nº 990 - 24 de noviembre de 2022
¿Hacia nuevas restricciones en el uso de datos biométricos?
Marcos González Calvo. Abogado de Cuatrecasas
Debemos llamar la atención sobre las implicaciones que esta situación conlleva desde el punto de vista de la normativa de protección de datos personales
Un asesoramiento experto es más necesario que nunca si queremos disponer en nuestras empresas de un sistema que trate datos biométricos
El imparable avance de las nuevas tecnologías ha conllevado que estemos ya completamente familiarizados con que nuestros datos biométricos sean utilizados en nuestro día a día. Así, el reconocimiento facial para desbloquear nuestros teléfonos móviles o el uso de la huella digital para permitirnos entrar en nuestro lugar de trabajo son solo dos ejemplos de técnicas que, si bien no hace tanto tiempo nos parecían propias un futuro lejano, han pasado a ser ya completamente habituales en nuestros días.
A pesar de esta normalización en el uso de nuestros datos biométricos, debemos llamar la atención sobre las implicaciones que esta situación conlleva desde el punto de vista de la normativa de protección de datos personales y las nuevas orientaciones al respecto que desde el Comité Europeo de Protección de Datos (CEPD) se están impartiendo.
RGPD y AEPD
Los datos biométricos son incluidos por el Reglamento General de Protección de Datos (RGPD), dado su carácter sensible, dentro de las categorías especiales de datos personales –artículo 9 del RGPD–, que para poder ser tratados exigen la concurrencia de unos requisitos adicionales –siendo los más habituales (i) el consentimiento explícito del interesado o (ii) que el tratamiento sea «necesario» para el cumplimiento de obligaciones o el ejercicio de derechos previstos en la normativa laboral–.
Ahora bien, la Agencia Española de Protección de Datos (AEPD) ha venido diferenciando hasta el momento dos tipos de tratamiento de datos biométricos: (i) aquellos supuestos en los que se identifica a un individuo comparando sus datos con los del resto de individuos de un grupo –»identificación»– y (ii) aquellos supuestos en que se comparan los datos del individuo únicamente con los datos previamente recopilados de esa persona –»autenticación»–. Este último sería el caso, por ejemplo, de los sistemas de acceso en los que se compara la huella digital de un trabajador con la huella contenida en una tarjeta en poder exclusivo del trabajador.
Pues bien, la AEPD ha venido considerando únicamente como tratamiento de categorías especiales de datos personales las técnicas basadas en la identificación, pero no las basadas en la autenticación, por lo que estos últimos tratamientos, a juicio de la AEPD, se podían llevar a cabo siempre que se diese alguno de los supuestos contenidos en el artículo 6.1 del RGPD, mucho más asequibles que los exigidos para los tratamientos de categorías especiales de datos personales.
Interpretación del CEPD
Sin embargo, el CEPD ha publicado recientemente las Directrices 05/2022 sobre el uso de técnicas de reconocimiento facial en el ámbito de la aplicación de la ley, en las que se ha pronunciado en el sentido de que tanto los supuestos de identificación como de autenticación mediante el uso de datos biométricos siempre van a suponer un tratamiento de categorías especiales de datos personales.
Las implicaciones de esta interpretación que ahora ha llevado a cabo el CEPD son de gran relevancia ya que supone que para poder llevar a cabo cualquier tratamiento de datos biométricos –tanto identificación como autenticación– se exige la concurrencia no solo de alguno de los supuestos recogidos en el artículo 6.1 del RGPD, sino también de alguna de las circunstancias previstas el artículo 9.2 del RGPD.
A la vista de esta discrepancia entre la AEPD y el CEPD, se espera que la AEPD, como ya hizo en su momento en materia de cookies, matice en un breve período de tiempo su postura para unificar criterios con el CEPD, asumiendo también el criterio más restrictivo que este ahora mantiene.
En cualquier caso, este nuevo enfoque manifestado por el CEPD obliga a las empresas a revisar los sistemas mediante los que hoy en día tratan datos biométricos para garantizar que dicho tratamiento tiene base legal y cumple con los principios del RGPD y que, por tanto, no pueden ser objeto de sanción por la AEPD.
Especialmente relevante será este cambio, por ejemplo, para aquellas empresas que utilizan un sistema de identificación biométrica para el acceso a sus instalaciones y, especialmente, la llevanza del registro horario, ya que parece muy complicado que puedan basarse para dicho tratamiento en alguno de los supuestos que prevé artículo 9.2 del RGPD. Y ello, dado que conforme a la postura reiterada de la AEPD y el CEPD el consentimiento no puede entenderse libremente emitido en el ámbito de un contrato laboral y tampoco está prevista en la legislación laboral la necesidad de acudir a estos sistemas de uso de datos biométricos para la llevanza del registro horario, existiendo, además, otros sistemas menos intrusivos para los interesados.
Si a esto le añadimos el resto de las obligaciones que el tratamiento de datos biométricos exige –por ejemplo, la previa realización de una evaluación de impacto–, parece claro que un asesoramiento experto es más necesario que nunca si queremos disponer en nuestras empresas de un sistema que trate datos biométricos. ■