Gaur egun bizi dugun aro moderno honetan, gero eta ohikoagoa da hatz-markak erabiltzea identifikazio bide gisa erabiltzea, adibidez: telefonoa hatz eskaneatzearekin desblokeatzea. Baina zer gertatzen da pribatutasunarekin, jada borondatezko kontzientzia dagoen leku pribatu batean gertatzen ez denean? Laneko hatzekin identifikazioa derrigorrezkoa al daiteke segurtasun testuinguruan? Erakunde batek ezin al die langileei betebeharrak hatz-markak entregatu, adibidez segurtasun-sistema batera sartzeko? Eta nola lotzen da betebehar hori pribatutasun arauei?
Hatz-marka digitala datu pertsonal berezi gisa
Hemen geure buruari egin beharko litzaiokeen galdera da: hatz-azterketa datu pertsonal gisa aplikatzen ote den, Datuak Babesteko Erregelamendu Orokorraren arabera. Hatz-marka digitala datu pertsonal biometrikoa da, pertsonaren ezaugarri fisiko, fisiologiko edo portaeraren tratamendu tekniko zehatzen emaitza da. [1] Datu biometrikoak pertsona fisiko bati buruzko informazio gisa har daitezke, pertsona jakin bati buruzko informazioa ematen duten datuak baitira. Datu biometrikoen bidez, hala nola, hatz-marka digitala, pertsona identifikagarria da eta beste pertsona batengandik bereiz daiteke. 4. artikuluan GDPR hori esplizituki baieztapen xedapenek ere berresten dute. [2]
Hatz markoaren identifikazioa pribatutasuna urratzea da?
Azpibarrutiko Auzitegia Amsterdam berriki ebatzi du hatz-eskaneatzea segurtasun-erregulazio mailan oinarritutako identifikazio-sistema gisa onargarri izatea.
Oinetakoak saltzeko kateak Manfield erabili zuen hatz eskaneatzeko baimen sistema, langileei kutxa erregistrora sartzeko.
Manfielden arabera, kutxen erregistro sistemara sartzeko modu bakarra zen hatz identifikazioa erabiltzea. Beharrezkoa zen, besteak beste, langileen finantza informazioa eta datu pertsonalak babestea. Beste metodo batzuk ez ziren jada kualifikatuak eta iruzurrak jasan. Erakundearen langileetako batek bere arrastoa erabiltzearen aurka agertu zen. Baimen metodo hau bere pribatutasuna urratze gisa hartu zuen, GDPRren 9. artikulua aipatuz. Artikulu horren arabera, debekatuta dago pertsona biometrikoen tratamendua pertsona baten identifikazio bakarra lortzeko.
Beharra
Debeku hau ez da aplikatzen prozesamendua autentifikazio edo segurtasun helburuetarako beharrezkoa denean. Manfielden negozio interesa iruzurrezko langileek eragindako diru sarrerak galtzea saihestea zen. Azpibarrutiko Auzitegiak atzera bota zuen enpresariaren helegitea. Manfielden negozio interesek ez zuten sistema "autentifikazio edo segurtasun helburuetarako beharrezkoa" bihurtu, GDPR ezartzeko Legearen 29. atalean xedatutakoaren arabera. Jakina, Manfieldek askatasuna du iruzurraren aurka jarduteko, baina baliteke hori ez egitea GDPRren xedapenak urratuz. Gainera, enpresariak ez zion enpresari beste segurtasun modurik eman. Baimen alternatibo metodoen inguruan ikerketa nahikoa egin da; pentsa sarbide-pasaren edo zenbakizko kode baten erabilera, bien konbinazioa edo ez. Enpresariak ez zituen segurtasun sistema mota desberdinen abantailak eta desabantailak arretaz neurtu eta ezin zuen nahikoa motibatu zergatik nahiago zuen hatz eskaneatze sistema zehatz bat. Batez ere arrazoi hori dela eta, enpresariak ez zuen legezko eskubiderik bere langileei hatz-marka eskaneatzeko baimen sistema erabiltzeko GDPRren ezarpen legearen arabera.
Segurtasun sistema berria sartzea interesatzen bazaizu, horrelako sistemak GDPR eta Ezarpen Legearen arabera baimenduta dauden ala ez aztertu beharko da. Zalantzarik izanez gero, jarri harremanetan abokatuekin harremanetan Law & More. Zure galderei erantzungo diegu eta legezko laguntza eta informazioa emango dizugu.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI: NL: RBAMS: 2019: 6005