Biometría y protección de datos

La confrontación entre la Normativa de protección de datos y las técnicas de biometría, son protagonistas de consultas por parte de nuestros clientes en nuestra sede en Valencia.

Y no es de extrañar pues este tipo de datos nos identifica de manera inequívoca y la proliferación de sistema biométricos en empresas precisa de un análisis sobre las implicaciones que tiene con la Normativa de protección de datos europea (RGPD) y española (LOPD-GDD) que son las actualmente vigentes en nuestro pais para cualquier entidad o profesional.

Definición de dato biométrico por la Normativa de protección de datos

El artículo 4.14 del RGPD define los datos biométricos como los datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Categoría especial de datos

El marco normativo en materia de protección de datos, da una especial atención a cierto tipo de datos, en donde se considera que la garantía y protección de estos debe ser más elevada por los riesgos que implica que éstos sean vulnerados y se generen afectaciones a los derechos y libertades de las personas.

Los artículos 9 del RGPD y 9 de la LOPDGDD determinan que este tipo de datos, denominados de “categoría especial de datos, queda prohibido el tratamiento de datos personales de este tipo, con carácter general.

La razón por la cual el tratamiento de estos datos se califica de “especial” es porque la vulneración de estos implicaría para el interesado la afectación de sus derechos y libertades fundamentales, tales como la intimidad personal y familiar, el honor, la libertad religiosa, preferencias, no discriminación….en definitiva, el respeto y garantía de la dignidad humana.

¿Cuándo se pueden tratar estos datos?

Sin embargo, el tratamiento estará permitido siempre y cuando se cuente con el consentimiento expreso del interesado, sea necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable o del interesado en el ámbito laboral, seguridad y protección social, se protejan intereses vitales del interesado, los datos sean público por voluntad del interesado, razones de interés público, fines de medicina preventiva, razones de interés público en el ámbito de la salud pública, o el tratamiento sea para fines de investigación científica, histórica o estadísticos.

El reconocimiento facial como tratamiento de dato biométrico

Las imágenes faciales son consideradas datos biométricos, pues nuestra cara nos distingue del resto de las personas, teniendo características propias que nos identifican y nos hacen únicos.

Como en todo tratamiento, es muy importante definir la finalidad de este para encuadrar el tratamiento dentro de la legalidad.

El uso de técnicas que impliquen tratamiento de datos biométricos, como es el reconocimiento facial, es importante definir si es con fines de identificación o de autenticación, pues son dos cosas distintas.

El Grupo de Trabajo del Artículo 29, (órgano consultivo independiente de la UE en materia de protección de datos), establece la diferencia entre ambas definiciones:

La identificación: es el proceso de comparación del dato biométrico utilizado por una persona en un sistema biométrico, con plantillas biométricas almacenadas en una base de datos, por el cual se realiza una búsqueda de correspondencia uno-a-varios.  

La autenticación: es el proceso de comparación del dato biométrico utilizado por una persona, con una única plantilla biométrica almacenada en un dispositivo por el cual se realiza una búsqueda de correspondencia uno- a-uno.

La Agencia española de protección de datos (AEPD)

la AEPD considera que con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos, en los supuestos de identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).

Para estar en disposición de decidir si se utiliza el reconocimiento facial como sistema de identificación, es necesario atender al principio de responsabilidad proactiva del responsable del tratamiento, llevando a cabo el correspondiente análisis de riesgos, con fundamento en el artículo 24 del RGPD, que finalmente integrará la evaluación de impacto, establecida en el artículo 28.1 de la LOPD-GDD.

Del mismo modo, el principio de minimización de los datos debe ser respetado de acuerdo con la finalidad que se persigue.

Cabe señalar que hace apenas unos días, la AEPD publicó un listado de equívocos comunes relacionados con la técnicas de identificación y autenticación biométrica, en donde se aclaran algunas cuestiones relacionadas con la intrusión del uso de este tipo de técnica, su precisión (cuestionada debido a las características que cada persona pueda tener en su rostro, a consecuencia de un accidente de tráfico, de su raza o de una enfermedad), así como las posibilidades de ser vulnerados los sistemas, señalando que éstos no son absolutos.

Reconocimiento facial en la entrada de supermercados en Valencia

Hace unos días saltó a los medios la noticia que Mercadona ha puesto en marcha un sistema de reconocimiento facial a la entrada de sus establecimientos, con la finalidad de identificar a personas con sentencias firmes o medidas cautelares de alejamiento a sus supermercados o a sus trabajadores.

Las dudas sobre si las imágenes serán guardadas por el software de la compañía que brinda el servicio, así como cuál es la procedencia de la base de datos sobre la cual contrastarán los datos, están sobre la mesa.

También unas cuestiones a reflexionar recaen sobre la finalidad de esta medida por parte de la compañía valenciana, así como si la misma cumple con todos los requisitos legales debido a que se tratan datos de categoría especial.

Estas dudas no sólo surgen en la ciudadanía, sino que la propia AEPD ha iniciado una investigación de oficio sobre este asunto, la cual se encuentra iniciada, según información publicada en los medios.

Cuidado con las sanciones por datos de categoría especial

Es importante tener en cuenta que existe la posibilidad de sufrir sanciones cuando no se garantiza la protección de los datos personales, siendo aplicable lo dispuesto en el artículo 84.5 del RGPD, con multas que pueden ascender a 20 millones de euros o una cuantía equivalente al 4 % del volumen de negocio anual, lo que sea mayor.

Si tiene su entidad ha instalado sistemas técnicos que recojan datos biométricos, o está pensando implantarlos, le sugerimos se ponga en contacto con nosotros para recibir una asesoría integral sobre protección de datos.

Contacte con nosotros aquí