Um membro de uma academia apresentou uma queixa à Autoridade de Proteção de Dados (DPA) dinamarquesa após a academia, que funciona 24 horas por dia, substituir o sistema de acesso por chip de chave por um sistema de reconhecimento facial. Essa mudança limitava o uso da academia fora do horário em que há funcionários, caso o membro não consentisse com o uso de seus dados biométricos. O membro recusou o uso do sistema de reconhecimento facial e o fornecimento de seus dados biométricos. A academia respondeu que investigaria alternativas, mas não retornou ao membro com opções concretas.

O membro argumentou que o consentimento só seria válido se fosse dado sem pressão ou consequências negativas pela recusa. No entanto, sem consentimento, o acesso à academia ficaria restrito aos horários com funcionários presentes, apesar de a academia ser anunciada como aberta 24 horas. A academia alegou ter informado os membros sobre o uso de dados pessoais no reconhecimento facial por meio de sua política de privacidade e ofereceu alternativas, como solicitar um código de acesso único pelo suporte ou pedir ao suporte para abrir a porta.

A DPA destacou que o uso de reconhecimento facial em academias, por si só, não viola os princípios fundamentais do Artigo 5 do GDPR, desde que atendidas as condições de processamento legal. No entanto, imagens faciais usadas para identificação são dados biométricos sob o Artigo 4(14) do GDPR e, conforme o Artigo 9(1), seu uso é proibido, salvo exceções do Artigo 9(2). A DPA determinou que o consentimento explícito era necessário neste caso específico.

De acordo com as diretrizes do Comitê Europeu de Proteção de Dados (EDPB), o consentimento deve ser "livremente dado", o que implica na necessidade de oferecer uma alternativa ao reconhecimento facial que não envolva o processamento de dados biométricos, sem impor restrições significativas ao titular dos dados. A DPA concluiu que as opções alternativas oferecidas pela academia (códigos de acesso e suporte telefônico) fornecem o mesmo acesso que o consentimento ao reconhecimento facial e não impõem limitações significativas. No entanto, a comunicação dessas alternativas era fragmentada e não clara, o que comprometeu a validade do consentimento.

Assim, a DPA emitiu uma reprimenda à academia. Contudo, considerou que, no momento da decisão, o membro estava suficientemente informado sobre as alternativas disponíveis, permitindo que um consentimento válido fosse obtido posteriormente.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Créditos da imagem

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

27 de Agosto, 2024

Biometria facial em academias

Quer ficar por dentro das ultimas notícias na área?

Posts recentes