Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Datos biométricos

Imagine ir al supermercado sin preocuparse por llevar dinero en efectivo, tarjetas o el teléfono móvil. Gracias a la tecnología biométrica, podría pagar con solo colocar la palma de su mano sobre un lector.

Amazon ha desarrollado un sistema de tecnología biométrica –conocido como AMAZON ONE– que emplea algoritmos avanzados de visión computacional para capturar, analizar y encriptar la imagen de la palma de la mano, convirtiéndola en una firma única para el usuario al realizar pagos.

Si Amazon quisiera establecer dicho sistema en la Unión Europea, enfrentaría desafíos significativos, considerando que existen alternativas menos intrusivos, como tarjetas bancarias o pagos móviles, sin olvidar el efectivo.

El tratamiento de datos biométricos requiere una Evaluación de Impacto para la Protección de Datos (EIPD). Al evaluar los riesgos asociados al tratamiento, se deben considerar factores como:

  • Categorías y número de sujetos afectados.
  • Volumen de parámetros biométricos utilizados.
  • Extensión geográfica.
  • Frecuencia con la que se recogen los datos biométricos.
  • Duración de las operaciones de tratamiento.
  • Plazos de conservación de los datos.

De acuerdo con el principio de responsabilidad proactiva (artículo 5.2 del RGPD), el responsable del tratamiento debe ser capaz no solo de demostrar la superación de la EIPD, sino también de aportar toda la documentación generada con ocasión de su realización, así como la justificación de los resultados obtenidos y de las medidas técnicas y organizativas adoptadas. También se debe incluir la documentación relativa a la participación del delegado de protección de datos, en su caso. Además, será obligatoria la consulta previa a la autoridad de control cuando el responsable no haya adoptado medidas que permitan mitigar el riesgo, tal como exige el artículo 36 del RGPD.

No realizar una EIPD cuando es requerida es sancionable; por ejemplo, la AEPD impuso una multa de 20.000 € en el procedimiento PS/00010/2021. Una de los más recientes, fue la multa de 10.043.002 € a AENA por su programa de embarque biométrico (PS/00431/2024).

Pronunciamientos de la AEPD sobre el uso de datos biométricos

Las entidades bancarias se plantearon extender el tratamiento de datos biométricos de forma masiva a todos los clientes para su identificación.

Las entidades proponían el tratamiento de datos de reconocimiento facial en el momento del alta de nuevos clientes, ya fuera en una oficina o a través de un canal en línea, con el objetivo de verificar su identidad y realizar las comprobaciones necesarias para la prevención del blanqueo de capitales, la financiación del terrorismo y el control del fraude. La AEPD se pronunció en contra deL proyecto en su Informe 47/2021.

La respuesta de la AEPD al proyecto de las entidades bancarias fue contundente: «La propuesta de tratamiento de datos basado en el reconocimiento facial con multas de identificación, en el marco de la Ley de Prevención del Blanqueo de Capitales y de la Financiación del Terrorismo, no está autorizada de acuerdo con el artículo 9.2.g) del RGPD, carece de base de legitimación al amparo del artículo 6.1 del mismo y vulnera los principios de necesidad, proporcionalidad y minimización».

La AEPD recuerda a las entidades bancarias que, a efectos de identificación de los clientes, el «DNI es un documento público y oficial con suficiente valor por sí solo para acreditar la identidad y los datos personales de su titular». De ello se desprende que ni las Fuerzas y Cuerpos de Seguridad del Estado disponen de bases de datos masivos con información biométrica de reconocimiento facial como la contemplada en el proyecto.

La AEPD remarca en su informe el carácter voluntario de la medida, es decir, que el afectado ha de consentir el tratamiento de sus datos biométricos para finalidades concretas sobre una base jurídica que ampare la operación de tratamiento. En caso contrario, el tratamiento será ilícito.

Otro caso sonado sobre el tratamiento de datos biométricos fue el de Mercadona.

En el año 2020, Mercadona puso en marcha en varios de sus supermercados una red de cámaras de videovigilancia dotadas de un sistema de reconocimiento facial. El fin era identificar a personas con sentencias firmes y órdenes de alejamiento en vigor contra Mercadona o alguno de sus trabajadores. La AEPD fue tajante al respecto, imponiendo una multa a Mercadona de 2.520.000 € (PS/00120/2021).

