En un mundo cada día más digitalizado es preciso que el tratamiento de los datos personales de los ciudadanos se haga de forma responsable, garantizando en todo momento el derecho a la protección de los datos personales. Tenemos que tener muy presente que debemos ser aún más cautelosos cuando los datos que se tratan son datos biométricos.

En este sentido, la AEPD se ha pronunciado desfavorablemente en su reciente informe al proyecto de una entidad bancaria. Esta pretendía usar los datos biométricos como medio de autenticación de sus clientes para realizar las operaciones bancarias. En este post resumiremos porqué la autoridad de control española ha llegado a esta conclusión.

 

¿Que es un dato biométrico? Procesos de identificación y autenticación/verificación

 

El Reglamento General de Protección de Datos, RGPD, define en su artículo 4.14 los datos biométricos como: “Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Por lo tanto, se requiere de un tratamiento técnico específico sobre los datos personales que permita identificar a una persona.

Los datos biométricos son considerados, además, como categorías especiales de datos, con lo que en el artículo 9 del RGPD se establece la prohibición general del tratamiento de este tipo de datos.

En el informe analizado por la AEPD, una entidad bancaria pretendía utilizar el reconocimiento facial (dato biométrico) con la finalidad de identificar a una persona física en el momento de crear una cuenta en el banco o hacer gestiones bancarias. La entidad bancaria alegaba su necesidad en base al cumplimiento del deber de identificación establecido en la normativa sobre prevención del blanqueo de capitales y financiación del terrorismo.

¿Cuál sería el método utilizado por la entidad bancaria para realizar el reconocimiento facial?

 

La entidad bancaria realizaría un proceso de identificación biométrica. Este método consiste en reconocer a un individuo particular entre un grupo, comparando los datos a identificar con los datos de cada individuo del grupo, es decir de uno a varios.

Este proceso es diferente del de verificación/autenticación. Consiste en un proceso de comparación entre sus datos biométricos, aquellos que se obtienen en el momento de la verificación, con una única plantilla almacenada en un dispositivo, es decir, de uno a uno.

En principio, según el Comité Europeo, los datos biométricos, solamente tendrán la consideración de categorías especiales de datos en los supuestos en que se utilice el tratamiento técnico dirigido a la identificación biométrica de uno a varios. Aunque la AEPD en su informe determina que habrá que atender a cada caso concreto.

Excepciones a la prohibición general del uso de datos biométricos

 

En el artículo 9.2 del RGPD se regulan las excepciones a la prohibición general del tratamiento de los datos de categorías especiales, entre los que se encuentran los datos biométricos.

Estas excepciones fueron alegadas por la entidad bancaria para poder legitimar el uso de los datos biométricos de sus clientes. Sin embargo, la AEPD en su informe las descarta como válidas. Los motivo que alegó la AEPD fueron dos. El primero la excepción basada en el consentimiento, y el segundo la excepción basada en raznes de un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros.

 

Excepción basada en el consentimiento

 

No se puede fundamentar. No es una base jurídica adecuada, ya que, al tratarse de categorías especiales de datos, depende que los clientes autoricen esos tratamientos, por lo que un consentimiento obligatorio sería ilícito al condicionar la prestación de servicios al consentimiento. Este consentimiento no cumpliría con los requisitos necesarios para su obtención, pues no se puede garantizar que se haga de forma libre y voluntaria por el cliente.

 

 

Excepción basada en razones de un interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros

 

La AEPD en su informe manifiesta que no era posible legitimarlo en esta excepción ya que ésta implica la existencia de una norma con rango de ley que especifique el interés público esencial y que respete en todo caso el principio de proporcionalidad. Con esto se pretendía amparar, ese interés público esencial, en la obligación de identificación impuesta en la Ley 10/2010 de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo. La AEPD no lo ha estimado favorable, puesto que en la citada norma no se ha previsto el uso de datos biométricos como una medida proporcional para la identificación de las personas físicas. En el artículo 3 de la citada Ley hace referencia a la identificación formal a través de documentos fehacientes, siendo uno de ellos el Documento Nacional de Identidad.

Conclusión

El uso de los datos biométricos por parte de responsables y encargados de tratamiento debe llevarse a cabo con todo tipo de cautelas y garantías para el interesado. El conocimiento y la formación en materia de protección de datos resulta imprescindible para abordar con éxito la implantación de sistemas que pretendan recoger datos biométricos y cumplan con los requisitos legales establecidos. Si quieres formarte en el cumplimiento del RGPD y la LOPDGDD, accede a los cursos online de Experto en el RGPD y Experto en la LOPDPGDD. Con estos cursos podrás profundizar en el conocimiento de estas dos importantes normas que regulan el tratamiento de datos personales.

Inscríbete a nuestra newsletter y recibirás gratuitamente la guía “Las 5 claves imprescindibles para gestionar una brecha de seguridad”

Elaborada por Julio César Miguel, DPO Certificado nº CP-X3-0038/2018.

Términos y condiciones

Has sido añadido a nuestra newsletter