La Autoridad de Protección de Datos ha tomado una decisión en ocasión del anuncio de Húsasmiðjan ehf. sobre el uso de escáner de huellas digitales durante el acceso y la desconexión de los empleados desde el sistema de gestión de los salarios empresariales.
A la luz de las circunstancias de las partes, de las finalidades del tratamiento y de las numerosas recursas a disposición de los operadores para controlar las contribuciones de trabajo de los empleados que no se basan sobre el tratamiento de informaciones personales sensibles, se ha concluido que el uso de Húsasmiðjan ehf. sobre los escáner de las huellas digitales para la identificación unívoca no se cumple con la ley n. 90/2018. La Autoridad de Protección de Datos ha emitido una instrucción que Húsasmiðjan ehf. interrumpirá el uso del escáner de huellas digitales y eliminará las informaciones biométricas de los empleados.
Decisión
En la fecha 27 agosto 2020, el Colegio del Supervisor de Protección de Datos ha aprobado la siguiente decisión en el caso n. 2020010343:
Esquema del caso
El 25 junio 2019, la Autoridad de Protección de Datos ha recibido una queja desde el abogado Húsasmiðjan ehf., Smári Hilmarsson.
La presentación incluía, desde un lado, el anuncio de Húsasmiðjan ehf. que la empresa había utilizado los escáner de huellas digitales en fase de login y desconexión de los empleados desde el sistema de los cheques de pago de la empresa, y por contra ha sido solicitada a la Autoridad de Protección de Datos Personales de expresar sus propia opinión sobre la conformidad del uso de los escáneres de huellas digitales en cuestión a la ley n. 90/2018 sobre la protección de los empleados y el tratamiento de datos personales. Con una presentación de Húsasmiðjan ehf. fue acompañado desde un anuncio a los empleado de la sociedad sobre lo anterior junto a las informaciones del agente sobre el sistema.
En un annuncio a los empleados de Húsasmiðjan ehf., afirma, entre las otras cosas que el fin de la configuración del escáner de huellas digitales es hacer check-in y el check-out de los empleados dentro y fuera del entorno laboral, esto tendría que garantizar mejor los interés de los empleados.
No está especificado cuales son los intereses.
El anuncio afirma además que cuando se escanea una huella digital de una persona, la secuencia numérica en el reloj será creada, archivada y conectada a otras informaciones del empleado. La imagen de la huella digital no es memorizada y la imagen no puede ser recuperada desde la secuencia de número memorizada en el sistema. La secuencia numérica funciona de manera similar al número ID del empleado, excepto que no es identificable personalmente excepto cuando el sistema identifica la identidad del empleado. Se afirma además que la secuencia numérica es memorizada solo en los relojes y no puede ser conexa con otros relojes.
En una letra del Agente de Suprema Inc, sobre el sistema, fechada el 8 julio 200, afirma, entre las otras cosas, que el escáner de huellas digitales saca una foto de la huella digital de un usuario (imagen bruta) y la convierte en informaciones comparativas (secuencia numérica o model; “model”) y no memoriza la imagen de la huella digital (vida bruta) en el sistema.
Cuando se memoriza el modelo (secuencia numérica), se utilizan métodos de criptografía (AES a 256 bit) que hacen mucho más difícil el acceso a las informaciones para invertir el proceso. Es imposible recrear la imagen de la huella digital original (identificador de vida bruta) para identificar un sujeto con el ayudo de un especialista de huella digitales. Afirma también que la empresa ofrece otra opción para los que están preocupados por la privacy. La opción es llamada modelo de papel desde un agente para evitar de mantener un database de informaciones personales o bio-idénticas. Esto es un modelo, por ejemplo contadores de huellas digitales, puestos sobre una tarjeta llevada desde el empleado y utilizada para la identificación. No está indicado en la declaración de Húsasmiðjan ehf. que la dicha opción está a disposición de los propios empleados.
El 9 junio 2020 la Autoridad de Protección de Datos ha contactado telefónicamente con el abogado Húsasmiðjan ehf. para obtener más informaciones sobre el mismo y cuando el escáner de huellas digitales ha sido utilizado desde la sociedad. La respuesta ha sido enviada por email sobre 10 cm, confirmado que el escáner de huellas digitales ha sido puesto en uso el 19 junio 2020.
Condiciones y conclusión
Campo de aplicación – parte responsable.
