nº 1.003 - 30 de enero de 2024
Biometría, renovarse o morir
Marta Seminario. Consultora legal de Servicios de Protección de Datos y Propiedad Industrial/Intelectual en Castroalonso
Hasta hace pocos años solo éramos conscientes del uso de las huellas dactilares en el momento de renovar nuestro DNI
La AEPD es siempre constante en advertir la necesidad de realizar una Evaluación de Impacto para la Protección de Datos
En los últimos meses nos hemos encontrado con diferentes noticias, recomendaciones o guías, que están en contra del uso de datos biométricos o, mejor dicho, que imponen ciertas restricciones que hace cada vez más complicada la posibilidad de implantar este tipo de tecnologías para el registro de jornada y control de acceso laboral.
Y este cambio, ¿tiene una razón de ser? Para aquellas empresas o establecimientos que hayan invertido en implantar tecnologías con lectores de huella dactilar o reconocimiento facial, probablemente no. Ahora bien, pensemos. Hasta hace pocos años solo éramos conscientes del uso de las huellas dactilares en el momento de renovar nuestro DNI o mientras disfrutábamos de la serie CSI: Las Vegas,dónde el malo siempre las dejaba listas para ser cotejadas.
Series policiacas aparte, seamos conscientes de nuestro día a día: desbloqueamos nuestro móvil con la huella o con nuestro rostro, accedemos a nuestro banco con el mismo sistema, autenticamos las compras que hacemos por internet de igual modo, registramos nuestra jornada laboral con nuestra huella; y, aún más, en algunos casos si queremos acceder a nuestro gimnasio o centro deportivo de referencia también utilizamos nuestro rostro o nuestra huella dactilar. ¿Demasiada huella en demasiados sitios?
Datos de categoría especiales recogidos en el RGPD
Como bien sabemos, los datos biométricos están considerados datos de categoría especiales recogidos en el RGPD. Esto implicaría que el tratamiento de éstos estaría prohibido conforme a lo establecido en el propio Reglamento. Su prohibición sólo podría ser levantada si se basa en alguna de las circunstancias del punto 2 del artículo 9 del RGPD, pero no sólo basta con una circunstancia, sino que además tendrá que darse una condición que lo legitime.
No obstante, la AEPD reconocía, y fíjense que digo «reconocía», ciertas diferencias a la hora de considerar como datos de categorías especiales los datos tratados, en función de las tecnologías utilizadas, esto es, si se trata de identificación biométrica o verificación/autenticación biométrica.
¿Y que significa esto exactamente? Pues bien, el Grupo de Trabajo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, nos explica que la identificación biométrica consiste en:
«Identificar sus datos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios)».
En el caso de verificación/autenticación biométrica, es:
«El proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
En este sentido, sólo tendrán la consideración de categoría especial de datos, en los supuestos de identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).
¿Les suena aquel refrán popular que dice: «Donde dije digo, digo Diego»?, pues eso, que dónde antes se permitía el tratamiento de datos biométricos en relación con el criterio de autenticación, ahora la cosa cambia.
Y es que la AEPD publicó el pasado 23 de noviembre del 2023, una nueva guía sobre la utilización de datos biométricos para el control de presencia y acceso laboral, y en ella se establece «que tanto la autenticación, como la identificación, están relacionadas con el tratamiento de datos biométricos lo que supone tratar datos de categorías especiales».
Aquellas empresas que tengan establecido un sistema de acceso basados en la autenticación deberán ahora buscar una base de legitimación que levante la prohibición de tratamiento. O con la existencia de una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad (que actualmente no existe) o con el consentimiento expreso. Y en este último caso la AEPD lo deja claro: «el consentimiento no puede levantar la prohibición o ser una base para determinar la licitud de este, al existir un desequilibrio entre la persona a la que se somete al tratamiento y quien lo está llevando a cabo».
En lo que la AEPD es siempre constante es en advertir la necesidad de realizar, en el caso de pretender captar datos biométricos de forma previa al inicio del tratamiento, una evaluación de Impacto para la Protección de Datos en la que se analice la idoneidad, necesidad y proporcionalidad del tratamiento.
¿Pero se puede o no se pueden tratar datos biométricos? No hay una prohibición expresa, pero no nos cabe duda de que antes de «morir», muchos, lucharán por «renovarse». ■