A Autoridade de Proteção de Dados da Bélgica (APD/GBA) aplicou uma multa de €45.000 a uma empresa que implementou um sistema de controle de ponto baseado no uso de impressões digitais dos funcionários, sem seguir as diretrizes do Regulamento Geral de Proteção de Dados (GDPR). O sistema, instalado em dois locais da empresa, era operado por um software fornecido por uma empresa terceirizada com sede em vários países, incluindo Estados Unidos e China.

Um dos funcionários apresentou duas solicitações de acesso aos dados à empresa. No entanto, as respostas foram insuficientes, com informações incompletas sobre os motivos do processamento dos dados e a ausência de explicações sobre as consequências de recusar a coleta de impressões digitais. O funcionário também alegou que não havia consentido voluntariamente com o uso de suas impressões digitais e não foi informado sobre o período de retenção dos dados. Além disso, levantou dúvidas sobre a proteção adequada dos dados transferidos para terceiros países.

Durante a investigação, a empresa não conseguiu fornecer uma base legal clara para o processamento dos dados biométricos, nem apresentou políticas de retenção de dados ou um plano de segurança adequado. A empresa afirmou que os dados eram utilizados para fins como registro de horas trabalhadas, prevenção de fraudes, segurança no local de trabalho e controle de acesso aos edifícios. Contudo, a Autoridade de Proteção de Dados concluiu que o consentimento obtido não foi válido, pois não foi informado corretamente e não foi dado de forma livre, já que os funcionários não tinham alternativa ao sistema biométrico.

Além disso, a APD apontou várias violações do GDPR, incluindo a falta de transparência sobre as finalidades do processamento de dados e a ausência de opções menos invasivas para o controle de ponto, como cartões pessoais ou relógios de ponto. A empresa também falhou em fornecer informações detalhadas sobre a legalidade do processamento dos dados, conforme exigido pelo GDPR, e em realizar uma avaliação de impacto de proteção de dados, mesmo tratando dados biométricos de aproximadamente 200 funcionários.

A autoridade belga concluiu que, embora o sistema de segurança implantado estivesse em conformidade com as exigências do GDPR, a empresa violou várias disposições ao não demonstrar adequadamente como as medidas de segurança foram implementadas ou gerenciadas. A falta de registros adequados e a ausência de uma avaliação de impacto sobre os riscos da coleta de dados biométricos contribuíram para a penalidade aplicada.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

16 de Outubro, 2024

Empresa multada por uso ilegal de sistema de controle de ponto com dados biométricos

Quer ficar por dentro das ultimas notícias na área?

Posts recentes