« Secţiuni « Arii de practică « BusinessProtectiveLitigation
Drept civil
ConferinţeDezbateriCărţiProfesionişti
STOICA & Asociatii
 

Noaptea, toate pisicile sunt negre: prelucrarea datelor biometrice ale consumatorilor
08.02.2021 | Juanita GOICOVICI

JURIDICE - In Law We Trust Video juridice
Juanita Goicovici

Juanita Goicovici

Paragrafele care urmează sunt alocate problematicii prelucrării datelor biometrice ale consumatorilor și a implicațiilor utilizării biometriei asupra datelor personale relative la proprietățile biologice, caracteristicile fiziologice, trăsăturile vitale sau acțiunile repetabile care sunt unice și măsurabile, supunând analizei îndeosebi raporturile dintre profesioniști și consumatori, fără a aborda uzul biometriei din perspectiva procedurilor de urmărire penală și cercetare a săvârșirii infracțiunilor[1], din perspectiva dreptului muncii și a supravegherii angajaților, din perspectiva  tehnicilor de ADN screening sau a procedeelor biometrice ce țin de evidența populației. Exemplele cele mai uzuale de date biometrice ale unei persoane (fie și în ipostaza de consumator[2] al unor produse / servicii) includ amprentele digitale, scanarea retinei, structura facială, inflexiunile vocii, precum și geometria mâinii (inclusiv configurația / dispunerea vaselor de sânge sau modelele sangvine) ori, la rigoare, unele trăsături comportamentale din care se poate deduce un pattern specific (fără a avea, în mod necesar, niveluri similare de reziliență[3]).

Ipotezele cele mai frecvente de procesare a datelor biometrice ale consumatorilor în contractele B2C se regăsesc în perimetrul contractelor de servicii financiare la distanță de identificare facială sau prin scanarea amprentelor, al utilizării device-urilor (iphone, laptop etc.) cu sisteme de identificare vocală sau facială ș.a. Ne propunem, în paragrafele care urmează, să abordăm sfera materială de incidență a prelucrării datelor biometrice, cu referiri asupra rolului jucat de consimțământul consumatorului la prelucrarea (cu titlu de excepție) a datelor biometrice, precum și impactul pe care procesarea datelor biometrice (în situațiile în care este legală o asemenea procesare) l-ar avea asupra principiului proporționalității prelucrării sau asupra executării obligației operatorilor de evaluare a riscurilor și a impactului prelucrării datelor personale.

1. Taxonomia datelor biometrice și înregimentarea acestora în categoriile datelor sensibile. Plonjând în problematica compartimentării categoriilor de date biometrice în funcție de tehnicile de scanare și de biometrie utilizate, ar trebui remarcat faptul că există cel puțin 15 tipuri de măsurători utilizate în biometrie (și un număr proporțional de variante-hibrid care mixează o parte din aceste tehnici de identificare), aplicabile în cea mai mare parte a acestora și relațiilor B2C: (a) identificarea persoanei utilizând screening-ul unor fragmente de ADN recoltate de la aceasta (inutilizabil în relațiile B2C); (b) identificarea facială prin compararea elementelor metrice ale formei pavilionului urechii umane; (c) identificarea facială prin compararea elementelor metrice ale cristalinului; (d) identificarea facială prin recunoașterea trăsăturilor retinei (incluzând elementele metrice ale vaselor sangvine care irigă retina); (e) identificarea facială prin compararea elementelor metrice ale structurii / osaturii feței și expresiile faciale[4]; (f) scanarea amprentelor; (g) recunoașterea cu ajutorul geometriei 3D a structurii degetelor mâinii; (h) recunoașterea cu ajutorul geometriei 3G a elementelor caracteristice ale mâinii, inclusiv dimensiunile degetelor, ale zonei palmare, ale regiunii articulare / carpiene etc. (i) identificarea în baza elementelor comportamentale desprinse din maniera de a se deplasa (ritmicitatea pașilor), ca element adjuvant de securitate; (j) identificarea în baza elementelor de odor, ca element adjuvant de securitate; (k) identificarea în baza elementelor comportamentale desprinse din maniera de a se utiliza tastatura (ritmicitatea acționării tastelor), ca element adjuvant de securitate; (l) identificare vocală (fără acordul persoanei) prin sisteme voice speaker identification; (m) autentificarea vocală (implicând participarea activă și volitivă a persoanei); (n) identificarea biometrică în baza elementelor comportamentale desprinse din analiza stilului de scriere, în special a semnăturii olografe, ca element adjuvant de securitate[5].

Conform definiției din art. 4, pct. 14 al RGDP, noțiunea „datelor biometrice”[6] înglobează datele cu caracter personal „care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice care permit sau confirmă identificarea unică a respectivei persoane, cum ar fi imaginile faciale sau datele dactiloscopice”[7]. Aceste specii de date fac parte din categoria datelor sensibile, a căror prelucrare este, în principiu, interzisă conform dispozițiilor art. 9, par. (1) din RGDP.

