Legislația românească privind datele biometrice. Ce se schimbă din 2018

Conform Legii 677/2001, în general, datele cu caracter personal trebui să fie „adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate”.  În plus, datele biometrice pot fi prelucrate exclusiv în baza consimțământului expres al persoanei vizate sau dacă prelucrarea este permisă în mod expres de o prevedere legală.

Cât privește caracterul adecvat, pertinent și neexcesiv, nici legea și nici reglementările secundare nu oferă linii directoare. Prin aceasta, măsura în care datele colectate sunt adecvate, pertinente și neexcesive devine subiect de interpretare.

Cu titlu de exemplu, Autoritatea a considerat că un sistem de pontaj ce funcționa pe bază de cititor de amprente implică o procesare excesiva în raport cu scopul urmărit. Interpretarea Autorității a fost îmbrățișată de instanța chemată să desființeze interpretarea și măsurile Autorității, instanța reținând că ”nu se justifică necesitatea apelării la sistemul de pontare electronică a angajaților, pontarea acestora putând fi realizată și prin alte mijloace […] întrucât amprentarea angajaților ar aduce atingere vieții private a acestora și s-ar încălca echilibrul între scopul urmărit și anume monitorizarea prezenței acestora la locul de muncă și respectarea drepturilor persoanelor angajate” . În mod similar, o altă instanță a constatat că „sistemul electronic de pontaj cu data biometrice nu este eficient, nefiind justificată necesitatea apelării la acest sistem, câtă vreme pontarea angajaților se poate realiza și prin alte mijloace care să nu aducă atingere vieții private a angajaților”.

Fără a contesta judecata de valoare din deciziile invocate mai sus, față de amploarea acestor tehnologii, riscurile dar și beneficiile lor, efortul de evaluare și de interpretare al autorităților trebuie să fie unul asumat și constructiv. Vor exista mereu soluții alternative pentru monitorizarea prezenței angajaților de exemplu, dar tehnologiile biometrice nu vor mai putea fi respinse în orice circumstanțe. În epoca inteligenței artificiale, analiza măsurii în care o tehnologie nu asigură suficientă protecție va fi din ce în ce mai necesară.

Din acest punct de vedere, amintim, cum o făceam și mai sus, că există informații cu privire la existența unor tehnologii prietenoase care nu permit stocarea datelor biometrice în baze de date ci ștergerea lor imediată odata ce scopul autentificării a fost atins. În mod similar, Grupul de Lucru Art. 29 arată într-una din opiniile sale că criptarea datelor biometrice și stocarea codului într-o forma în care informația nu poate fi folosită pentru a reda datele biometrice în forma inițială ar trebui să asigure un nivel de securitate adecvat . Autoritățile vor avea nevoie de suportul necesar pentru a evalua argumentele părților, a solicita angajamente și a lua deciziile adecvate.

Cu titlu de exemplu, menționăm decizia autorității pentru protecția datelor din Franța care a anunțat în data de 27 Septembrie 2016 că și-a actualizat doctrina  și a adoptat o decizie cu privire la procesarea datelor biometrice pentru a ține pasul cu evoluția tehnologiei. Cu privire la sistemele de acces în spațiile de lucru pe baza de date biometrice, Autoritatea impune trei obligații principale: (i) justificarea folosirii sistemului cu luarea în considerare a măsurii în care pot fi folosite mijloace mai puțin invazive; (ii) demonstrarea faptului că sistemele sunt proiectate pentru a asigura securitatea și caracterul confidențial al prelucrării și (iii) prezentarea de asigurări cu privire la modul de stocare a datelor. În același timp, adoptarea măsurilor care să micșoreze riscurile de securitate, precum criptarea, este încurajată.

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date care va intra în vigoare în luna mai a anului 2018 reglementează în mod expres datele biometrice, menționându-le între categorii de date cu caracter special. Ca regulă, procesarea acestora este posibilă cu consimțământul persoanei vizate, precum și, în anumite condiții, în scopul îndeplinirii anumitor obligații și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă, când prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii. În plus, Statele Membre pot introduce restricții suplimentare pentru procesarea datelor biometrice.

În considerarea celor de mai sus, intervenția Autorității prin emiterea de proceduri și linii directoare cu privire la acceptabilitatea procesării datelor biometrice este utilă. Evoluția tehnologiei este inevitabilă, iar autoritățile (de reglementare și judecătorești deopotrivă) nu pot ignora vântul schimbării și adaptabilitatea accelerată a unui mediu economic competitiv. Ca atare, atât în materie de reglementare, cât și în materie de deliberare în cazuri în care sunt chemate să se pronunțe, autoritățile trebuie să găsească echilibrul invocat în debutul acestui material între utilitatea tehnologiilor de ultimă generație și riscurile lor, astfel încât să protejeze în egală măsură persoana vizată, dar și interesul economic al operatorilor.