Extras: Biometria cumulează tehnologiile care identifică o persoană / autentifică identificarea unei persoane pe baza caracteristicilor fizice sau chiar comportamentale. Dezvoltarea biometriei s-a petrecut în ritm amețitor, de la tehnologii bazate pe amprenta digitală, la cele bazate pe recunoașterea irisului, recunoașterea facială sau chiar a ritmului biologic ori pe caracteristici comportamentale precum trăsături specifice mersului unei persoane. Pentru că suntem în era vitezei și a simplificării, autentificarea biometrică a devenit din ce în ce mai comună, inclusiv în sistemele de acces în instituții sau în spații publice ori private, dar și în comerț.

Dacă tehnologiile biometrice ne pot facilita viața, nu este mai puțin adevarat că ele colectează date care intră în sfera mai largă a datelor personale și vin cu preocupări pentru securitatea individului.

În România, procesele legate de date biometrice nu sunt supuse unei reglementări amănunțite sau speciale, iar Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (”Autoritatea”), dar și instanțele de judecată s-au arătat mai degrabă conservatoare în analiza proporționalității utilizării unor tehnologii biometrice. Cu toate acestea, realitatea ne arată că în această materie suntem pe o autostradă cu un singur sens, iar autoritățile cu putere de legiferare și de decizie trebuie să găsească întotdeauna echilibrul între avantajele tehnologiilor biometrice și riscurile pe care le presupun.

  1. Colectarea datelor biometrice

Tehnologiile biometrice presupun captarea datelor biometrice ale unei persoane, transformarea lor într-un tipar biometric (template), stocarea acestuia într-o bază de date și, ulterior, verificarea identității acelei persoane prin compararea tiparului biometric cu caracteristica corespunzătoare a individului.

Aceste sisteme asigură rapiditatea identificării și au rata redusă de eșec în identificare. În mod evident, identificarea cu ajutorul unui cititor de amprente este mai rapidă decât cea folosind, spre exemplu, cardul de identitate. În același timp, întrucât identificarea se face printr-o caracteristică unică a persoanei și prin eliminarea factorului uman, identificarea este mai sigură.

Totuși, tehnologiile biometrice și rezultatele lor în procesul de identificare/ autentificare nu sunt la adăpost de critici. În primul rând, tehnologiile sunt criticate inclusiv din punctul de vedere al securității întrucât nu exclud riscul furtului de identitate (spre exemplu, prin folosirea amprentelor false realizate din materiale artificiale). Mai mult, există critici legate de caracterul invaziv, agresiv și inoportun (intrusive) al acestor tehnologii care ar depăși scopul pentru care sunt folosite (de exemplu, conform unor studii, amprentele pot dezvălui alte date sensibile cu privire la persoană, respectiv informații privind originea etnică a persoanei).

Se mai invocă și riscurile de securitate a bazelor de date care conțin date biometrice. Din acest punct de vedere, este de menționat că pare că există tehnologii mai prietenoase care înlătură acest risc întrucât ar permite identificarea și autentificarea biometrică a unei persoane fără a conduce la stocarea datelor într-o bază de date, ci la stocarea lor într-un aparat aflat în controlul acelei persoane (de exemplu, un smartphone).   

  1. Datele biometrice în legislația datelor personale

Conceptul de date biometrice nu este definit sau reglementat în mod expres în Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (”Legea 677/2001”); de altfel, el nu este definit nici în Directiva 95/46/EC privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (”Directiva 95/46/EC”).

Definiția rezultă însă din opinia Grupului de Lucru Art. 29 potrivit căreia datele biometrice sunt „proprietăți biologice, de comportament, caracteristici psihologice, trăsături sau acțiuni repetate dacă aceste caracteristici sau acțiuni sunt unice pentru un individ, măsurabile, chiar dacă tiparele folosite în practică pentru măsurarea lor presupun un grad de probabilitate (incertitudine)”

Mai mult, însăși Legea 677/2001 poate fi considerată prin interpretare că se referă la acest tip de date reglementând categoria datelor ”cu caracter personal având o funcție de identificare de aplicabilitate generală” care pot include și datele biometrice având în vedere că acestea constau în caracteristici ale corpului ce nu pot fi, în general, schimbate și care pot fi citite de instrumente automate. În plus, datele biometrice sunt menționate expres printre categoriile de date pentru care obligația de notificare rămâne valabilă în Decizia Autorității nr. 200/2015 privind stabilirea cazurilor de prelucrare a datelor cu caracter personal pentru care nu este necesară notificarea, precum și pentru modificarea și abrogarea unor decizii. Așadar, se poate concluziona că datele biometrice sunt reglementate de legislația română, deși de manieră foarte restrânsă și prin act cu o natură juridică secundară.

