceptabilitatea procesarii datelor biometrice este utila. Evolutia tehnologiei este inevitabila, iar autoritatile (de reglementare si judecatoresti deopotriva) nu pot ignora vantul schimbarii si adaptabilitatea accelerata a unui mediu economic competitiv. Ca atare, atat in materie de reglementare, cat si in materie de deliberare in cazuri in care sunt chemate sa se pronunte, autoritatile trebuie sa gaseasca echilibrul invocat in debutul acestui material intre utilitatea tehnologiilor de ultima generatie si riscurile lor, astfel incat sa protejeze in egala masura persoana vizata, dar si interesul economic al operatorilor.


Te-ar putea interesa și:


Mai multe articole din secțiunea Economie »



Setari Cookie-uri