La AEPD en su Informe 31/2019 explica que «los tratamientos de videovigilancia regulados en la LOPDGDD y en la Ley de Seguridad Privada se refieren exclusivamente a la captación y grabación de imágenes y sonidos, pero no incluyen los tratamientos de reconocimiento facial, ya que estos constituyen un tratamiento radicalmente distinto al incorporar un dato biométrico». Asimismo, nos advierte que «la regulación actual se considera insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por la seguridad privada, siendo necesario aprobar una norma con rango de ley que justifique específicamente en qué medida y en qué supuestos la utilización de dichos sistemas respondería a un interés público esencial».

No se trata de los únicos pronunciamientos de la AEPD.

En el Informe 10308/2019, se pronuncia sobre la licitud de incorporar sistemas de reconocimiento facial en los servicios de videovigilancia ofrecidos por empresas de seguridad privada.

En el Informe 368/2006 se pronuncia sobre un sistema de control destinado a gestionar las ausencias y retrasos del alumno de un colegio mediante la obtención de su huella dactilar y en el Informe 36/2020, analiza el uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación en línea.

En el ámbito universitario, la Universitat Internacional Valenciana pretendía implantar un sistema de monitorización a distancia que implicaba —de forma obligatoria y sin alternativa para el alumnado— el uso de tecnología biométrica de reconocimiento facial y doble cámara (monitorización 360°) para evitar suplantaciones y fraudes en las evaluaciones en línea. Dicho sistema realizaba una verificación continua basada en datos biométricos, mediante patrones faciales generados y eliminados cada pocos segundos. También incluía la monitorización del escritorio (captura de pantalla, detección de programas, periféricos conectados, etc.)

La EIPD reconocía que el tratamiento suponía un riesgo muy alto para los derechos y libertades de las personas afectadas. Para minimizar ese riesgo, los datos tratados se seudonimizaban y se eliminaban rápidamente.

En cuanto a las bases jurídicas, la UIV alegaba contar con el consentimiento del alumno, otorgado al matricularse y aceptar las condiciones generales, además de invocar un supuesto interés público esencial en la lucha contra el fraude académico. Los datos tratados constituyen datos de categoría especial, conforme al artículo 9 del RGPD. Dicho precepto establece una prohibición general del tratamiento de este tipo de datos, salvo que concurra alguna de las circunstancias excepcionales previstas en el apartado 2 del mismo artículo. 

El consentimiento otorgado en la fase precontractual —ya sea al consultar las condiciones generales, formalizar la matrícula, registrar la imagen en el software utilizado o instalar la aplicación— no se considera válido, ya que no se ofrece una alternativa real y efectiva al alumnado. El software empleado era el único método permitido para realizar los exámenes en línea, de modo que rechazar su uso suponía perder el derecho a la evaluación. La AEPD no admite como válido el consentimiento derivado de la aceptación obligatoria de las condiciones generales de matrícula.

La AEPD también descarta la existencia de una base de legitimación por interés público esencial (art. 9.2.g del RGPD), dado que actualmente no existe una ley nacional específica en el ámbito educativo universitario que habilite expresamente a las universidades a realizar tratamientos biométricos en el contexto de exámenes a distancia. Sería necesaria una norma con rango de ley que —como exigen las STC 292/2000 y 76/2019, así como la jurisprudencia del TEDH— determine los supuestos, condiciones y garantías bajo las que puede llevarse a cabo este tratamiento. Según la AEPD, dicha norma debería reconocer explícitamente la prevención del fraude académico como un interés público esencial.

No obstante, la resolución no cierra la puerta al uso futuro de sistemas de identificación biométrica o de inteligencia artificial en el ámbito educativo para prevenir el fraude, siempre que se adopten las garantías adecuadas. 

La Autoridad Catalana de Protección de Datos sancionó a la Universitat Oberta de Catalunya (UOC) con una multa de 20.000 € por utilizar el reconocimiento facial en los exámenes a distancia de sus estudiantes. La sanción se impuso tras las denuncias de varios alumnos entre 2021 y 2022, quienes afirmaron que, durante las pruebas, se les obligaba a tomarse una fotografía para ser identificados por la universidad. La multa fue recurrida, pero el Juzgado de lo Contencioso-Administrativo nº 10 de Barcelona confirmó la sanción.

La utilización de datos biométricos también se ha planteado en el ámbito laboral para el control de los trabajadores La AEPD establece los criterios para la utilización de la biometría en dicho ámbito en su Guía sobre tratamientos de control de presencia mediante sistemas biométricos.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es