Área clientes Área clientes
Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Datos biométricos

Recientemente, Amazon ha anunciado que pondrá en funcionamiento un sistema de reconocimiento biométrico en sesenta y cinco de sus establecimientos de Malibú, Santa Mónica, Los Ángeles, Santa Cruz y el Área de la Bahía, donde el usuario usará la palma de su mano para pagar sus compras

Amazon One

El sistema de tecnología biométrica –que se conoce como AMAZON ONEutiliza algoritmos de visión computacional para capturar y encriptar la imagen de la palma de la mano que pasa a ser la firma del usuario a la hora de pagar sus compras.

Si Amazon quisiera imponer dicho sistema en los Estados miembros del Espacio Económico Europeo se advierte complicado, pues no hay una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad, aparte de que existen alternativas menos invasivas para los afectados como el uso de tarjetas bancarias o el pago con el móvil (Bizum, Apple Pay, etc.). 

Evaluación de riesgos y garantías adicionales

El uso de datos biométricos requiere superar favorablemente una Evaluación de Impacto para la Protección de Datos (EIPD) que incluya y también supere el triple juicio de idoneidad, necesidad y proporcionalidad estricta establecido en el artículo 35.7.b) del RGPD.

A la hora de evaluar los riesgos asociados a las operaciones de tratamiento de datos biométricos tendremos que tener en cuenta, entre otros factores, los siguientes:

  • Categorías y número de sujetos afectados.
  • Volumen de parámetros biométricos utilizados.
  • Extensión geográfica.
  • Frecuencia con la que se recogen los datos biométricos.
  • Duración de las operaciones de tratamiento.
  • Plazos de conservación de los datos.

Si el tratamiento tiene efectos jurídicos en el interesado o le afecta significativamente, el artículo 22 del RGPD establece la imposición de garantías adicionales para salvaguardar los derechos y libertades y los intereses legítimos de los interesados. Una de esas garantías puede ser la intervención humana en las operaciones de tratamiento o el derecho del interesado a expresar su punto de vista e impugnar el tratamiento.

De acuerdo con el principio de responsabilidad proactiva (art. 5.2 del RGPD) el responsable del tratamiento debe ser capaz no sólo de demostrar la superación de la EIPD, sino también de aportar toda la documentación elaborada con ocasión de la realización de la EIPD y justificativa de los resultados obtenidos en la EIPD y de las medidas, organizativas, jurídicas y técnicas, adoptadas al respecto. También se ha de incluir la documentación relativa a la participación del Delegado de Protección de Datos en caso en que estuviera nombrado. Además, será obligatoria la consulta previa a la autoridad de control en caso de que el responsable no haya adoptado medidas que permitan mitigar el riesgo, tal y como se exige en el artículo 36 del RGPD.

No realizar una EIPD cuando procede es sancionable (la AEPD impuso una multa de 20.000 € en el PS/00010/2021). 

Pronunciamientos de la AEPD sobre el uso de datos biométricos

Las entidades bancarias se plantearon extender el tratamiento de datos biométricos de forma masiva a todos los clientes para su identificación, y hacerlo de forma obligatoria, si se querían acceder a sus servicios. Dichas entidades planteaban el tratamiento de datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad, y así realizar las verificaciones oportunas de prevención del blanqueo de capitales y de la financiación del terrorismo, así como del control del fraude. La AEPD se pronunció en contra de tal proyecto en su Informe 47/2021.

La respuesta de la AEPD al proyecto de las entidades bancarias fue contundente: «La propuesta de tratamiento de datos basados en el reconocimiento facial con fines de identificación en el marco de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo no está autorizada de acuerdo con el artículo 9.2.g) del RGPD, carece de base de legitimación al amparo del artículo 6.1 del mismo y es contraria a los principios de necesidad, proporcionalidad y minimización».

La AEPD recuerda a las entidades bancarias que, a efecto de identificación de los clientes, el «DNI es un documento público y oficial con suficiente valor por sí solo para la acreditación de la identidad y de los datos personales de su titular, de lo que se desprende que ni siquiera las Fuerzas y Cuerpos de Seguridad del Estado disponen de información de datos identificativos a gran escala basado en datos biométricos de reconocimiento facial contemplada en el proyecto».

La AEPD remarca en su informe el carácter voluntario de la medida, es decir, que el afectado ha de consentir el tratamiento de sus datos biométricos para finalidades concretas sobre una base jurídica que ampare la operación de tratamiento. En caso contrario, el tratamiento será ilícito.

Un caso muy sonado sobre tratamiento de datos biométricos fue el de Mercadona.

En el año 2020, Mercadona puso en marcha en varios de sus supermercados una red de cámaras de videovigilancia dotadas de un sistema de reconocimiento facial. El fin era identificar a personas con sentencias firmes y órdenes de alejamiento en vigor contra Mercadona o alguno de sus trabajadores. La AEPD fue tajante al respecto, imponiendo una multa a Mercadona de 2.520.000 € (PS/00120/2021).

La AEPD explica en su Informe 31/2019 que: «Los tratamientos de videovigilancia regulados en la LOPDGDD y en la Ley de Seguridad Privada, se refieren exclusivamente a los tratamientos dirigidos a captar y grabar imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial, que es un tratamiento radicalmente distinto al incorporar un dato biométrico». La AEPD advierte que: «La regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, siendo necesario que se aprobara una norma con rango de ley que justificara específicamente en qué medida y en qué supuestos, la utilización de dichos sistemas respondería a un interés público esencial».

No son los únicos pronunciamientos de la AEPD.

En su Informe 10308/2019 el Gabinete Jurídico de la AEPD se pronuncia sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia proporcionados por empresas de seguridad privada, en el Informe 36/2020 se pronuncia sobre la utilización del reconocimiento facial para realizar exámenes y en el informe 368/2006 sobre un sistema de control para gestionar las ausencias y retrasos de los alumnos de un colegio basado en la obtención de su huella dactilar.

El uso de los datos biométricos se ha planteado, también, en el ámbito laboral para el control de los trabajadores, por ejemplo, en el control de accesos. La AEPD fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales en la Guía sobre tratamientos de control de presencia mediante sistemas biométricos.

Índice de artículos
error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).