A Autoridade Espanhola de Proteção de Dados (AEPD) impôs uma multa de € 360.000 à CTC Externalização, S.L., por falhas na divulgação de informações sobre o processamento e armazenamento de dados biométricos dos funcionários, falta de medidas de segurança para garantir a confidencialidade dos dados e por não realizar uma avaliação de impacto à proteção de dados.

Em 14 de fevereiro de 2022, um titular de dados reclamou à AEPD contra o seu empregador, CTC Externalização, S.L., que coletava dados de impressões digitais dos funcionários para implementar um sistema de registro de ponto.

Em sua defesa, a empresa argumentou que o scanner de impressões digitais era um sistema de autenticação, e não de identificação, afirmando que as impressões digitais não eram armazenadas. Ao invés disso, o leitor gerava um identificador numérico que era armazenado em um sistema criptografado, enquanto a impressão digital era imediatamente apagada, alegando ser impossível reproduzir a impressão digital a partir do identificador numérico. A empresa também mencionou que havia disponibilizado informações sobre o processamento dos dados no portal do funcionário.

A AEPD concluiu que a empresa violou os Artigos 13, 32 e 35 do GDPR, impondo uma multa de € 360.000.

Primeiramente, foi constatado que a divulgação do processamento de dados disponível no portal do funcionário violava os Artigos 13(2)(d) e (e) do GDPR por ser imprecisa, genérica e insuficientemente informativa. A cláusula sobre o processamento apenas mencionava a implementação de um sistema de registro por impressão digital, sem fornecer detalhes sobre a coleta, processamento ou armazenamento dos dados.

Em segundo lugar, a AEPD identificou uma violação do Artigo 32 do GDPR, pois a empresa não possuía medidas de segurança suficientes para garantir a exclusão e integridade dos dados de impressão digital. A empresa não conseguiu demonstrar como os dados eram apagados após cada varredura ou a existência de medidas técnicas para proteger os dados pessoais processados.

Por fim, a AEPD determinou que a empresa violou o Artigo 35 do GDPR ao falhar na realização de avaliações de impacto à proteção de dados para os dados de impressão digital, considerados uma categoria especial de dados sob o Artigo 9(1) do GDPR. A lista publicada pela AEPD que requer uma avaliação de impacto inclui explicitamente dados biométricos.

Ao aplicar a multa de € 360.000, a AEPD levou em consideração a alta sensibilidade dos dados biométricos e a duração do período da infração por mais de dois anos.

Com informações GDPR Hub

Este post foi resumido a partir de sua versão original com o uso do ChatGPT versão 4.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

11 de Abril, 2024

AEPD multa empresa por falhas na gestão de dados biométricos de funcionários

Quer ficar por dentro das ultimas notícias na área?

Posts recentes