Andorra reforça controlo sobre acesso biométrico em empresas e ginásios
Especialistas e agência de proteção de dados alertam que impressões digitais e scans faciais violam regras estritas de proporcionalidade, recomendando alternativas menos invasivas.
Pontos-chave
- Os biometrias qualificam-se como dados «especialmente sensíveis» ao abrigo da LQPD andorrana, exigindo consentimento explícito ou interesse público e proporcionalidade.
- Devem ser fornecidas opções menos intrusivas como cartões ou códigos; a conveniência não justifica biometrias.
- Avaliações de impacto obrigatórias; ainda sem multas, mas queixas podem levar a sanções.
- Natureza irreversível dos biometrias aumenta riscos de violações, exigindo encriptação e salvaguardas de eliminação.
O uso de dados biométricos como impressões digitais, reconhecimento facial ou scans de íris para acesso a empresas, ginásios e outros locais públicos está a levantar sérias preocupações em Andorra quanto à sua legalidade e riscos para os direitos fundamentais. A Agência Andorrana de Proteção de Dados (APDA) e especialistas jurídicos e tecnológicos concordam que estes se qualificam como dados «especialmente sensíveis» e, na maioria dos casos, não cumprem os requisitos de proporcionalidade previstos na legislação atual.
A lei andorrana, delineada na Lei Qualificada 21/2019 sobre proteção de dados pessoais (LQPD) e nos seus regulamentos de execução, não proíbe explicitamente os biometrias, mas impõe limites estritos ao tratamento de dados de categoria especial. A APDA sublinha que tal tratamento só é admissível em circunstâncias estreitas, apoiadas em fundamentos jurídicos robustos como consentimento explícito do utilizador ou interesse público essencial. «Se o acesso puder ser conseguido com um sistema menos intrusivo, a lei exige-o», afirmou Víctor Rosselló, advogado especializado em proteção de dados.
Os regulamentos exigem frequentemente uma avaliação de impacto na proteção de dados antes da implementação de sistemas biométricos, particularmente para dados sensíveis ou monitorização pública contínua. Ainda não foram aplicadas multas em Andorra por mau uso, mas a APDA avisa que queixas podem desencadear investigações e sanções. O consentimento deve ser livre, específico, informado e inequívoco; se invocado, as empresas devem oferecer uma alternativa genuína e menos invasiva.
Os biometrias são tratados ao nível dos dados de saúde devido à sua sensibilidade, explicou Rosselló, acrescentando que a conveniência nunca os justifica face a opções como cartões ou códigos. O seu uso em ginásios ou lojas, argumentou, colide com princípios fundamentais de proteção de dados, incluindo a minimização. Núria Viladrich, diretora da OCPS-Tarinas Compliance, observou que, embora não proibidos de forma absoluta, os biometrias exigem escrutínio caso a caso quanto ao fim, necessidade e proporcionalidade. Devem sempre ser priorizadas alternativas, especialmente para registos de entrada no trabalho ou ginásios, para garantir consentimento verdadeiramente voluntário.
O especialista tecnológico Sebastián González, da Dcode Informàtics, ecoou esta posição, afirmando que os biometrias só são justificáveis em contextos de alta segurança como infraestruturas críticas — não em lojas, hotelaria ou ginásios, onde existem métodos menos invasivos. O consentimento dos trabalhadores nos locais de trabalho é muitas vezes não totalmente livre, agravando a exposição legal.
Especialistas e a APDA destacam também riscos de segurança: ao contrário de palavras-passe ou cartões, os dados biométricos não podem ser alterados em caso de violação. Salvaguardas estritas como encriptação, controlos de acesso e eliminação célere — como quando um sócio de ginásio cancela a subscrição — são legalmente exigidas.
Fontes originais
Este artigo foi agregado a partir das seguintes fontes em catalao: