Extras: Biometria cumulează tehnologiile care identifică o persoană / autentifică identificarea unei persoane pe baza caracteristicilor fizice sau chiar comportamentale. Dezvoltarea biometriei s-a petrecut în ritm amețitor, de la tehnologii bazate pe amprenta digitală, la cele bazate pe recunoașterea irisului, recunoașterea facială sau chiar a ritmului biologic ori pe caracteristici comportamentale precum trăsături specifice mersului unei persoane. Pentru că suntem în era vitezei și a simplificării, autentificarea biometrică a devenit din ce în ce mai comună, inclusiv în sistemele de acces în instituții sau în spații publice ori private, dar și în comerț.

Dacă tehnologiile biometrice ne pot facilita viața, nu este mai puțin adevarat că ele colectează date care intră în sfera mai largă a datelor personale și vin cu preocupări pentru securitatea individului.

În România, procesele legate de date biometrice nu sunt supuse unei reglementări amănunțite sau speciale, iar Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (”Autoritatea”) dar și instanțele de judecată s-au arătat mai degrabă conservatoare în analiza proporționalității utilizării unor tehnologii biometrice. Cu toate acestea, realitatea ne arată că în această materie suntem pe o autostradă cu un singur sens, iar autoritățile cu putere de legiferare și de decizie trebuie să găsească întotdeauna echilibrul între avantajele tehnologiilor biometrice și riscurile pe care le presupun.

1.      Colectarea datelor biometrice

Tehnologiile biometrice presupun captarea datelor biometrice ale unei persoane, transformarea lor într- un tipar biometric (template), stocarea acestuia într-o bază de date și, ulterior, verificarea identității acelei persoane prin compararea tiparului biometric cu caracteristica corespunzătoare a individului.

Aceste sisteme asigură rapiditatea identificării și au rata redusă de eșec în identificare. În mod evident, identificarea cu ajutorul unui cititor de amprente este mai rapidă decât cea folosind, spre exemplu, cardul de identitate. În același timp, întrucât identificarea se face printr-o caracteristică unică a persoanei și prin eliminarea factorului uman, identificarea este mai sigură.

Totuși, tehnologiile biometrice și rezultatele lor în procesul de identificare/ autentificare nu sunt la adăpost de critici. În primul rând, tehnologiile sunt criticate inclusiv din punct de vedere al securității întrucât nu exclud riscul furtului de identitate (spre exemplu, prin folosirea amprentelor false realizate din materiale artificiale). Mai mult, există critici legate de caracterul invaziv, agresiv și inoportun (intrusive) al acestor tehnologii care ar depăși scopul pentru care sunt folosite (de exemplu, conform unor studii, amprentele pot dezvălui alte date sensibile cu privire la persoană, respectiv informații privind originea etnică a persoanei).

Se mai invoca și riscurile de securitate a bazelor de date care conțin date biometrice. Din acest punct de vedere, este de menționat că pare că există tehnologii mai prietenoase care înlătură acest risc întrucât ar permite identificarea și autentificarea biometrică a unei persoane fără a conduce la stocarea datelor într-o bază de date, ci la stocarea lor într-un aparat aflat în controlul acelei persoane (de exemplu, un smartphone).

2.     Datele biometrice în legislația datelor personale

Conceptul  de  date  biometrice  nu  este  definit  sau  reglementat  în  mod  expres  în  Legea  nr.  677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor  date  (”Legea  677/2001”);  de  altfel,  el  nu  este  definit  nici  în  Directiva  95/46/EC  privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (”Directiva 95/46/EC”).

Definiția  rezultă  însă  din  opinia  Grupului  de  Lucru  Art.  29  potrivit  căreia  datele  biometrice  sunt

„proprietăți biologice, de comportament, caracteristici psihologice, trăsături sau acțiuni repetate dacă aceste caracteristici sau acțiuni sunt unice pentru un individ, măsurabile, chiar dacă tiparele folosite în practică pentru măsurarea lor presupun un grad de probabilitate (incertitudine)”1

Mai mult, însăși Legea 677/2001 poate fi considerată prin interpretare că se referă la acest tip de date reglementând categoria datelor ”cu caracter personal având o funcție de identificare de aplicabilitate generală” care pot include și datele biometrice având în vedere că acestea constau în caracteristici ale corpului ce nu pot fi, în general, schimbate și care pot fi citite de instrumente automate. În plus, datele biometrice sunt menționate expres printre categoriile de date pentru care obligația de notificare rămâne valabilă  în  Decizia  Autorității  nr.  200/2015  privind  stabilirea  cazurilor  de  prelucrare  a  datelor  cu caracter personal pentru care nu este necesară notificarea, precum și pentru modificarea și abrogarea unor decizii. Așadar, se poate concluziona că datele biometrice sunt reglementate de legislația română, deși de manieră foarte restrânsă și prin act cu o natură juridică secundară.

3.     Limitele procesarii datelor biometrice conform legislației din Romania

Conform Legii 677/2001, în general, datele cu caracter personal trebui să fie „adecvate, pertinente și neexcesive  prin  raportare  la  scopul  în  care  sunt  colectate  și  ulterior  prelucrate”.  În  plus,  datele biometrice  pot  fi  prelucrate  exclusiv  în  baza  consimțământului  expres  al  persoanei  vizate  sau  dacă prelucrarea este permisă în mod expres de o prevedere legală.

