La protección de datos en la identificación biométrica
La protección de datos en la identificación biométrica está presente, por ejemplo, en controles de seguridad de aeropuertos, entradas a edificios o acceso a la banca digital. Estos son sólo algunos de los ejemplos en los que, cada vez de forma más habitual, se utiliza la identificación biométrica, y en todo ellos es fundamental conocer el flujo de datos personales afectados, las medidas de seguridad implementadas y el impacto que dichos tratamientos tienen en los derechos y libertades de los usuarios.
Sistemas de identificación biométrica
Lo primero que se debe tener en cuenta a la hora de abordar el tema de la protección de datos en la identifcación biométrica es el impacto de ésta y, lógicamente, los sistemas de identificación biométrica existentes, ya que los datos personales tratados serán diferentes en función de cuál se utilice. No cabe duda de los retos a los que se enfrenta la identificación biométrica en protección de datos.
Ello sin perjuicio de que, en todo caso, los tratamientos de datos biométricos dirigidos a identificar de manera unívoca a una persona física siempre van a requerir de una especial protección, independientemente del mecanismo de identificación utilizado.
En relación con los principales tipos de identificación biométrica, es importante resaltar en este punto, a modo de resumen, que existirían, entre otros, los siguientes:
- Escaneo de huellas dactilares.
- Escaneo de iris.
- Reconocimiento facial.
- Geometría de la mano.
- Reconocimiento de voz.
- Escaneo de retina como identificación biométrica.
- Reconocimiento de venas.
En todos los sistemas de identificación biométrica anteriores, como se aprecia, el elemento relevante varía, pero todos se tratan datos personales considerados como categoría especial por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), lo que implica que la protección y las garantías que se deben aplicar sobre los mismos es especialmente considerable.
Por ello, si bien la normativa no define las medidas concretas que deben implementarse en cada caso, el responsable que vaya a tratar los datos personales biométricos debe llevar a cabo un análisis de las medidas técnicas, organizativas y legales que tiene aplicadas en su organización, así como una evaluación de impacto que determine el riesgo de los tratamientos a realizar (como también la necesidad de medidas adicionales, en su caso).
Ley de Protección de datos sobre la identificación biométrica
Tanto el RGPD como la LOPDGDD hacen mención expresa a las categorías especiales de datos y, en consecuencia, a los datos biométricos.
Hay que tener en cuenta que el artículo 9.1 RGPD indica que “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida o la orientación sexuales de una persona física”.
No obstante, el propio apartado 2 del mismo artículo establece una serie de excepciones que permiten el tratamiento de los datos personales de tal índole, entre las que se incluye, como paradigma de la posibilidad de llevar a cabo dicho tratamiento, el consentimiento explícito.
Dicho consentimiento explícito (no debe confundirse con el consentimiento expreso) implica que los usuarios deben facilitan al responsable un consentimiento reforzado, no siendo adecuado para ello, por ejemplo, la marcación de una casilla en un formulario, sino que debe tratarse de una manifestación expresa de la voluntad (respuesta positiva a un email, firma de un documento).
Además de lo anterior, la normativa de aplicación también hace referencia a medidas técnicas y organizativas, por lo que no basta con tener los documentos legales adecuados para regular las relaciones entre los diferentes implicados en el tratamiento de estos datos personales, sino que el responsable del tratamiento deberá tener establecidas medidas técnicas y organizativas adecuadas que certifiquen las garantías pertinentes.
En este sentido, por un lado, la estructura interna del responsable del tratamiento deberá estar diseñada desde la base de forma que sólo cierto personal, aquel que sea imprescindible para la prestación del servicio de identificación biométrica.
Por otro lado, deberán establecerse medidas técnicas de seguridad, al menos, en dos sentidos:
- Medidas técnicas que garanticen que sólo personal adecuado del responsable del tratamiento acceda o trate dichos datos personales.
- Medidas técnicas, especialmente en materia de ciberseguridad, dirigidas a evitar fraudes o accesos ilícitos por parte de terceros.
En Letslaw contamos con un equipo de abogados especialistas en protección de datos, así como un equipo especializado en ciberseguridad que puede ayudarte a tratar datos de especial sensibilidad con todas las garantías.
Aberto Malo ha desarrollado su carrera profesional en las áreas de Propiedad Intelectual, Protección de Datos y Nuevas Tecnologías. También presta asesoramiento jurídico, tanto a nivel nacional como internacional, en el ámbito del comercio electrónico, publicidad, esports, competencia desleal, contratación de software, consumidores y usuarios y litigación procesal.