2. Reprezintă date biometrice ale consumatorilor fotografiile și imaginile captate video? În accepțiunea restrânsă a datelor biometrice, fotografiile și capturile de imagine prin tehnologii video nu reprezintă prin ele însele date biometrice, motiv pentru care sunt excluse, de regulă, din categoria datelor sensibile a căror prelucrare cade sub incidența principiului interzicerii colectării, prelucrării și stocării datelor sensibile. După cum rezultă din Considerentul (51), teza a III-a din RGDP, „Prelucrarea fotografiilor nu ar trebui să fie considerată în mod sistematic ca fiind o prelucrare de categorii speciale de date cu caracter personal, întrucât fotografiile intră sub incidența definiției datelor biometrice doar în cazurile în care sunt prelucrate prin mijloace tehnice specifice care permit identificarea unică sau autentificarea unei persoane fizice”. Astfel, imaginile capturate de camerele de supraveghere din premisele magazinelor fizice, supermarket-urilor, mall-urilor, zonelor de parking cu administrare comercială etc. nu fac parte per se din categoria datelor biometrice, nepresupunând de regulă utilizarea unor programe software care să aibă drept finalitate certificarea identității persoanelor; chiar și în ipotezele în care aceste imagini sunt utilizate în scopul identificării persoanelor care sunt acuzate de săvârșirea unor contravenții / infracțiuni (în spațiile comerciale supuse supravegherii), de regulă, identificarea persoanelor cu ajutorul acestor imagini are o valoare probatorie relativă, putând fi răsturnată prin proba contrarie; de asemenea, rolul determinant în identificarea persoanelor în aceste cazuri îl joacă factorul uman, iar nu tehnicile de biometrie; dimpotrivă, în ipotezele (relativ, rare) în care imaginile video captate de camerele de supraveghere dintr-un supermarket ar fi utilizate în proceduri biometrice[8], realizându-se măsurători ale trăsăturilor faciale etc., aceste imagini devin date biometrice și vor intra (strict în aceste situații) în categoria datelor personale sensibile[9].

3. De neînlocuit: riscurile asociate prelucrării datelor biometrice ale consumatorilor. Într-o versiune abstractizată a ipostazierii doctorului Jekyll și a domnului Hyde sau într-o variantă pernicioasă economic a „ruletei rusești” ori a proverbului solomonian conform căruia mai important sau mai relevant „este sfârșitul unui lucru, decât începutul său”[10], uzul datelor biometrice pentru accesarea conturilor bancare ale consumatorului sau pentru accesarea altor servicii B2C (uzul unui program software de scanare a amprentelor digitale sau de scanare facială etc.) poate debuta promițând (și chiar furnizând) elemente de securitate incomparabil mai accentuate decât cele non-biometrice (comparativ cu accesarea acestor servicii pe baza unei parole statice și / sau a unei parole generate spontan etc.), însă poate sfârși prin a genera prejudicii cvasi-ireparabile (cel puțin în termeni economici[11]), în ipoteza înregistrării unor incidente de securitate; dacă parola statică, ID-ul și codul de acces ajunse în mod ilegal la cunoștința unor terți pot fi înlocuite de către titular prin selectarea altor coduri / parole de acces, datele biometrice sustrase de către terții fără drept de acces fac parte din categoria irreplaceable data, fiind imposibil de înlocuit amprentele digitale ale persoanei vizate, elementele metrice ale irisului sau configurația cristalinului uman, structura facială sau geometria corporală, în cazul accesării ilegale a acestora furtul de identitate fiind dificil de stopat.

Tehnicile biometrice presupun, în esență, captarea datelor biometrice ale unei persoane, transformarea acestora într-un tipar biometric sau generarea unui pattern cu elemente care se repetă într-o manieră predictibilă, stocarea acestuia într-o baza de date și, ulterior, verificarea și certificarea identității persoanei vizate prin compararea tiparului biometric cu caracteristicile persoanei supuse verificării. Printre avantajele utilizării se numără faptul că asigură rapiditatea identificării și că prezintă o rată semnificativ mai redusa de eșec in identificarea / certificarea identității persoanei; de asemenea, întrucât verificarea identității are loc prin eliminarea factorului uman în ipostaza de evaluator, identificarea titularului dreptului de acces devine mai sigură. Pe celălalt versant, însă, riscurile furtului de identitate nu rămân deloc neglijabile, ceea ce accentuează importanța pe care tehnicile de criptare[12] o pot împrumuta în materia datelor biometrice.

