Deshaciendo mitos sobre el tratamiento de datos biométricos

La proliferación del uso de la tecnología de reconocimiento facial para la identificación y acceso a ciertos servicios o actividades en empresas, y centros educativos, viene desde hace tiempo siendo objeto de polémica por distintos motivos, y tiene importantes implicaciones desde el punto de vista de la protección de datos.

Recientemente Mercadona fue noticia por anunciar en Twitter el uso de sistemas de reconocimiento facial (sólo en algunos centros) para identificar la entrada en sus establecimientos de personas con orden de alejamiento, mediante sentencia firme, contra sus trabajadoras o trabajadores. Otras entidades, como CaixaBank, ofrecen a sus clientes la tecnología de reconocimiento facial para retirar dinero “de forma más rápida y segura” en sus cajeros. Y por último, algunos centros educativos, a raíz de la crisis sanitaria provocada por la COVID-19, han implementado el reconocimiento facial para realizar exámenes online.

Ha sido la Autoridad de Protección de Datos Sueca (Datainspektionen), la primera en Europa que ha sancionado a un centro educativo por usar esta tecnología para el control de asistencia a clase de sus alumnos, al considerar que era una medida inadecuada y desproporcionada para esa finalidad.

Pero ¿Qué se entiende por datos biométricos?

El Reglamento General de Protección de Datos (en adelante, RGPD) en su art. 4 señala que los “datos biométricos” son: “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Conviene también recordar que estamos ante categorías especiales de datos, a tenor de lo dispuestos en el art. 9 del RGPD, y para levantar la prohibición genérica de su tratamiento, contemplada en su apartado primero, es necesario que concurra alguna de las circunstancias del apartado segundo del citado artículo.

Y a pesar de las enormes ventajas de ésta tecnología, por ejemplo, en materia de seguridad ciudadana o policía de control de fronteras, la tecnología de reconocimiento facial presenta algunos riesgos que no debemos pasar por alto, sobre todo, ante la posibilidad de fallos o “burla” en los procesos de reconocimiento que ya han dado lugar a conocidas situaciones de discriminación, sesgos o suplantación de identidad, con consecuencias graves en términos de riesgo para los derechos y libertades de los afectados.

Algunas aclaraciones sobre los tratamientos con datos biométricos

En este contexto, la AEPD ha realizado diversas consideraciones de gran interés en esta materia, por ejemplo, en su informe 36/2020 sobre “reconocimiento facial para la realización de pruebas de evaluación online” donde señalaba, con ocasión del tratamiento de datos biométricos realizado durante el estado de alarma por las universidades, que:

  • Los sistemas de reconocimiento facial con fines de identificación biométrica implican el tratamiento de categorías especiales de datos.

  • El informe jurídico señala que el consentimiento del alumno podría habilitar el tratamiento de sus datos biométricos, siempre que se den los requisitos del art. 4.11 del RGPD (manifestación de voluntad libre, inequívoca e infomada). En este caso, el consentimiento del alumno sólo puede considerarse libre y, por tanto, legitimar el tratamiento, cuando se hayan ofrecido otras alternativas equiparables en cuanto a duración y dificultad a las que se realicen mediante el empleo del reconocimiento facial.

  • Asimismo, si se optase por basar en el interés público esencial (al amparo del art. 9.2.g RGPD) el tratamiento de datos biométricos de los alumnos, se requeriría de una norma con rango de ley que estableciera la medida y su alcance, mediante la definición de los supuestos, y las garantías técnicas y organizativas adecuadas, para aplicar estos tratamientos. Además, la ley deberá respetar el principio de proporcionalidad.

Y también es importante destacar el contenido de la última publicación de la AEPD (junio 2020), en colaboración con el Supervisor Europeo de Protección de Datos, en forma de lista de equívocos relacionados con el uso de la biometría, y sus implicaciones desde el punto de vista de la protección de datos personales.

De los equívocos del listado destacaríamos los siguientes:

  • El uso de datos biométricos es igual de intrusivo que cualquier otro sistema de identificación”. El informe de la AEPD señala que el tratamiento de datos biométricos permite obtener más información personal del sujeto (sexo, estado emocional, enfermedades, etc…) que otros procedimientos de identificación como los certificados.

  • El proceso de identificación biométrica no se puede burlar”.

  • La identificación biométrica no está expuesta”. La mayor parte de características biométricas de una persona están expuestas y se pueden capturar a distancia.

  • La autenticación biométrica es fuerte”. Se señala que por definición es un procedimiento de autenticación débil frente a otros como el uso de tarjeta y contraseña.

Como vemos, a raíz de las aclaraciones realizadas por la Agencia, los sistemas de identificación mediante tratamiento biométrico de datos para la identificación de personas (bien con imágenes faciales o datos dactiloscópicos) no son tan seguros ni efectivos como normalmente se piensa cuando se apuesta por ellos.

A modo de conclusión

Nada intrínsecamente malo hay en la utilización de esta y otras tecnologías que permiten innovar a las empresas, y facilitar el acceso a servicios o actividades a miles de personas. No obstante, es necesario que el responsable se informe bien sobre las características del tratamiento, y evaluar todas las alternativas bajo el principio de prudencia. Como hemos visto, el tratamiento de datos biométricos que se produce con la tecnología de reconocimiento facial, es considerado un tratamiento de alto impacto en los derechos del interesado que va a requerir la adopción de medidas de responsabilidad proactiva en cumplimiento del RGPD, entre otras, el análisis de riesgo, y la evaluación de impacto en protección de datos, y de ser necesario, la consulta previa a la autoridad de control, todo ello para garantizar el respeto de los derechos fundamentales del interesado.

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *