À luz da iminente entrada em vigor da lei sobre identificação biométrica de clientes bancários, gostaria de voltar um pouco e relembrar o que realmente são dados pessoais biométricos. O que Roskomnadzor nos diz sobre isso e o que devemos fazer se tivermos que trabalhar com eles.
De acordo com a Lei Federal de 27 de julho de 2006, N 152- "Sobre Dados Pessoais", art. 11:
“As informações que caracterizam as características fisiológicas e biológicas de uma pessoa, com base nas quais é possível estabelecer sua identidade (dados pessoais biométricos) e que são usadas pelo operador para estabelecer a identidade do sujeito de dados pessoais, só podem ser processadas com o consentimento por escrito do sujeito de dados pessoais, a menos que previsto no parágrafo 2 deste artigo. ”
Para as crianças, Roskomnadzor tem uma explicação simplificada:
Dados pessoais biométricos são informações sobre nossas características biológicas. Esses dados são únicos, pertencem a apenas uma pessoa e nunca são repetidos.
Os dados biométricos são inerentes a nós desde o nascimento por natureza, não são atribuídos por ninguém, são apenas informações codificadas sobre uma pessoa que as pessoas aprenderam a ler. Esses dados incluem:
impressão digital, padrão de íris, código de DNA, transmissão de voz etc.
Sobre os padrões
De acordo com o despacho da Agência Federal de Regulação Técnica e Metrologia de 6 de março de 2017 no 448, foram organizadas as atividades do Comitê Técnico de Normalização TC 098 Biometria e Biomonitoramento.
De acordo com o apêndice nº 3 da ordem da Agência Federal de Regulação Técnica e Metrologia, de 6 de março de 2017, nº 448 (Regulamento do Comitê Técnico de Padronização “Biometria e Biomonitoramento”), o TC foi projetado para resolver os seguintes problemas:
- a formação de um programa nacional de padronização para as atividades atribuídas ao TC 098 e o monitoramento da implementação deste programa;
- consideração de propostas para a aplicação de padrões internacionais e regionais nos níveis nacional e interestadual na área de atividade atribuída ao TC 098;
- exame de projetos de normas nacionais e interestaduais e de emendas às normas existentes, bem como submetê-las para aprovação (adoção) na Rosstandart;
- participação nos trabalhos do comitê técnico interestadual de padronização (MTK) e dos comitês técnicos internacionais (ISO / TC), que possuem uma área de atividade comum;
- verificação regular das normas nacionais e interestaduais em vigor na Federação Russa e atribuídas à TC 098, a fim de identificar a necessidade de atualizá-las ou cancelá-las;
- avaliação da adequação da aprovação de normas nacionais preliminares atribuídas ao TC 098 como normas nacionais da Federação Russa com base nos resultados do monitoramento de sua aplicação;
- consideração de projetos de normas internacionais na área de atividade atribuída ao TC 098 e preparação da posição da Federação Russa ao votar nesses projetos;
- consideração de propostas para o desenvolvimento de padrões internacionais, inclusive com base nos padrões nacionais e interestaduais atribuídos ao TC 098;
- exame de traduções oficiais para o russo de padrões internacionais e regionais, padrões nacionais e códigos de regras de estados estrangeiros na área de atividade atribuída ao TC 098, etc.
Em 31 de outubro de 2017, este TC reflete a lista de padrões nacionais existentes no campo das tecnologias biométricas. Esta lista está resumida na tabela abaixo.
Não.
| Designação Padrão Nacional
| Nome da norma nacional
|
1
| GOST ISO / IEC 2382-37-2016 *
| Tecnologia da informação. Dicionário. Parte 37. Biometria (adotada pelo protocolo da IGU nº 93-P de 22 de novembro de 2016)
|
2)
| GOST ISO / IEC 19794-1-2015 *
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 1. Estrutura
|
3)
| GOST R ISO / IEC 19794-2-2013
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 2. Dados da imagem de impressão digital - Marcos
|
4)
| GOST R ISO / IEC 19794-3-2009
| Autenticação Identificação biométrica. Formatos para o intercâmbio de dados biométricos. Parte 3. Dados espectrais da imagem de impressão digital
|
5)
| GOST R ISO / IEC 19794-4-2014
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 4. Dados da imagem de impressão digital
|
6
| GOST R ISO / IEC 19794-5-2013
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 5. Dados da imagem da face
|
7)
| GOST R ISO / IEC 19794-6-2014
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 6. Dados da imagem da íris
|
8)
| GOST R ISO / IEC 19794-7-2009
| Autenticação Identificação biométrica. Formatos para o intercâmbio de dados biométricos. Parte 7. Dados da dinâmica de assinatura
|
9
| GOST R ISO / IEC 19794-8-2015
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 8. Dados da imagem de impressão digital - quadro
|
10)
| GOST R ISO / IEC 19794-9-2015
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 9. Dados da imagem do leito vascular
|
11)
| GOST R ISO / IEC 19794-10-2010
| Autenticação Identificação biométrica. Formatos para o intercâmbio de dados biométricos. Parte 10. Dados da geometria do contorno da mão
|
12)
| GOST R ISO / IEC 19794-11-2015
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 11. Dados da dinâmica de assinatura processada
|
13)
| GOST R ISO / IEC 19794-14-2017
| Tecnologia da informação. Biometria Formatos para o intercâmbio de dados biométricos. Parte 14. Dados de DNA
|
14)
| GOST R ISO / IEC 19795-1-2007
| Autenticação Identificação biométrica. Testes de desempenho e relatórios de testes em biometria. Parte 1. Princípios e estrutura
|
15
| GOST R ISO / IEC 19795-2-2008
| Autenticação Identificação biométrica. Testes de desempenho e relatórios de testes em biometria.