Cât privește caracterul adecvat, pertinent și neexcesiv, nici legea și nici reglementările secundare nu oferă linii directoare. Prin aceasta, măsura în care datele colectate sunt adecvate, pertiente și neexcesive devine subiect de interpretare.

Cu titlu de exemplu, Autoritatea a considerat că un sistem de pontaj ce funcționa pe bază de cititor de amprente  implică  o  procesare  excesiva  în  raport  cu  scopul  urmărit.  Interpretarea  Autorității  a  fost îmbrățișată de instanța chemată să desființeze interpretarea și măsurile Autorității, instanța reținând că ”nu se justifică necesitatea apelării la sistemul de pontare electronică a angajaților, pontarea acestora putând fi realizată și prin alte mijloace […] întrucât amprentarea angajaților ar aduce atingere vieții private a acestora și s-ar  încălca echilibrul între scopul urmărit și anume monitorizarea prezenței acestora la locul de muncă și respectarea drepturilor persoanelor angajate”2. În mod similar, o altă instanță  a  constatat  că  „sistemul  electronic  de  pontaj  cu  data  biometrice  nu  este  eficient,  nefiind justificată necesitatea apelării la acest sistem, câtă vreme pontarea angajaților se poate realiza și prin alte mijloace care să nu aducă atingere vieții private a angajaților”3.

Fără a contesta judecata de valoare din deciziile invocate mai sus, față de amploarea acestor tehnologii, riscurile dar și beneficiile lor, efortul de evaluare și de interpretare al autorităților trebuie să fie unul asumat și constructiv. Vor exista mereu soluții alternative pentru monitorizarea prezenței angajaților de

1                                                   Opinia 4/2007 cu privire la conceptul de date personale;

2                                 Decizia nr. 155/2016, CA Pitești, Secția a II-a de Contencios Administrativ și Fiscal;

3                                 Decizia 172/2016 CA Timișoara, Secția de Contentios Administrativ și Fiscal;

exemplu, dar tehnologiile biometrice nu vor mai putea fi respinse în orice circumstanțe. În epoca inteligenței artificiale, analiza măsurii în care o tehnologie nu asigură suficientă protecție va fi din ce în ce mai necesară.

Din acest punct de vedere, amintim, cum o făceam și mai sus, că există informații cu privire la existența unor tehnologii prietenoase care nu permit stocarea datelor biometrice în baze de date ci ștergerea lor imediată odata ce scopul autentificării a fost atins. În mod similar, Grupul de Lucru Art. 29 arată într- una din opiniile sale că criptarea datelor biometrice și stocarea codului într-o forma în care informația nu poate fi folosită  pentru  a reda datele biometrice în forma inițială ar trebui să  asigure un nivel de securitate  adecvat4.  Autoritățile  vor  avea  nevoie  de  suportul  necesar  pentru  a  evalua  argumentele părților, a solicita angajamente și a lua deciziile adecvate.

Cu titlu de exemplu, menționăm decizia autorității pentru protecția datelor din Franța care a anunțat în data de 27 Septembrie 2016 că și-a actualizat doctrina5  și a adoptat o decizie cu privire la procesarea datelor biometrice pentru a ține pasul cu evoluția tehnologiei. Cu privire la sistemele de acces în spațiile de lucru pe baza de date biometrice, Autoritatea impune trei obligații principale: (i) justificarea folosirii sistemului  cu  luarea  în  considerare  a  măsurii  în  care  pot  fi  folosite  mijloace  mai  puțin  invazive;  (ii) demonstrarea faptului că sistemele sunt proiectate pentru a asigura securitatea și caracterul confidențial al prelucrării și (iii) prezentarea de asigurări cu privire la modul de stocare a datelor. În același timp, adoptarea măsurilor care să micșoreze riscurile de securitate, precum criptarea, este încurajată.

4.     Perspectiva

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date care va intra în vigoare în luna mai a anului 2018 reglementează în mod expres datele  biometrice,  menționându-le  între  categorii  de  date  cu  caracter  special.  Ca  regulă,  procesarea acestora este  posibilă  cu  consimțământul  persoanei  vizate,  precum și,  în  anumite condiții,  în  scopul îndeplinirii anumitor obligații și al exercitării unor drepturi specifice ale operatorului sau ale persoanei vizate  în  domeniul  ocupării  forței  de  muncă,  când  prelucrarea  este  necesară  în  scopuri  legate  de medicina preventivă sau a muncii. În plus, Statele Membre pot introduce restricții suplimentare pentru procesarea datelor biometrice.

În considerarea celor de mai sus, intervenția Autorității prin emiterea de proceduri și linii directoare cu privire la acceptabilitatea procesării datelor biometrice este utilă. Evoluția tehnologiei este inevitabilă iar autoritățile (de reglementare și judecătorești deopotrivă) nu pot ignora vântul schimbării și adaptabilitatea accelerată a unui mediu economic competitiv. Ca atare, atât în materie de reglementare cât și în materie de deliberare în cazuri în care sunt chemate să se pronunțe, autoritățile trebuie să găsească echilibrul invocat în debutul acestui material între utilitatea tehnologiilor de ultimă generație și riscurile lor, astfel încât să protejeze în egală măsură persoana vizată, dar și interesul economic al operatorilor.

4                                 Opinia  3/2012  a  Grupul  de  Lucru  Art.  29  cu  privire  la  dezvoltarile  din  domeniul  tehnologiilor biometrice;

5                                 http://www.dataguidance.com/france-cnils-new-biometrics-requirements-anticipate-gdpr