Campo de aplicación de la ley n. 90/2018, en materia de protección de datos personales y de tratamiento de datos personales, y Reglamento (UE) 2016/679 (en lo sucesivo Reglamento) véase el artículo 4, apartado 1 de la ley, y por esto la Autoridad de Protección de Datos Personales, véase el artículo 39, apartado 1 de la ley, cubre el tratamiento de datos personales parcialmente o totalmente automatizado y el tratamiento con métodos diferentes desde los automáticos de datos personales que son o se están convirtiendo parte de un file.
Las informaciones personales incluyen informaciones sobre una persona que es personalmente identificable o identificable personalmente, y una persona es considerada personalmente identificable si es posible identificarla, directamente o indirectamente, con referencia a su identidad o a uno o más factores que son característicos sobre el o ella, véase el artículo 3 de la ley, apartado 1 o artículo 4 del Reglamento.
La elaboración se refiere a una operación o una series de operaciones en las cuales se procesan informaciones personales, independientemente desde el hecho que el proceso sea automatizado o no, véase el artículo 3, apartado 4 de la ley y el artículo 4, apartado 2 del Reglamento.
Este caso se refiere al tratamiento de las informaciones biométricas, es decir informaciones sobre las huellas digitales, para identificar de manera unívoca un individuo. A la luz de esto y en relación a los dicho previamente, la circunstancia se refiere al tratamiento de datos personales que es parte de la competencia de la Autoridad de Protección de Datos Personales.
El encargado del tratamiento de datos personales cumple con la Ley n. 90/2018 es nombrado responsable. Según el punto 6 del artículo 3 de la ley se refiere a una persona física, jurídica , autoridad gubernativa o otra parte que decide por sí sola o en cooperación con otros fines y métodos de tratamiento de las informaciones personales, véase el artículo 4, apartado 7 del Reglamento. En cuanto tal, Húsasmiðjan ehf. es responsable del tratamiento en cuestión.
Según el artículo 39 de la ley n. 90/2018, la Autoridad de Protección de DAtos Personales puede tratar cada caso y tomar una decisión de propia iniciativa o bajo de queja de una persona que piensa que los datos personales no se cumplan con la presente ley y las reglas establecidad en cumpliemnto con esta o las singulas instruciones. El informe de Húsasmiðjan ehf. recibido la Autoridad de Protección de Datos Personales como notificación, pero con referencia al caso y a las instrucciones, se trata de una decisión vinculante de la Autoridad de Protección de Datos.
Legalidad del tratamiento.
Todos los tratamiento de datos personales tienen que ser cubiertos de una de las disposiciones de autorización de las cuales al artículo 9, Ley n. 90/2018. Según el punto 1 del artículo 9 de la Ley, los datos personales pueden ser tratados si el interesado ha prestado el propio consentimiento al tratamiento de datos personales a beneficio de una o más específicas finalidades. Es permiso también el segundo punto del artículo 9 de la Ley sobre el tratamiento de datos personales, el tratamiento es necesario para cumplir a un contrato en el cual el interesado es parte o el tratamiento necesario para los legítimos interés que la Autoridad o el tercero puede perseguir a menos que no prevalezcan los interés o los derechos y las libertades fundamentales del interesado que requieren la protección de datos personales, véase los números 6 de los mismos artículos.
Además, el tratamiento de datos personales sensibles tiene que respectar una de las condiciones addicionales del primer parrafo Artículo 11 Acto n. 90/2018. Según el punto 1, apartado 1 del artículo que el tratamiento de adtos personales sensibles es permiso cuando el interesado haya prestado el propio inequivocable consentimiento al tratamiento para el beneficio de una o más especificas finalidades. Además, según el artículo 2, los mismo articulos para trabajar con datos personales sensibles cuando el tratamiento sea necesario para que el responsable o el interesado pueda cumplir a las propias obligaciones y ejercitar determinados derechos de acuerdo con el derecho del trabajo y de la normativa en materia de seguridad social y protección social y efectuado sobre la base de leyes que prevean medidas para proteger los derechos y los interés fundamentales del interesado.