4. Consimțământul persoanei vizate la utilizarea tehnicilor de biometrie. În cazurile (majoritare) în care prelucrarea datelor biometrice ale consumatorilor se bazează pe consimțământul consumatorului, operatorul trebuie să fie în măsură să demonstreze că persoana vizată și-a dat consimțământul pentru procesarea datelor sale biometrice. Relevante (inclusiv) în acest context sunt exigențele relative la consimțământul granular al consumatorului, care implică, între altele, faptul că, în cazul în care consimțământul consumatorului la prelucrarea datelor sale personale (biometrice, în acest caz) este dat în contextul unei declarații care se referă și la alte aspecte, cererea privind consimțământul la procesarea datelor biometrice trebuie să fie prezentată într-o formă care o diferențiază în mod clar de celelalte aspecte, într-o formă inteligibilă pentru consumatorul profan, utilizând un limbaj clar, cu evitarea jargonului tehnic. În ceea ce privește condiția consimțământului granular inclusiv din perspectiva condiționării consimțământului[13] consumatorului la prelucrarea datelor biometrice, pornind de la exigențele generale enunțate în textul art. 7 din Regulamentul general privind protecția datelor, se cuvine reținut că, atunci când se evaluează dacă consimțământul persoanei vizate este dat în mod liber, se va evalua îndeosebi măsura în care executarea unui contract, inclusiv prestarea unui serviciu, este condiționată sau nu de consimțământul cu privire la prelucrarea datelor cu caracter personal care nu este necesară pentru executarea respectivului contract. Pentru acest motiv, apreciem că nu va reprezenta un temei legal valabil pentru procesarea datelor biometrice ale unui consumator, un consimțământ solicitat în termeni generali, „pentru orice operațiune de prelucrare a datelor personale” sau pentru așa-numitele „scopuri ce țin de executarea contractului”, fără o enunțare explicită și distinctă a fiecăruia dintre scopurile prelucrării datelor (așa-numita „secvențiere a scopurilor prelucrării”) și fără disjungerea explicită între categoriile de date personale colectate și procesate; astfel, în niciun caz consimțământul consumatorului la prelucrarea datelor sale personale uzuale, non-sensibile nu se extinde și asupra procesării datelor sensibile, cum ar fi datele biometrice, pentru prelucrarea legală a acestora bazată pe consimțământul persoanei vizate fiind necesară obținerea consimțământului specific al consumatorului, distinct de acordul acestuia la colectarea și procesarea altor date personale care nu intră sub cupola noțiunii „datelor sensibile”, din care fac parte și datele biometrice. După cum s-a subliniat în literatura de specialitate, în contractele business to consumer, consimțământul consumatorului poate reprezenta temeiul juridic adecvat al prelucrării datelor personale doar în situațiile în care persoanei vizate i s-a acordat controlul și posibilitatea alegerii reale și efective între acceptarea sau respingerea termenilor conferiți de către operatorul de date, iar eventuala respingere a opțiunilor de prelucrare a datelor sale personale să nu aducă acestor consumatori niciun prejudiciu și să nu implice aplicarea unor penalități[14].

Consimțământul reprezintă unul dintre cele șase temeiuri de legalitate pe care poate fi fondată prelucrarea datelor cu caracter personal, astfel cum sunt aceste temeiuri enumerate în cuprinsul art. 6 din Regulamentul (UE) 2016/679, celelalte cinci posibile temeiuri referindu-se la: (b) prelucrarea necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; (c) prelucrarea necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului; (d) prelucrarea  necesară pentru a proteja interesele vitale ale persoanei vizate sau ale altei persoane fizice; (e) prelucrarea necesară pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul; (f) prelucrarea necesară în scopul intereselor legitime urmărite de operator sau de o parte terță, cu excepția cazului în care prevalează interesele sau drepturile și libertățile fundamentale ale persoanei vizate, care necesită protejarea datelor cu caracter personal, în special atunci când persoana vizată este un minor). În măsura în care inițiază activități sau operațiuni care presupun prelucrarea de date cu caracter personal, operatorul de date trebuie întotdeauna să evalueze în ce măsură consimțământul persoanei vizate (independent de calitatea de consumator a acesteia) reprezintă sau nu temeiul legal adecvat pentru prelucrarea datelor personale colectate, în caz contrar fiind indispensabilă identificarea altui temei legal. Din perspectiva prelucrării datelor biometrice ale consumatorilor, de cele mai multe ori prelucrarea acestei categorii de date sensibile va fi fondată pe existența consimțământului informat al consumatorului, însă pot fi concepute situații (îndeosebi în sfera relațiilor B2C privind prestarea unor servicii financiare la distanță etc.) în care prelucrarea datelor biometrice este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract; de asemenea, pot fi concepute situații în care prelucrarea datelor biometrice este necesară în vederea îndeplinirii unei obligații legale imperative care îi revine operatorului, regula rămânând aceea a prohibirii de principiu a prelucrării datelor biometrice (ca date sensibile, prin definiție), iar excepțiile (situațiile în care prelucrarea datelor biometrice ale consumatorului este permisă) vor fi cantonate între limitele trasate în cuprinsul Regulamentului general privind protecția datelor cu caracter personal.

5. Impactul asupra exercitării dreptului la opoziție al persoanei vizate de prelucrarea datelor biometrice. În ceea ce privește exercitarea dreptului de opoziție din motive legate de situația particulară a persoanei vizate (inclusiv atunci când prelucrarea vizează date biometrice), în literatura de specialitate[15] s-a subliniat că dreptul la opoziție nu are o sferă generală de aplicare în materia prelucrării datelor, ci rămâne cantonat între limitele unor situații precise (însă dreptul de opoziție pare să devină regula în materia prelucrării datelor sensibile, exceptate de plano de la prelucrare, de unde și posibilitatea persoanei vizate de a se opune prelucrării datelor sensibile care o privesc); astfel, persoanele vizate nu dispun de un drept general de a se opune prelucrării oricăror date personale, însă persoana vizată se poate opune prelucrării, din motive legate de situația sa particulară, în funcție de incidența uneia din tripticul de situații:

(a) în cazul prelucrărilor realizate în temeiul intereselor legitime urmărite de operator sau de o parte terță, conform prevederilor art. 6, alin. (1), lit. f) din RGDP;

(b) în cazul procesării datelor necesare pentru îndeplinirea unei sarcini care servește unui interes public sau care rezultă din exercitarea autorității publice cu care este învestit operatorul, după cum rezultă din textul art. 6, alin. (1), lit. e) din RGDP;

(c) în cazul prelucrărilor realizate în scopuri de cercetare științifică sau istorică ori în scopuri statistice, conform art. 89, alin. (1) din RGDP.

