A Autoridade Italiana de Proteção de Dados (Garante) impôs uma multa de €70.000 à L'Igiene Urbana Evolution, após a investigação de queixas de empregados sobre o uso de um sistema de reconhecimento facial, o 'Face Deep 3 - Smart Face Recognition System', produzido pela Anviz Global, para acesso ao local de trabalho em Ardea e monitoramento da presença dos funcionários. A queixa também envolveu as empresas Blue Work, Unica , e DM Technology , mas centrou-se em L'Igiene Urbana Evolution s.r.l. como controladora dos dados.

Os empregados expressaram preocupações com o manuseio de dados biométricos sensíveis e o potencial para acesso ou uso indevido desses dados, o que poderia comprometer sua privacidade e informações pessoais.

O Garante constatou duas fases de processamento de dados: uma no registro das características biométricas dos empregados e outra na fase de reconhecimento biométrico para controle de presença. O órgão determinou que, embora o registro da presença dos empregados possa ser considerado uma finalidade legítima sob o Artigo 9(2)(b) do GDPR, o processamento de dados biométricos só é permitido se autorizado pela legislação da União ou do Estado-Membro, com salvaguardas adequadas, o que atualmente não é previsto pela legislação italiana.

Foi destacado que a declaração de conformidade do dispositivo com o GDPR pelo fabricante não exclui a responsabilidade da controladora, que deve garantir e demonstrar a conformidade com o GDPR, de acordo com o Artigo 5(2). A Garante também observou que a empresa processou dados dos empregados de outras empresas no local sem uma base legal aplicável, violando o Artigo 5(2) do GDPR.

Além disso, foi estabelecido que a empresa falhou em comunicar aos empregados as características essenciais do processamento de seus dados biométricos, violando os Artigos 5(1)(a) e 13 do GDPR. Outras infrações incluíram a falha em designar a DM Technology s.r.l. como operadora de dados conforme exigido pelo Artigo 28, não realizar uma avaliação de impacto à proteção de dados antes do início das operações de processamento, contrariando o Artigo 35(1), e não indicar dados biométricos entre os tipos de dados processados, infringindo o Artigo 30(1)(c).

Com informações GDPR Hub

Este post foi resumido a partir de sua versão original com o uso do ChatGPT versão 4.

Cookie	Duração	Descrição
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

11 de Abril, 2024

Garante aplica multa por uso indevido de reconhecimento facial no local de trabalho

Posts recentes