Contacte
Davant les informacions recollides per diversos mitjans, que asseguren que centenars de persones, entre les quals menors d'edat, accepten l'escaneig del seu iris a canvi de criptomonedes a diversos establiments comercials de Catalunya, l’Autoritat Catalana de Protecció de Dades (APDCAT) vol posar de manifest el següent:
· Aquesta acció comporta la comunicació d’una dada personal considerada com una categoria especialment sensible. És una dada biomètrica que permet la identificació inequívoca de la persona a través d’una característica física que no es pot variar al llarg de la vida.
· Aquesta categoria de dades compta amb una protecció especial per la normativa de protecció de dades, ates l’elevat risc que comporta el seu tractament per als drets i llibertats de les persones i els nombrosos perjudicis que se’n podrien derivar d’un mal ús.
· El tractament de dades personals requereix una base jurídica per a dur-lo a terme, i, en cas de les dades biomètriques, pot ser el consentiment explícit. Ha de ser lliure, informat, específic i inequívoc. Això exigeix que la persona que l’atorga ha de ser plenament conscient de les conseqüències que es poden derivar del tractament de la seva informació.
· En cas de menors de 14 anys, el consentiment l'han d’atorgar els pares, mares o tutors legals.
· Per tractar les dades biomètriques no n'hi ha prou amb el consentiment, sinó que l'organització que duu a terme el tractament ha d'informar les persones sobre aspectes com:
· Qui tracta les dades (identitat i dades de contacte) i per a quina finalitat
· Dades de contacte del Delegat de Protecció de Dades.
· Quina és la base jurídica que li permet tractar-les.
· El temps que les conservarà
· Si les cedirà a tercers
· Si es realitzaran transferències internacionals de dades fora de la Unió Europea
· Davant de qui i com es poden exercir els drets d’accés, rectificació, supressió o oposició i limitació del tractament
· El dret a presentar una reclamació davant l’autoritat de control de protecció de dades.
· Aquesta informació a la persona afectada pel tractament de les seves dades ha de ser clara, concisa i adaptada a cada col·lectiu, especialment en el cas dels menors d'edat. Per tant, aquest consentiment informat exigeix que la persona també entengui i sigui conscient de què suposa realment el tractament de les seves dades personals.
· Diversos organismes i autoritats de la Unió Europea investiguen a hores d'ara si aquesta iniciativa s'ajusta als principis i obligacions que estableix el Reglament general de protecció de dades, i cal ser prudents fins a determinar els seus impactes reals.
· L'ús de dades biomètriques amb tecnologies com el reconeixement facial es limita a supòsits molt concrets de la normativa de protecció de dades, atès l'alt impacte en els drets i llibertats de les persones que pot suposar. Cal justificar molt bé la proporcionalitat d'aquest tipus de sistemes, i garantir el principi de minimització de dades (utilitzar les dades mínimes per a la finalitat perseguida).
· L'APDCAT recorda la necessitat de prendre consciència del valor de les dades personals i dels riscos associats a compartir-les i cedir-les sense control. Així, el fet de difondre informació sobre la geolocalització, l'estat físic i de salut, etc. que serveixi per identificar una determinada persona pot contribuir a l'hora de patir situacions indesitjables com ara suplantació d'identitat, ciberdelinqüència, ciberassetjament, o condicionar el present i futur professional, entre altres.
· L'APDCAT posa a disposició de la ciutadania els seus canals de denúncia i reclamació davant incompliments de la normativa de protecció de dades.