Parte 2. Métodos de teste tecnológico e de cenário
|
16
| GOST R ISO / IEC
TO 19795-3-2009
| Autenticação Identificação biométrica. Testes de desempenho e relatórios de testes em biometria. Parte 3. Recursos de teste com várias modalidades biométricas
|
17
| GOST R ISO / IEC 19795-4-2011
| Tecnologia da informação. Biometria Testes de desempenho e relatórios de testes em biometria. Parte 4. Testes de compatibilidade
|
18
| GOST R ISO / IEC 19795-6-2015
| Tecnologia da informação. Biometria Testes de desempenho e relatórios de testes em biometria. Parte 6. Metodologia de teste operacional
|
19
| GOST R ISO / IEC 19784-1-2007
| Autenticação Identificação biométrica. Interface de software biométrico. Parte 1. Especificação da Interface Biométrica de Software
|
20
| GOST R ISO / IEC 19784-2-2010
| Autenticação Identificação biométrica. Interface de software biométrico. Parte 2. Interface do provedor de arquivamento biométrico
|
21
| GOST R ISO / IEC 19784-4-2014
| Tecnologia da informação. Biometria Interface de software biométrico. Parte 4. Interface do Provedor de Função do Sensor Biométrico
|
22)
| GOST R ISO / IEC 19785-1-2008
| Autenticação Identificação biométrica. Estrutura unificada de formatos de troca de dados biométricos. Parte
1. Especificação do item de dados
|
23
| GOST R ISO / IEC 19785-2-2008
| Autenticação Identificação biométrica. Estrutura unificada de formatos de troca de dados biométricos. Parte 2. Procedimentos para ações da autoridade de registro no campo da biometria
|
24)
| GOST R ISO / IEC 19785-4-2012
| Tecnologia da informação. Biometria Estrutura unificada de formatos de troca de dados biométricos. Parte 4. Especificação do formato de segurança da informação
|
25)
| GOST R ISO / IEC 24708-2013
| Tecnologia da informação. Biometria Protocolo de Gateway BioAPI
|
26)
| GOST R ISO / IEC 24709-1-2009
| Autenticação Identificação biométrica. Testes de conformidade com a interface biométrica de software (BioAPI). Parte 1. Métodos e procedimentos
|
27
| GOST R ISO / IEC 24709-2-2011
| Tecnologia da informação. Biometria Testes de conformidade com a interface biométrica de software (BioAPI). Parte 2. Declarações de teste para provedores de serviços biométricos
|
28)
| GOST R ISO / IEC 24709-3-2013
| Tecnologia da informação. Biometria Testes de conformidade com a interface biométrica de software (BioAPI). Parte 3. Declarações de Teste para Infraestruturas BioAPI
|
29
| GOST ISO / IEC 24713-1-2013 *
| Tecnologia da informação. Perfis biométricos para interação e troca de dados. Parte 1. Arquitetura geral do sistema biométrico e perfis biométricos
|
30)
| GOST R ISO / IEC 24713-2-2011
| Tecnologia da informação. Biometria Perfis biométricos para interação e troca de dados. Parte 2. Controle de acesso físico para funcionários do aeroporto
|
31
| GOST R ISO / IEC 24713-3-2016
| Tecnologia da informação. Biometria Perfis biométricos para interação e troca de dados. Parte 3. Verificação biométrica e identificação de marítimos
|
32
| GOST R ISO / IEC 29109-1-2012
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com os formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 1. Metodologia generalizada para teste de conformidade
|
33
| GOST R ISO / IEC 29109-4-2015
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com os formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 4. Dados de imagem de impressão digital
|
34)
| GOST R ISO / IEC 29109-5-2013
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com os formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 5. Dados da imagem da face
|
35)
| GOST R ISO / IEC 29109-6-2016
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com os formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 6. Dados da imagem da íris
|
36
| GOST R ISO / IEC 29109-7-2016
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 7. Dados da dinâmica de assinatura
|
37)
| GOST R ISO / IEC 29109-8-2016
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com os formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 8. Dados da imagem de impressão digital - núcleo
|
38
| GOST R ISO / IEC 29109-9-2017
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com os formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 9. Dados da imagem do leito vascular
|
39
| GOST R ISO / IEC 29109-10-2017
| Tecnologia da informação. Biometria Metodologia de teste para conformidade com os formatos de troca de dados biométricos definidos no conjunto de normas ISO / IEC 19794. Parte 10. Dados de contorno da geometria da mão
|
40
| GOST R ISO / IEC 29794-1-2012
| Tecnologia da informação. Biometria A qualidade das amostras biométricas. Parte 1. Estrutura
|
41
| GOST R ISO / IEC 29141-2012
| Tecnologia da informação. Biometria Adquirindo dez imagens de impressão digital simultaneamente com o BioAPI
|
42
| GOST R 54412-2011 / ISO / IEC TR 24741: 2007
| Tecnologia da informação. Biometria Programa de Treinamento em Biometria
|
Como você pode ver, a lista é bastante extensa, mas não é só isso. Além das tecnologias biométricas, aplicam-se também as biométricas e os padrões para documentos de passaporte e visto legíveis por máquina, bem como cartões de identificação com dados biométricos. Não os forneceremos dentro da estrutura deste artigo; se você quiser se familiarizar com eles, tudo isso pode ser encontrado no site do TC 098.