Además de la autorización mencionada, el tratamiento de datos personales tiene que cumplir con todos los requisitos de base del primer apartado, artículo 8 Acto número 90/2018, Coll. Artículo 5 Reglamento (UE) 2016/679. Entre las otras cosas, establece también que los datos personales tienen que ser tratados de manera lícita, equa y transparente frente al interesado (punto 1); que tienen que ser obtenido para finalidades claramente declaradas, legitimas y objetivas y no ulteriormente tratados para finalidades diferentes y incompatibles (punto 2); y que sean suficientes, apropiados y no excedentes cuánto necesario a fines del tratamiento (punto 3). Estas reglas se aplican al tratamiento de cualquier tipo de información personal, pero tendrían que ser interpretadas a la luz de la naturaleza de las informaciones en cuestión en un dado momento, pero ejemplo si se consideran sensibles.
Según una declaración de Húsasmiðjan ehf. utiliza escáneres de huellas digitales es identificado, cuando se utiliza un modelo o un modelo sobre mapa, sobre la base de las informaciones sobre la huella digital, por ejemplo, informaciones biométricas que se consideran informaciones personales sensibles, véase el punto e del artículo 3 en el acto n. 90/2018.
En el primer párrafo, artículo 11 Acto n. 90/2018 y el primer párrafo del artículo 9 del Reglamento prohíbe el tratamiento de datos personales sobre, entre otras cosas, datos biométricos para identificar personalmente una persona de manera unívoca, salvo que no sea satisfecha una de las condiciones contemplado en el artículo 9 de la ley y además cualquiera disposición de exención desde el artículo 1-11 de la Ley según instrucciones adicionales del artículo 9 del Reglamento.
Para evaluar si existe una autorización de acuerdo con la ley 90/2018, es necesario examinar antes las disposiciones del artículo 11 de la ley, pero se no está ninguna autoridad, no es necesario profundizar el artículo, la misma ley o los principios de la ley. Los puntos más relevantes en el caso en cuestión son los puntos 1 y 2, apartado 1, artículo 11 de la ley.
Al punto 1, artículo 11 de la ley prevé, como antes mencionado, que el tratamiento de datos personales sensibles es permiso cuando el interesado ha tomado el propio consentimiento incuestionable al tratamiento para el beneficiario de una o más específicas finalidades. Este consentimiento tiene que ser una declaración de intentos no forzada, específica, informada e incuestionable del interesado sobre el tratamiento de datos personales que lo conciernen véase el artículo 3, apartado 8 del Acto n. 90/2018. Si afirma también en los comentarios que la propuesta de ley convertida en Ley n. 90/2018 que en sede de adquisición del consentimiento, en sede de evaluación si el consentimiento ha sido prestado voluntariamente, es tenido en la máxima consideración si sea condición para la ejecución de un acuerdo que el consentimiento sea prestado para el tratamiento de datos personales que no es necesario para el contrato.
En práctica, el consentimiento ha sido generalmente solicitado para ser libre e inaplicable. La premisa al Reglamento (UE) 2016/679 afirma explícitamente que el consentimiento no debe considerarse prestado voluntariamente si el interesado no ha tenido una elección real o libre o no ha podido negar o revocar el consentimiento sin serlo dano (punto 42 de la premisa). Afirma además que, para garantizar que el consentimiento sea prestado voluntariamente, no tendría ser considerado una autorización suficiente en casos en cuales esta una clara diferencia de posición entre el interesado y el encargado (punto 43 de la premisa) como frecuentemente pasa en una relación laboral.
La Autoridad de Protección de Datos Personales piensa que es importante tener en cuenta la relación laboral entre los empleados y el empresario, la situación que esté relación de trabajo comporta y que la confirma de la llegada de los empleados al trabajo puede ser considerada como correlada a las mansiones de los empleados. No es mencionado en la presentación de Húsasmiðjan ehf. que los empleados tienen otras opciones para los métodos de acceso al lugar de trabajo que no piden el uso de su biometría. No está claro cuáles serán las consecuencias para un empleado si rechaza ofrecer las informaciones biométricas procesadas en el sistema de login. “De su propia y libre voluntad”, como indicado arriba, no se verá que es facultativo para el empleado aceptar las condiciones en cuestión. No es posible, en caso en cuestión, basar el tratamiento de las informaciones personales sobre el uso de escáneres de huellas digitales basados sobre informaciones relativas a las huellas digitales, es decir informaciones biométricas, previo consentimiento.
