Um membro de uma academia apresentou uma queixa à Autoridade de Proteção de Dados (DPA) dinamarquesa após a academia, que funciona 24 horas por dia, substituir o sistema de acesso por chip de chave por um sistema de reconhecimento facial. Essa mudança limitava o uso da academia fora do horário em que há funcionários, caso o membro não consentisse com o uso de seus dados biométricos. O membro recusou o uso do sistema de reconhecimento facial e o fornecimento de seus dados biométricos. A academia respondeu que investigaria alternativas, mas não retornou ao membro com opções concretas.
O membro argumentou que o consentimento só seria válido se fosse dado sem pressão ou consequências negativas pela recusa. No entanto, sem consentimento, o acesso à academia ficaria restrito aos horários com funcionários presentes, apesar de a academia ser anunciada como aberta 24 horas. A academia alegou ter informado os membros sobre o uso de dados pessoais no reconhecimento facial por meio de sua política de privacidade e ofereceu alternativas, como solicitar um código de acesso único pelo suporte ou pedir ao suporte para abrir a porta.
A DPA destacou que o uso de reconhecimento facial em academias, por si só, não viola os princípios fundamentais do Artigo 5 do GDPR, desde que atendidas as condições de processamento legal. No entanto, imagens faciais usadas para identificação são dados biométricos sob o Artigo 4(14) do GDPR e, conforme o Artigo 9(1), seu uso é proibido, salvo exceções do Artigo 9(2). A DPA determinou que o consentimento explícito era necessário neste caso específico.
De acordo com as diretrizes do Comitê Europeu de Proteção de Dados (EDPB), o consentimento deve ser "livremente dado", o que implica na necessidade de oferecer uma alternativa ao reconhecimento facial que não envolva o processamento de dados biométricos, sem impor restrições significativas ao titular dos dados. A DPA concluiu que as opções alternativas oferecidas pela academia (códigos de acesso e suporte telefônico) fornecem o mesmo acesso que o consentimento ao reconhecimento facial e não impõem limitações significativas. No entanto, a comunicação dessas alternativas era fragmentada e não clara, o que comprometeu a validade do consentimento.
Assim, a DPA emitiu uma reprimenda à academia. Contudo, considerou que, no momento da decisão, o membro estava suficientemente informado sobre as alternativas disponíveis, permitindo que um consentimento válido fosse obtido posteriormente.
Com informações GDPRHub
Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.