Sobre os esclarecimentos de Roskomnadzor
Os esclarecimentos emitidos por Roskomnadzor que acabaram de levantar “... as questões de atribuir imagens de fotos e vídeos, dados de impressões digitais e outras informações a dados pessoais biométricos e os recursos de seu processamento.” Foram ignorados por muitos em vão. Ainda existem muitas perguntas, cujas respostas podem ser encontradas nas explicações sem se aprofundar nos GOSTs. Portanto, proponho mais uma vez examinar os pontos principais e que alguém se familiarize com eles pela primeira vez.
Com base na definição acima, no contexto da Lei Federal "Sobre Dados Pessoais", a atribuição de informações pessoais a dados pessoais biométricos e seu processamento subsequente devem ser consideradas como parte das atividades do operador que visam identificar uma pessoa específica, a menos que de outra forma previsto pelas leis federais e atos normativos adotados em suas bases.
Ou seja, se um usuário, por exemplo, coloca sua foto em algum avatar, não consideramos esses dados biométricos, porque de acordo com a imagem do perfil, não determinamos a identidade do usuário. No entanto, há casos em que uma fotografia é atribuída diretamente a dados pessoais biométricos.
“De acordo com o parágrafo 6 da lista de dados pessoais gravados em portadores de informações eletrônicas contidos nos principais documentos que comprovem a identidade de um cidadão da Federação Russa, segundo o qual os cidadãos da Federação Russa saem da Federação Russa e entram na Federação Russa, aprovados por uma resolução do Governo da Federação Russa em 4 de março de 2010 Nº 125, uma fotografia digital colorida da face do proprietário do documento são os dados pessoais biométricos do proprietário do documento. ”
Nos casos em que um passaporte é escaneado por um operador para confirmar que determinadas ações foram tomadas por uma pessoa específica, por exemplo, concluir um acordo sobre a prestação de serviços, incluindo serviços bancários, médicos, etc.) sem procedimentos de identificação (identificação), essas ações não podem ser consideradas processamento de dados pessoais biométricos e art. 11 da Lei Federal "Sobre Dados Pessoais" não é regulamentada. Dessa forma, o processamento das informações, nesses casos, é realizado de acordo com os requisitos gerais estabelecidos pela Lei Federal “Sobre Dados Pessoais”.
Imagens radiográficas ou fluorográficas que caracterizam as características fisiológicas e biológicas de uma pessoa e não estão incluídas no histórico médico do paciente (registro médico) (não importa, papel ou eletrônico) não são dados pessoais biométricos, pois não são usados pelo operador (instituição médica) para estabelecer a identidade do paciente . Mas, no caso de sua transferência, a pedido dos sujeitos das atividades de pesquisa operacional, organismos de investigação e investigação no âmbito dos eventos por eles realizados, esses dados se tornam dados pessoais biométricos, pois são usados pelos operadores - organismos de investigação e investigação para estabelecer a identidade de uma pessoa em particular. I.e. as informações médicas são transferidas para as autoridades investigadoras e ali elas já se tornam dados pessoais biométricos.
Uma abordagem semelhante deve ser seguida ao receber outras informações que possam ser atribuídas aos dados pessoais biométricos. Assim, se usarmos as informações que caracterizam as características fisiológicas e biológicas de uma pessoa para estabelecer uma personalidade, teremos biometria, caso contrário, será diferente.
O principal é que, no caso de processamento de dados pessoais biométricos, você deve se lembrar:
“De acordo com a Parte 1 do art. 11 da Lei Federal “Sobre Dados Pessoais”, o processamento de dados pessoais biométricos pode ser realizado apenas com o consentimento por escrito do sujeito dos dados pessoais. "
PS Aqui você pode baixar nosso Livro Branco sobre a Lei Federal nº 152 .Este é um livro que foi publicado para ajudar a eliminar confusões com relação ao processamento de dados pessoais e descrever claramente o processo de obtenção de informações pessoais IP de acordo com a lei russa. O tópico se desdobra do zero. Isso ajuda a atender às necessidades de uma ampla gama de leitores.