  1. Limitele procesarii datelor biometrice conform legislației din Romania

Conform Legii 677/2001, în general, datele cu caracter personal trebui să fie „adecvate, pertinente și neexcesive prin raportare la scopul în care sunt colectate și ulterior prelucrate”. În plus, datele biometrice pot fi prelucrate exclusiv în baza consimțământului expres al persoanei vizate sau dacă prelucrarea este permisă în mod expres de o prevedere legală.   

Cât privește caracterul adecvat, pertinent și neexcesiv, nici legea și nici reglementările secundare nu oferă linii directoare. Prin aceasta, măsura în care datele colectate sunt adecvate, pertinente și neexcesive devine subiect de interpretare.

Cu titlu de exemplu, Autoritatea a considerat că un sistem de pontaj ce funcționa pe bază de cititor de amprente implică o procesare excesiva în raport cu scopul urmărit. Interpretarea Autorității a fost îmbrățișată de instanța chemată să desființeze interpretarea și măsurile Autorității, instanța reținând că ”nu se justifică necesitatea apelării la sistemul de pontare electronică a angajaților, pontarea acestora putând fi realizată și prin alte mijloace […] întrucât amprentarea angajaților ar aduce atingere vieții private a acestora și s-ar încălca echilibrul între scopul urmărit și anume monitorizarea prezenței acestora la locul de muncă și respectarea drepturilor persoanelor angajate”. În mod similar, o altă instanță a constatat că „sistemul electronic de pontaj cu data biometrice nu este eficient, nefiind justificată necesitatea apelării la acest sistem, câtă vreme pontarea angajaților se poate realiza și prin alte mijloace care să nu aducă atingere vieții private a angajaților”.

Fără a contesta judecata de valoare din deciziile invocate mai sus, față de amploarea acestor tehnologii, riscurile dar și beneficiile lor, efortul de evaluare și de interpretare al autorităților trebuie să fie unul asumat și constructiv. Vor exista mereu soluții alternative pentru monitorizarea prezenței angajaților de exemplu, dar tehnologiile biometrice nu vor mai putea fi respinse în orice circumstanțe. În epoca inteligenței artificiale, analiza măsurii în care o tehnologie nu asigură suficientă protecție va fi din ce în ce mai necesară.

Din acest punct de vedere, amintim, cum o făceam și mai sus, că există informații cu privire la existența unor tehnologii prietenoase care nu permit stocarea datelor biometrice în baze de date ci ștergerea lor imediată odata ce scopul autentificării a fost atins. În mod similar, Grupul de Lucru Art. 29 arată într-una din opiniile sale că criptarea datelor biometrice și stocarea codului într-o forma în care informația nu poate fi folosită pentru a reda datele biometrice în forma inițială ar trebui să asigure un nivel de securitate adecvat. Autoritățile vor avea nevoie de suportul necesar pentru a evalua argumentele părților, a solicita angajamente și a lua deciziile adecvate.

Cu titlu de exemplu, menționăm decizia autorității pentru protecția datelor din Franța care a anunțat în data de 27 Septembrie 2016 că și-a actualizat doctrina și a adoptat o decizie cu privire la procesarea datelor biometrice pentru a ține pasul cu evoluția tehnologiei. Cu privire la sistemele de acces în spațiile de lucru pe baza de date biometrice, Autoritatea impune trei obligații principale: (i) justificarea folosirii sistemului cu luarea în considerare a măsurii în care pot fi folosite mijloace mai puțin invazive; (ii) demonstrarea faptului că sistemele sunt proiectate pentru a asigura securitatea și caracterul confidențial al prelucrării și (iii) prezentarea de asigurări cu privire la modul de stocare a datelor. În același timp, adoptarea măsurilor care să micșoreze riscurile de securitate, precum criptarea, este încurajată.

  1. Perspectiva

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date care va intra în vigoare în luna mai a anului 2018 reglementează în mod expres datele biometrice, menționându-le între categorii de date cu caracter special. Ca regulă, procesarea acestora este posibilă cu consimțământul persoanei vizate, precum și, în anumite condiții, în scopul îndeplinirii anumitor obligații și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă, când prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii. În plus, Statele Membre pot introduce restricții suplimentare pentru procesarea datelor biometrice.

În considerarea celor de mai sus, intervenția Autorității prin emiterea de proceduri și linii directoare cu privire la acceptabilitatea procesării datelor biometrice este utilă. Evoluția tehnologiei este inevitabilă, iar autoritățile (de reglementare și judecătorești deopotrivă) nu pot ignora vântul schimbării și adaptabilitatea accelerată a unui mediu economic competitiv. Ca atare, atât în materie de reglementare, cât și în materie de deliberare în cazuri în care sunt chemate să se pronunțe, autoritățile trebuie să găsească echilibrul invocat în debutul acestui material între utilitatea tehnologiilor de ultimă generație și riscurile lor, astfel încât să protejeze în egală măsură persoana vizată, dar și interesul economic al operatorilor. 

Autori:

Monica Iancu, Partener PeliFilip
Marcu Florea, Associate PeliFilip