Es examinado si el tratamiento de datos personales sensibles pueda, como en caso de especies, tener lugar sobre la base del punto 2, párrafo 1, artículo 11 Acto n. 90/2018. Se afirma que los datos personales sensibles pueden ser tratados si el tratamiento es necesario para que el responsable del tratamiento o el interesado pueda cumplir sus obligaciones y ejercitar determinados derechos de acuerdo de la legislación del trabajo y de la legislación en materia de seguridad y protección social.
Como he afirmado arriba, el fin de Húsasmiðjan ehf. es de utilizar el escáner de huellas digitales para acceder y desconectarse desde los empleados en el sistema de cheques de pago de la empresa. Como se ha dicho arriba, se hace el requisito fundamental contemplado en el punto 2, apartado 1 del artículo 11 de la ley que el tratamiento es necesario para que el encargado pueda cumplir sus obligaciones, véase también el requisito de proporcionalidad contemplado en el punto 3, apartado 1, artículo 8 de la ley. Cuando se valuta la necesidad de utilizar informaciones sensibles, como la biometría, para mantener los record del tiempo de trabajo, las recursas disponibles tendrían que ser consideradas y lograr el mismo objetivo con menos intrusiones sobre la privacy de los empleados. Se puede presumir que a los operadores sean ofrecidas numerosas recursas para el acceso y la desconexión de los empleados en un sistema de gestión de las retribuciones no basado sobre datos biométricos o otras informaciones personales sensibles. Los ejemplos incluyen relojes, tarjetas de empleados, tag de acceso y códigos de acceso. Además los dichos remedios pueden ser mezclados con un dicho organismo de inspección o inspección por sondeo a la entrada del lugar de trabajo. Es opinión de la Autoridad de Protección de Datos que el tratamiento de datos personales sensible no es necesario para lograr el objetivo de Húsasmiðjan ehf., por ejemplo monitorear el contributo al trabajo de los propios empleados y que esto pueda ser obtenido mediante otras y menos estrictas medidas que no piden un tratamiento sistemático de las informaciones biométricas de los empleados.
La Autoridad de Protección de Datos subraya que el uso de informaciones biométricas para identificar una persona de manera unívoca está generalmente sujeta a restricciones muy estrictas. Es particularmente relevante cuando otras medidas menos estrictas no son suficientes y pueden ser relevantes cuando el tratamiento es destinado al control del acceso de determinadas áreas del lugar de trabajo a causa de consideraciones de seguridad especiales como la manipulación de alimentos o sustancias pericolosas.
No se vedrá que otras autorizaciones sobre la base del apartado 11, acto n. 90/2018 pero aquí pueden ser aplicados artículos precedentes. En base a lo dicho arriba, se tiene que considerar que Húsasmiðjan ehf. no es permitido de acuerdo con la ley n. 90/2018 para trabajar con la biometría de los propios empleados en los escáneres de huellas digitales para su registración y check-out en sistema de pago de la empresa. Solo por esta razón, la Autoridad de Protección de Datos Personales no retiene necesario discutir si este tratamiento sea conforme a las normas generales del artículo 9, los principios del primer párrafo, artículo 8, Acto 90/2018.
Al artículo 2, acto 90/2018 también el segundo párrafo artículo 58 del Reglamento se ocupa de las instrucciones de la Autoridad de Protección de Datos Personales sobre las medidas correctivas. Al punto 6, artículo 42 de la ley que establece que la Autoridad de Protección de Datos Personales puede prescribir medidas correctivas, incluida la limitación o la prohibición temporanea o permanente, véase artículo 58, apartado 2, letra f del Reglamento.
Con referencia a cuánto arriba, se propone que Húsasmiðjan ehf. Interrumpa el uso del escáner de huellas digitales y elimine las informaciones biométricas de los empleados. Húsasmiðjan ehf. envíe a la Autoridad de Protección de Datos Personales la confirmación de que la instrucciones de la Agencia han sido respetadas dentro del 10 septiembre sucesivo.
Este caso ha sido retardado a causa del trabajo de la Autoridad de Protección de Datos Personales.
Sobre la palabra decisión.
El tratamiento de Húsasmiðjan ehf. sobre las informaciones biométricas basadas sobre las informaciones sobre las huellas digitales de los empleados para el acceso y la desconexión del sistema de pago de la empresa no se cumple con la ley 90/2018 sobre la protección de los empleados y el tratamiento de datos personales.