6. Impactul asupra principiului proporționalității prelucrării datelor. Exigența proporționalității și reducerea la minim a datelor cu caracter personal prelucrate implică faptul că datele consumatorului sunt prelucrate într-o maniera adecvată, relevantă și limitată la necesitatea de a realiza scopurile legitime și precis determinate pentru care au fost colectate, fără excedarea acestor scopuri.

Parcimonios în detalii cu privire la incidența principiului proporționalității prelucrării datelor personale, Regulamentul general privind protecția datelor cu caracter personal menționează acest principiu în cuprinsul considerentului (4), al considerentului (49), (156) și al considerentului (170), specificând în textul art. 35, par. (7), lit. (b) că evaluarea impactului asupra protecției datelor pe care operatorii au obligația de a o întreprinde în anumite condiții va implica „o evaluare a necesității și proporționalității operațiunilor de prelucrare în legătură cu aceste scopuri” ale prelucrării.

Prin prisma verificării legalității prelucrării datelor biometrice, în situațiile în care un operator de date personale urmărește să invoce faptul că prelucrarea acestor date se bazează pe executarea unui contract încheiat cu persoana vizată, este important să se evalueze ce reprezintă în respectivul context, așa-numitul „obiectiv necesar pentru executarea contractului”. Sintagma „prelucrare necesară pentru executarea contractului”, din perspectiva dispozițiilor art. 7, alin. (4) RGDP, care privesc valabilitatea consimțământului, indică faptul că este necesar să se facă în mod explicit distincție între activitățile de prelucrare necesare pentru executarea unui contract (i) și clauzele care condiționează prestarea serviciului către consumator de acordul acestuia la derularea anumitor activități de prelucrare a datelor care nu sunt efectiv necesare pentru executarea contractului de tip business to consumer (ii).

7. Impactul asupra executării obligației operatorilor de evaluare a riscurilor și a impactului prelucrării datelor. Considerentul (90) din RGDP reține că „În astfel de cazuri, operatorul ar trebui să efectueze, înainte de prelucrare, o evaluare a impactului asupra protecției datelor, în scopul evaluării gradului specific de probabilitate a materializării riscului ridicat și gravitatea acestuia, având în vedere natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și sursele riscului. Respectiva evaluare a impactului ar trebui să includă, în special, măsurile, garanțiile și mecanismele avute în vedere pentru atenuarea riscului respectiv, pentru asigurarea protecției datelor cu caracter personal și pentru demonstrarea conformității cu prezentul regulament.”

Considerentul (91) din RGDP menționează, cu privire la sfera de incidență a obligației operatorilor de evaluare a riscurilor și a impactului prelucrării datelor, că „Aceasta ar trebui să se aplice, în special, operațiunilor de prelucrare la scară largă, care au drept obiectiv prelucrarea unui volum considerabil de date cu caracter personal la nivel regional, național sau supranațional, care ar putea afecta un număr mare de persoane vizate și care sunt susceptibile de a genera un risc ridicat, de exemplu, din cauza sensibilității lor, în cazul în care, în conformitate cu nivelul atins al cunoștințelor tehnologice, se folosește la scară largă o tehnologie nouă, precum și altor operațiuni de prelucrare care generează un risc ridicat pentru drepturile și libertățile persoanelor vizate, în special în cazul în care operațiunile respective limitează capacitatea persoanelor vizate de a-și exercita drepturile. Ar trebui efectuată o evaluare a impactului asupra protecției datelor și în situațiile în care datele cu caracter personal sunt prelucrate în scopul luării de decizii care vizează anumite persoane fizice în urma unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, pe baza creării de profiluri pentru datele respective, sau în urma prelucrării unor categorii speciale de date cu caracter personal, a unor date biometrice sau a unor date privind condamnările penale și infracțiunile sau măsurile de securitate conexe.” Din exprimarea experților Grupului de lucru „Articolul 29” care au elaborat „Ghidul privind evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o prelucrare este susceptibilă să genereze un risc ridicat în sensul Regulamentului 2016/679[16], evaluarea impactului asupra protecției datelor reprezintă „un proces destinat să descrie prelucrarea, să evalueze necesitatea și proporționalitatea acesteia și să contribuie la gestionarea riscurilor la adresa drepturilor și libertăților persoanelor vizate rezultate din prelucrarea datelor cu caracter personal, prin evaluarea acestora și stabilirea de măsuri pentru atenuarea acestora”, menționându-se că „prelucrarea oricărui tip de date biometrice (…) ar putea fi, de asemenea, considerată ca relevantă pentru elaborarea unei liste în conformitate cu art. 35, par. (4)”.

