Revista >> Martie 2021 [Nr. 232] >> IT&C

Identificarea biometrică – un nou trend în contextul digitalizării

Andrei Hancu, Managing Associate act Botezatu Estrade Partners

19 Martie 2021

Având în vedere tendințele generale privind digitalizarea proceselor şi eliminarea birocrației, precum şi necesitatea crescută a oamenilor de a putea efectua operațiuni cât mai comod, metodele alternative de identificare au început să se bucure de un real interes, atât din partea companiilor, cât și a utilizatorilor. O astfel de alternativă este adusă de metodele biometrice de identificare. În acest context, datorită avansului tehnologic din ce în ce mai pronunțat, inclusiv semnătura electronică „clasică” începe să intre în categoria tehnologiilor „old-school”, învechite.

Ce este identificarea biometrică
Identificarea biometrică reprezintă un proces de securitate care se bazează pe caracteristicile biologice unice ale unei persoane pentru a verifica şi confirma identitatea acesteia. Sistemele de identificare biometrică compară o captură de date biometrice cu datele autentice stocate și confirmate într-o bază de date. Dacă ambele probe ale datelor biometrice se potrivesc, identificarea este confirmată.

De obicei, identificarea biometrică este utilizată pentru a gestiona accesul la resurse fizice și digitale, cum ar fi clădiri, device-uri, conturi, etc.

Cândva întâlnită exclusiv în filmele science-fiction, identificarea biometrică devine astfel din ce în ce mai banală în ziua de astăzi, fiind deja adoptată la o scară largă prin intermediul smartphone-urilor şi a laptop-urilor. Pe lângă securitatea oferită de trăsăturile biologice individuale greu de falsificat, acceptarea identificării biometrice a fost determinată și de comoditate: nu se poate „uita” sau pierde biometria în condiţii normale. În plus, verificarea biometrică modernă a devenit aproape instantanee și este din ce în ce mai precisă odată cu apariția bazelor de date computerizate și digitalizarea datelor analogice.

Ca orice tehnologie nouă, identificarea biometrică vine cu o serie de avantaje şi dezavantaje. Printre avantaje subliniem securitatea ridicată și caracterul netransferabil (persoanele deţin seturi unice de date biometrice), precum și un user experience mult mai bun, tradus prin comoditate și rapiditate. Dezavantajele sunt reprezentate de (i) costurile mai ridicate pentru implementarea de tehnologii biometrice, (ii) efectele în cazul divulgării neautorizate a datelor biometrice, (iii) limitarea intimităţii persoanelor în funcție de modul de utilizare al datelor biometrice (e.g. pentru tracking, marketing, etc.) și (iv) inexactitatea anumitor sisteme în identificarea corectă a caracteristicilor biometrice în anumite circumstanţe totuși uzuale (e.g. afectarea Finger ID de faptul că degetul este ud, sau a voice recognition când suntem răguşiţi).

Tipuri de sisteme de identificare biometrică
Printre tipurile de date biometrice și sistemele aferente de identificare biometrică, amintim:
Facial recognition: sistemele de recunoaștere facială funcționează cu coduri numerice numite amprente faciale, care identifică un anumit număr de puncte nodale pe o față umană. Sistemul este folosit cu precădere pentru identificare în vederea deblocării unui device sau în vederea obţinerii accesului într-un sistem IT.
Finger ID: reprezintă versiunea digitală a procesului de amprentă utilizat cu cerneală și hârtie, funcționează identificând detalii în modelul zonelor ridicate și al ramificațiilor dintr-o imagine cu un deget uman. O variantă mai modernă utilizează identificarea modelului vascular dintr-un deget uman.
Voice recognition: sistemele de identificare vocală se bazează pe caracteristicile amprentei vocale ale utilizatorului.
Behavioral biometrics (e.g. typing biometrics): funcționează prin „codarea” unui model comportamental, de exemplu maniera în care o persoană scrie la calculator; se bazează pe tehnologii de machine learning, care analizează caracteristici altfel imperceptibile în ceea ce privește acționarea tastelor.
Retina/Iris scan: scanarea retinei produce o imagine a modelului vaselor de sânge în suprafața sensibilă la lumină care acoperă ochiul interior al individului, iar scanarea irisului caută modele unice, similar cu identificarea detaliilor unei amprente.

Permite cadrul legislativ actual utilizarea metodelor de identificare biometrică a persoanelor?
Pe scurt, răspunsul este „da”.
GDPR-ul este unul din textele legale de bază care reglementează utilizarea de date biometrice, date care sunt incluse în sfera categoriei speciale de date cu caracter personal, cum sunt şi datele medicale.
Astfel, datele biometrice sunt definite ca fiind acele date cu caracter personal care rezultă în urma unor tehnici de prelucrare specifice referitoare la caracteristicile fizice, fiziologice sau comportamentale ale unei persoane fizice, care permit sau confirmă identificarea unică a respectivei persoane.
Conform GDPR-ului, datele biometrice pot fi prelucrate, în general, numai în baza consimțământului persoanei vizate. Un consimțământ valabil trebuie să îndeplinească următoarele condiţii:
➥ să fie o manifestare de voință liberă: persoana vizată nu trebuie constrânsă în vreun fel pentru a-și oferi consimțământul;
➥ să fie o manifestare de voință specifică şi lipsită de ambiguitate: persoana vizată trebuie să-și ofere consimțământul pentru un scop specific (e.g. pentru prelucrarea datelor biometrice în vederea autentificării într-o aplicație mobilă);
➥ să fie o manifestare de voință informată: persoana vizată trebuie informată exhaustiv cu privire la, printre altele, scopul, durata şi temeiul legal al prelucrării, precum şi la drepturile sale în calitate de persoană vizată de prelucrare;
➥ să fie acordat printr-o declarație sau acțiune fară echivoc: un consimțământ tacit sau manifestat prin căsuţe prebifate nu constituie un consimțământ valid.

Având în vedere potențialele sancțiuni care pot fi aplicate pentru nerespectarea dispozițiilor GDPR, respectiv amendă de până la 4% din cifra de afaceri globală sau 20.000.000 EUR, recomandăm tuturor companiilor care doresc să implementeze sisteme de identificare biometrică, să contacteze departamentul juridic/consultanții externi în vederea redactării documentelor necesare (notă de informare, declarație de consimțământ, proceduri, etc.) și implementării proceselor necesare pentru a se asigura că respectă cerințele GDPR și nu se expun la amenzi usturătoare.

Pe de altă parte, în ceea ce privește efectele identificării biometrice din perspectiva încheierii de acte juridice, ar trebui analizate şi condițiile semnăturii electronice.
Astfel, în sfera semnăturii electronice, regulamentul eIDAS (i.e. Regulamentul UE nr. 910/2014) definește identificarea electronică ca fiind „procesul de utilizare a datelor de identificare a persoanelor în format electronic, reprezentând în mod unic fie o persoană fizică sau juridică, fie o persoană fizică care reprezintă o persoană juridică”, iar semnătura electronică ca reprezentând „date în format electronic, atașate la sau asociate logic cu alte date în format electronic și care sunt utilizate de semnatar pentru a semna”.

Din lecturarea eIDAS, reiese faptul că o semnătură relectronică poate fi creată şi în baza identificării biometrice. Astfel, este posibil să utilizăm datele biometrice nu doar pentru a ne identifica într-un sistem IT, ci și pentru a încheia acte juridice utilizând semnătură electronicăbazată pe identificarea biometrică a semnatarului.