Os sistemas de identificação biométrica para controle de tempo estão se tornando uma fonte de problemas para as empresas desde que o Comitê Europeu de Proteção de Dados unificou seus critérios de Autenticação e Identificação de dados biométricos, entrando em conflito com aquele que até então seguia a regulamentação espanhola, muito mais permissiva com a utilização de impressão digital ou reconhecimento facial para controle de horário da jornada de trabalho nas empresas.
Como resultado dessa unificação de critérios a nível comunitário, a Agência Espanhola de Proteção de Dados começou a sancionar as empresas que não cumprem as recomendações e impôs uma multa de 365.000 euros a uma empresa por utilizar as impressões digitais dos seus funcionários para assinar.
Violação repetida dos regulamentos. Segundo a mídia especializada Confilegal, a AEPD baseia a sua sanção na violação de diversos artigos do Regulamento Geral de Proteção de Dados. Em primeiro lugar, a empresa não informou adequadamente os colaboradores sobre o sistema de recolha de dados biométricos, não implementou medidas de segurança adequadas à sua utilização e não teve uma análise de risco adequada.
A multa por partes. A sanção total decompõe-se em função da gravidade dos artigos do Regulamento que viola:
- 200.000 euros por incumprimento do artigo 13, que se refere à informação que a empresa deve oferecer ao utilizador. Neste caso, a empresa não informou ao usuário que seus dados estavam armazenados em seu perfil de funcionário e a empresa não teve autorização expressa do funcionário para fazê-lo.
- 100 mil euros pelo incumprimento do artigo 35.º do Regulamento, que descreve como deve ser avaliado o impacto da recolha de dados biométricos das pessoas. A documentação apresentada pela empresa não reconhecia os dados biométricos como “categoria especial”, portanto partiu de uma premissa que já estava fora da lei na nova regulamentação.
- 65.000 euros por violação do artigo 32.º, uma vez que a empresa não aplicou medidas de segurança adequadas durante o processo de tratamento e armazenamento dos dados recolhidos e manteve o hash da impressão digital juntamente com os dados do funcionário e não foi apagado após a utilização.
Além das sanções, a AEPD concedeu à empresa um prazo de seis meses para corrigir essas deficiências. Apesar da dureza da multa, a sanção não é definitiva e a empresa pode recorrer perante o Tribunal Nacional.
A armadilha dos sistemas biométricos. Algumas empresas utilizam há anos sistemas de identificação por impressão digital ou reconhecimento facial para registrar as horas de seus funcionários, sendo um sistema mais preciso do que a identificação por cartão. Durante todo esse tempo, seu uso foi perfeitamente legal e teve até aprovação do Supremo Tribunal Federal.
No entanto, a unificação de critérios trouxe uma alteração importante no artigo 12.º do Regulamento entre “Autenticação” e “Identificação”. Agora, ambos são considerados “Categoria Especial” tornando seu uso e tratamento mais sensíveis. A utilização da impressão digital ou do reconhecimento facial fica relegada a situações de interesse público ou de saúde, segurança pública, etc., descritas no artigo 9.º do Regulamento, mas não para uma área como o controle de acesso ao local de trabalho em que possam utilizar outras menos alternativas intrusivas.
Manter esses sistemas é legal, mas não é lucrativo. A utilização de sistemas de controle de tempo baseados em dados biométricos continua sendo legal. No entanto, os sistemas, que até poucos meses atrás eram legais, agora não são mais legais e exigem uma série de medidas adicionais de informação e proteção para continuar a utilizá-los.
Isso implica que as empresas devem fazer um investimento adicional em segurança e procedimentos para mantê-los em funcionamento, pelo que compensa que muitas empresas mudem para uma alternativa menos conflituosa que não as deixe expostas a sanções tão importantes como a desta empresa.
Em Xataka | A impressão digital no trabalho era legal. Na Europa decidiram que não é mais e ameaçam multar
Imagem | Pexels (Angela Roma, Samson Katt)