8. Situații care condiționează legalitatea prelucrării și limitele incidente în materia prelucrării datelor biometrice. Dacă regula în materia prelucrării datelor biometrice o reprezintă prohibiția procesării acestora, întrucât reprezintă specii de date sensibile[17], a căror prelucrare este, în principiu, interzisă, excepțiile de la regulă sunt enumerate expres în cuprinsul art. 9, alin. (2) din RGDP, „Prelucrarea de categorii speciale de date cu caracter personal”, conform căruia prelucrarea datelor biometrice poate avea loc în următoarele situații, în care „alineatul (1) nu se aplică”:

„(a) persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate;

(b) prelucrarea este necesară în scopul îndeplinirii obligațiilor și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate în domeniul ocupării forței de muncă și al securității sociale și protecției sociale, în măsura în care acest lucru este autorizat de dreptul Uniunii sau de dreptul intern ori de un acord colectiv de muncă încheiat în temeiul dreptului intern care prevede garanții adecvate pentru drepturile fundamentale și interesele persoanei vizate;

(c) prelucrarea este necesară pentru protejarea intereselor vitale ale persoanei vizate sau ale unei alte persoane fizice, atunci când persoana vizată se află în incapacitate fizică sau juridică de a-și da consimțământul;

(d) prelucrarea este efectuată în cadrul activităților lor legitime și cu garanții adecvate de către o fundație, o asociație sau orice alt organism fără scop lucrativ și cu specific politic, filozofic, religios sau sindical, cu condiția ca prelucrarea să se refere numai la membrii sau la foștii membri ai organismului respectiv sau la persoane cu care acesta are contacte permanente în legătură cu scopurile sale și ca datele cu caracter personal să nu fie comunicate terților fără consimțământul persoanelor vizate;

(e) prelucrarea se referă la date cu caracter personal care sunt făcute publice în mod manifest de către persoana vizată;

(f) prelucrarea este necesară pentru constatarea, exercitarea sau apărarea unui drept în instanță sau ori de câte ori instanțele acționează în exercițiul funcției lor judiciare;

(g) prelucrarea este necesară din motive de interes public major, în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate;

(h) prelucrarea este necesară în scopuri legate de medicina preventivă sau a muncii, de evaluarea capacității de muncă a angajatului, de stabilirea unui diagnostic medical, de furnizarea de asistență medicală sau socială sau a unui tratament medical sau de gestionarea sistemelor și serviciilor de sănătate sau de asistență socială, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul unui contract încheiat cu un cadru medical și sub rezerva respectării condițiilor și garanțiilor prevăzute la alineatul (3);

(i) prelucrarea este necesară din motive de interes public în domeniul sănătății publice, cum ar fi protecția împotriva amenințărilor transfrontaliere grave la adresa sănătății sau asigurarea de standarde ridicate de calitate și siguranță a asistenței medicale și a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, care prevede măsuri adecvate și specifice pentru protejarea drepturilor și libertăților persoanei vizate, în special a secretului profesional; sau

(j) prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare științifică sau istorică ori în scopuri statistice, în conformitate cu art. 89, alin. (1), în baza dreptului Uniunii sau a dreptului intern, care este proporțional cu obiectivul urmărit, respectă esența dreptului la protecția datelor și prevede măsuri corespunzătoare și specifice pentru protejarea drepturilor fundamentale și a intereselor persoanei vizate.

(3) Datele cu caracter personal menționate la alineatul (1) pot fi prelucrate în scopurile menționate la alin. (2) lit. (h) în cazul în care datele respective sunt prelucrate de către un profesionist supus obligației de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naționale competente sau de o altă persoană supusă, de asemenea, unei obligații de confidențialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naționale competente.

(4) Statele membre pot menține sau introduce condiții suplimentare, inclusiv restricții, în ceea ce privește prelucrarea de date genetice, date biometrice sau date privind sănătatea.”

Dintre situațiile exceptate de sub incidența prohibiției generale care vizează prelucrarea datelor sensibile (inclusiv a celor biometrice), în spera discuțiilor privitoare la prelucrarea datelor biometrice ale consumatorilor în contractele B2C, se remarcă prevederile enunțate în cuprinsul art. 9, alin. (2), lit. (a) RGDP, și anume cazurile de prelucrare întemeiate pe consimțământul consumatorului, ca fiind cazurile în care „persoana vizată și-a dat consimțământul explicit pentru prelucrarea acestor date cu caracter personal pentru unul sau mai multe scopuri specifice, cu excepția cazului în care dreptul Uniunii sau dreptul intern prevede ca interdicția prevăzută la alineatul (1) să nu poată fi ridicată prin consimțământul persoanei vizate”. Se cuvine menționat, în acest context, că, „prin prisma obligației de a divulga temeiurile juridice pe baza cărora operatorul acționează la momentul în care se colectează datele cu caracter personal”, acesta trebuie să se decidă înainte de inițierea colectării datelor biometrice ale consumatorilor, „care sunt temeiurile legale aplicabile”[18] fiecăruia dintre scopurile prelucrării datelor personale.


