O companie de software, activă pe piața jocurilor de noroc online din România, a primit un avertisment din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Decizia a venit ca urmare a intenției firmei de a implementa un sistem de acces bazat pe recunoaștere facială pentru angajați în incinta sediilor sale. Acțiunea se încadrează în prevederile Regulamentului General privind Protecția Datelor (GDPR).
Un astfel de sistem de securitate implică colectarea și stocarea datelor biometrice ale angajaților, aspect care ridică multiple semne de întrebare legate de legalitatea și proporționalitatea prelucrării acestor date. ANSPDCP are rolul de a verifica modul în care operatorii de date respectă reglementările GDPR și de a interveni atunci când acestea sunt încălcate. În cazul de față, autoritatea a considerat că intenția companiei de a utiliza recunoașterea facială pentru accesul în sedii necesită o analiză aprofundată a riscurilor și o justificare solidă.
avizul autorității privind folosirea datelor biometrice
Potrivit GDPR, datele biometrice, inclusiv cele colectate prin recunoaștere facială, sunt considerate date cu caracter personal sensibile. Prelucrarea lor este permisă doar în condiții foarte stricte, cu consimțământul explicit al persoanelor vizate sau în alte circumstanțe legale bine definite. Autoritatea a subliniat importanța respectării principiilor GDPR, în special cele legate de legalitate, transparență, limitarea scopului și minimizarea datelor.
În astfel de cazuri, companiile sunt obligate să efectueze o evaluare a impactului asupra protecției datelor (DPIA) înainte de a implementa un astfel de sistem. Această evaluare are ca scop identificarea și evaluarea riscurilor potențiale pentru drepturile și libertățile persoanelor vizate, precum și implementarea unor măsuri de securitate adecvate pentru a le minimiza. ANSPDCP verifică dacă companiile respectă această procedură și dacă măsurile de securitate propuse sunt suficiente.
perspectivele companiei și implicațiile legale
Compania în cauză are acum obligația de a evalua impactul asupra protecției datelor și de a justifica utilizarea sistemului de recunoaștere facială în conformitate cu prevederile GDPR. Avertismentul primit reprezintă o atenționare oficială și poate fi urmat de sancțiuni mai severe, inclusiv amenzi, dacă autoritatea constată încălcări repetate sau grave ale legii. În funcție de gravitatea încălcărilor, amenzile pot ajunge până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală a companiei.
ANSPDCP nu a făcut publică identitatea companiei sau detalii suplimentare despre motivele exacte ale avertismentului, menținând confidențialitatea investigației. Totuși, astfel de cazuri subliniază importanța conformării cu GDPR și a respectării drepturilor fundamentale ale persoanelor fizice, mai ales în contextul tehnologiilor avansate de colectare și prelucrare a datelor cu caracter personal. Autoritatea continuă să monitorizeze implementarea sistemelor de recunoaștere facială și să ofere îndrumare pentru a asigura respectarea regulilor privind protecția datelor.