[1] Pentru detalii în materia procesării datelor biometrice în ramurile dreptului public, a se consulta Marc Sztulman, „La biométrie saisie par le droit public. Étude sur l’identification et la localisation des personnes physiques”, L.G.D.J, Paris, 2019, îndeosebi p. 34-188; de asemenea, a se vedea N. Veron, „Le contrôle de l’utilisation des données biométriques au regard du droit au respect de la vie privée”, L’Harmattan, Paris, 2017, îndeosebi p. 68-152; pentru o abordare sistematică, a se consulta T. Douville, „Droit des données à caractère personnel”, Gualino, 2020, îndeosebi p. 236-289; N. Martial-Braz, J. Rochfeld (coord.), „Droit des données personnelles”, Dalloz, Paris, 2019, îndeosebi p. 124-161.
[2] Pentru o abordare detaliată a problematicii prelucrării datelor biometrice ale consumatorilor (prin prisma formării și executării contractelor digitale B2C), a se consulta  K. Pormeister, „Informed consent to sensitive personal data processing for the performance of digital consumer contracts”, Journal of European Consumer and Market Law, vol. 6, nr. 1/2017, p. 17–23; de asemenea, W. Kerber, „Digital Markets, Data, and Privacy: Competition Law, Consumer Law, and Data Protection”, Journal of Intellectual Property Law & Practice, 2016, p. 639-647.
[3] De pildă, datele biometrice colectate pot implica pattern-uri comportamentale, cum ar fi maniera în care consumatorul utilizează funcțiile de navigare cu ajutorul mouce-ului, maniera în care sunt acționate tastele device-ului etc., iar detectarea de pattern-uri neuzuale va fi semnalată de către programul software atât băncii, cât și consumatorului (la adresa de email sau printr-un mesaj expediat la numărul de telefon indicat inițial de către client); cu toate acestea, dependența de predictibilitate nu le recomandă ca maniere de autentificare a persoanei vizate (în acest sens, fiind util scanning-ul amprentelor, identificarea facială sau, pentru anumite servicii, uzul inteligenței artificiale pentru voice identification, în timp ce datele biometrice comportamentale rămân utile ca elemente adjuvante de securitate, putând conduce la semnalarea unor riscuri, fără a deveni metode principale de identificare a persoanei vizate.
[4] O suită de algoritmi de identificare facială au fost perfecționați, cei mai cunoscuți fiind algoritmii din categoria Eigenfaces vs. Fisherfaces; a se vedea A. Iosifidis, M. Gabbouj, „Hierarchical class-specific kernel discriminant analysis for face verification”, Visual Communications and Image Processing (VCIP) 2016, p. 1-4.
[5] Un sinopsis al versiunilor de utilizare a tehnicilor biometrice poate fi accesat aici
[6] Pentru detalii, a se consulta Alexandru Câmpean, Monica Tinteanu, „Datele biometrice identifică persoana prin ceea ce este”, postat în 29 ian. 2015, disponibil aici, consultată în 07.02.2021; autorii citați subliniază că „Aceste trăsături pot identifica o persoană prin „ceea ce este” și nu prin „ceea ce știe” (ex. coduri PIN, parole) sau prin „ceea ce deține” (ex. token-uri, pad-uri). Astfel, aceasta este considerată o metodă mai exactă și mai sigură de a stabili dacă o persoană care încearcă să acceseze un cont sau anumite date este proprietarul real al contului/datelor.”; contextualizând discuția asupra semnăturii biometrice, autorii citați evidențiază: „Conceptul de semnătură biometrică nu este definit în mod specific în legislația română. Cu toate acestea, putem interpreta semnătura biometrică ca fiind un tip de semnătură electronică, creată prin utilizarea unui dispozitiv electronic specializat (ex. un pad de semnătură sau tabletă) care înregistrează datele biometrice ale semnăturii olografe.”
[7] „Datele dactiloscopice” desemnează „datele privind amprentele digitale ale tuturor degetelor sau cel puțin ale degetelor arătătoare, iar, în cazul lipsei acestora, amprentele tuturor celorlalte degete ale unei persoane sau o amprentă digitală latentă.”
[8] În materia raporturilor din sfera dreptului muncii, în raporturile dintre angajator și salariați, în raportul de activitate al ANSPDCP pentru anul 2018 se regăsește sancțiunea impusă unei companii private care se folosea de un sistem de recunoaștere facială pentru pontajul angajaților (considerat excesiv prin raportare la scopurile de securitate, în funcție de domeniul de activitate al angajatorului); conform unui Comunicat ANSPDCP, „Prelucrarea datelor biometrice (amprentele) ale angajaților în scopul întocmirii pontajului și supravegherea video a acestora în birouri” au fost declarate nelegale de către instanțele de judecată, reținându-se caracterul legal al sancțiunii aplicate inițial de către ANSPDCP; „În urma unor investigații efectuate la plângere sau sesizare, la sediul unor angajatori, Autoritatea de Supraveghere a constatat faptul că aceștia au implementat o serie de sisteme de monitorizare a timpului de muncă al angajaților prin înregistrarea amprentelor acestora în scopul întocmirii pontajului. Totodată, s-a constatat faptul că angajatorii au recurs și la supravegherea video a angajaților în birouri.(…) Astfel, instanțele au confirmat argumentele Autorității de Supraveghere privind faptul că prelucrarea datelor personale (amprentelor și imaginilor) angajaților s-a realizat în condiții de nelegalitate, întrucât nu a fost efectuată anterior implementării dispozitivelor respective o analiză temeinică asupra necesității și proporționalității unor astfel de măsuri, precum și identificarea de soluții alternative care să aibă un impact mai redus asupra vieții private a salariaților.
De asemenea, instanța a reținut că nu a fost realizată informarea directă, într-o manieră completă și clară a salariaților, strict sub aspectul acestor prelucrări, iar aceștia nu au fost consultați anterior în mod direct și explicit, ceea ce a condus la concluzia că angajatorul a acționat în afara legislației în materie, națională și internațională, aceasta din urmă având întâietate în raport de legislația națională. (…) Totodată, instanța a stabilit faptul că prin instalarea camerelor de supraveghere video în birouri s-a luat o măsură disproporționată, a fost încălcat dreptul la viață privată al salariaților și s-a creat în rândul celor vizualizați sentimentul unei supravegheri continue, o stare de presiune la locul de muncă și un disconfort, printr-o monitorizare permanentă. Instanța a conchis că materia prelucrării unor astfel de date personale este una foarte sensibilă, iar măsurile luate trebuie să respecte justul echilibru între scopul urmărit și respectarea drepturilor fundamentale ale omului.”; s-a reținut, totodată, că „în situația în care nu există dispoziții legale exprese, nu se poate recurge la o prelucrare a datelor biometrice (amprentele) angajaților, decât dacă aceste măsuri sunt proporționale cu riscurile cu care se confruntă operatorul (angajatorul) și se justifică temeinic necesitatea luării unei asemenea măsuri intruzive în viața privată a persoanelor vizate (angajații)”; „(…) datele colectate trebuie să fie strict cele necesare îndeplinirii scopului, aspect ce solicită o analiză prealabilă a necesității imperioase a colectării datelor pentru evitarea unor ingerințe în viața privată a unei persoane și găsirea unor soluții mai puțin intruzive”, „(…) generalizarea utilizării amprentei în scopul efectuării pontajului și instalarea de camere de supraveghere video în birourile angajaților pot crește riscul încălcării drepturilor și libertăților persoanei vizate în raport de interesul operatorului care ar putea fi lezat, astfel că o asemenea prelucrare este excesivă raportată la scopul propus”; detalii privind sancțiunile aplicate pentru prelucrarea excesivă a unor date dactilografice (pontaj realizat prin tehnici de scanare a amprentelor digitale ale salariaților) în contextul efectuării pontajului de către angajator prin necorelarea utilizării tehnicilor de biometrie cu amploarea scopurilor (securizarea accesului în spațiile angajatorului) pot fi accesate aici
[9] Chiar și în ipotezele în care imaginile colectate rămân date personale uzuale, non-sensibile, colectarea și prelucrarea acestora trebuie să respecte setul de principii trasat în cuprinsul RGDP, îndeosebi din perspectiva incidenței principiului minimizării volumului de date colectate și procesate și al principiului legalității prelucrării, respectiv al principiului proporționalității și al copului non-excesiv al prelucrării datelor personale. Edificatoare în acest sens sunt sancțiunile aplicate de ANSPDCP pentru colectarea și prelucrarea (cu încălcarea acestor principii) a datelor personale constând în imagini captate de către reprezentanții autorităților publice (exemplele nu provin din perimetrul contractelor B2C, însă sunt elocvente pentru incidența principiilor prelucrării echitabile, transparente și proporționale a datelor personale constând în imagini video); a se vedea, de exemplu, sancțiunea aplicată în data de 11.12.2020 unei autorități publice locale, în contextul în care personalul Direcției Generale de Poliție Locală, aflat în exercitarea misiunilor și activităților specifice, a prelucrat date cu caracter personal prin utilizarea sistemului audio-video portabil de tip „Body-Worn Camera” (care prelucrează imaginea și vocea persoanelor), începând cu luna octombrie 2019, fără să existe o obligație legală a operatorului și fără îndeplinirea vreunei alte condiții prevăzute la art. 6 alin. (1) din RGPD, deși potrivit art. 5 alin. (1) lit. a) din RGPD, operatorul avea obligația de a prelucra datele în mod legal, echitabil și transparent față de persoana vizată (detaliile aplicării sancțiunii pot fi consultate aici); sancțiunea aplicată de ANSPDCP în data de 11.12.2020 unei autorități publice locale, în urma primirii unei sesizări cu privire la încălcarea legislației privind protecția datelor personale, în contextul în care s-a constatat că Direcția Generală de Poliție Locală prelucrează date cu caracter personal prin intermediul unor mijloace de supraveghere audio – video portabile, de tip „BADGE”, utilizate de către personalul Direcției în misiuni și activități derulate pe teren, în contextul în care polițiștilor locali le-a fost stabilită ierarhic obligația de a purta asupra lor, în timpul programului de lucru aceste mijloace de supraveghere audio — video; la data efectuării investigației s-a constatat că nu există dispoziții legale care să reglementeze utilizarea unor sisteme de supraveghere audio — video portabile în activitatea polițiștilor locali; ca atare, s-a constatat că prelucrarea datelor cu caracter personal (imagine, voce) s-a efectuat fără îndeplinirea condițiilor de legalitate a prelucrării, așa cum sunt prevăzute în art. 6 alin. (1) din RGPD. Precizăm că, potrivit art. 5 alin. (1) lit. a) din RGPD, operatorul avea obligația de a prelucra datele în mod legal, echitabil și transparent față de persoanele vizate (detaliile aplicării sancțiunii pot fi consultate aici).
[10] Eclesiastul, 7.8.
[11] Un alt set de riscuri (și cortegiul de voci critici aferente) este legat de caracterul intruziv al acestor tehnologii; de exemplu, în anumite situații, datele biometrice colectate pot dezvălui alte date sensibile cu privire la persoana vizată, respectiv informații privind originea etnică a acesteia.
[12] C. Soutar, D. Roberge, A. Stoianov, R. Gilroy, V. Kumar, „Biometric Encryption”, disponibil aici; a se vedea, de asemenea, Grupul de lucru „Articolul 29”, „Statement of the WP29 on encryption and their impact on the protection of individuals with regard to the processing of their personal data in the EU”, publicat în 11 aprilie 2018, disponibil aici
[13] Conform art. 13, alin. (2), lit. c) din RGDP, este incident dreptul persoanei vizate de a-și retrage consimțământul atunci când prelucrarea datelor se bazează pe consimțământul acesteia, după cum rezultă din dispozițiile art. 6, alin. (1), lit. a), respectiv, în cazul datelor biometrice, dispozițiile art. 9, alin. (2), lit. a) din RGDP privind prelucrarea unor categorii speciale de date cu caracter personal. Potrivit art. 7, alin (3) din RGDP, persoana vizată are dreptul să își retragă în orice moment consimțământul, însă retragerea consimțământului nu afectează legalitatea prelucrării efectuate pe baza consimțământului anterior retragerii acestuia, iar revocarea consimțământului trebuie să se poată face într-o manieră la fel de facilă ca acordarea acestuia de către consumator; pentru discrepanța ostensibilă dintre caracterul facil al acordării consimțământului la prelucrarea datelor personale și caracterul dificil al retrageri acestui consimțământ (impunerea de către operator a unor procedee complicate, care îngreunează excesiv retragerea consimțământului consumatorului), poate fi angajară răspunderea civilă a operatorului. A se vedea, pentru detalii privind informarea persoanei vizate asupra existenței și a modalităților de exercițiu al dreptului de retragere a consimțământului, S.-D. Șchiopu, „Conținutul informării în situația în care datele cu caracter personal sunt colectate de la însăși persoana vizată”, postat în 08.07.2019, disponibilaici; autorul citat subliniază că „Prin urmare, informarea persoanei vizate trebuie să includă modul în care aceasta își poate retrage consimțământul având în vedere și faptul că retragerea consimțământului trebuie să fie la fel de facilă precum exprimarea acestuia.”
[14] K. Pormeister, „Informed consent to sensitive personal data processing for the performance of digital consumer contracts”, cit. supra, p. 21.
[15] A se vedea S.-D. Șchiopu, „Considerații asupra dreptului la opoziție al persoanei vizate”, postat în 02.05.2019, disponibil aici; autorul citat reține că: „Prin urmare, dreptul de opoziție, atunci când persoana vizată invocă motive legate de situația sa particulară, nu va putea fi opus prelucrărilor realizate în baza altui temei juridic din cele prevăzute de art. 6 alin. (1) din GDPR. De exemplu, dreptul la opoziție nu se aplică în situația în care prelucrarea are ca temei juridic consimțământul, deși dreptul persoanei vizate de a-și retrage în orice moment consimțământul poate conduce la un rezultat similar, adică datele să nu mai fie prelucrate în scopul respectiv”.
[16] Disponibil aici
[17] Conform art. 9 din RGDP, „Prelucrarea de categorii speciale de date cu caracter personal”, alin. (1), „Se interzice prelucrarea de date cu caracter personal care dezvăluie originea rasială sau etnică, opiniile politice, confesiunea religioasă sau convingerile filozofice sau apartenența la sindicate și prelucrarea de date genetice, de date biometrice pentru identificarea unică a unei persoane fizice, de date privind sănătatea sau de date privind viața sexuală sau orientarea sexuală ale unei persoane fizice.”
[18] Formularea este extrasă din Ghidul Comitetului European pentru Protecția Datelor – CEPD, „Orientări asupra Consimțământului în temeiul Regulamentului 2016/679”, adoptat în 28.11.2017. Cel mai recent ghid adoptat de acest grup de experți este Guidelines 3/2019 on processing of personal data through video devices, disponibil aici


Lect. univ. dr. Juanita Goicovici, Facultatea de Drept a Universității Babeș-Bolyai din Cluj-Napoca

 
Secţiuni: Articole, Content, Data protection, Drept civil, RNSJ, Selected, Studii | Toate secţiunile
Cuvinte cheie: , , ,
Vă invităm să publicaţi şi dvs., chiar şi opinii cu care nu suntem de acord. JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului. Totuşi, vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici. Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa de e-mail redactie@juridice.ro!

Lex Discipulo Laus Încurajăm utilizarea RNPM - Registrul Naţional de Publicitate Mobiliară Securitatea electronică este importantă pentru avocaţi
Mesaj de conştientizare susţinut de FORTINET
JURIDICE utilizează SmartBill

Faci un comentariu sau dai un răspuns?

Acest site folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.


.
PLATINUM Signature      

PLATINUM  ACADEMIC

GOLD                        

VIDEO   STANDARD