
¿Es tratamiento de datos biométricos si no se almacena? Respuesta de la APDCAT
En el ámbito de la protección de datos, el tratamiento de datos biométricos ha suscitado numerosas preguntas, especialmente en relación con su almacenamiento y uso. La Autoridad Catalana de Protección de Datos (APDCAT) se ha pronunciado sobre si el simple uso de datos biométricos, sin su almacenamiento, constituye un tratamiento de datos.
Este artículo explora la postura de la APDCAT y sus implicaciones para el manejo de datos biométricos en diversas aplicaciones tecnológicas.
Finalidad de los datos biométricos
Los datos biométricos son aquellos que se obtienen a partir de características físicas o conductuales únicas de una persona, como las huellas dactilares, el reconocimiento facial, el iris, la voz o la escritura a mano. Estas características son inherentes a cada individuo y, por lo tanto, sirven como una forma altamente segura de identificación.
La finalidad del tratamiento de datos biométricos puede variar dependiendo del contexto en el que se utilicen, pero generalmente incluye:
- Autenticación y seguridad: los datos biométricos se utilizan comúnmente para verificar la identidad de una persona, proporcionando un nivel adicional de seguridad en sistemas de acceso, como en dispositivos móviles, instalaciones de alta seguridad, y sistemas de control de acceso.
- Identificación: en algunos casos, los datos biométricos se utilizan para identificar a una persona entre un grupo, como en sistemas de vigilancia o en bases de datos de identificación gubernamentales.
- Personalización de servicios: algunas aplicaciones utilizan datos biométricos para personalizar servicios, como en el caso de dispositivos que ajustan configuraciones basadas en el usuario identificado.
- Salud y bienestar: en el ámbito de la salud, los datos biométricos pueden ser utilizados para monitorear signos vitales y otros indicadores de salud, facilitando el diagnóstico y tratamiento médico.
Es importante destacar que el tratamiento de datos biométricos está sujeto a regulaciones estrictas debido a su naturaleza sensible, y debe cumplir con principios de protección de datos como la minimización, limitación de la finalidad, y consentimiento informado.
La normativa, como el Reglamento General de Protección de Datos (RGPD) en la Unión Europea, establece requisitos específicos para el tratamiento de datos biométricos, incluyendo la obtención del consentimiento informado, la limitación de los fines para los que se utilizan los datos y la garantía de su seguridad.
¿Cómo se almacenan?
El almacenamiento de datos biométricos puede realizarse de diversas maneras, dependiendo de la tecnología y el propósito del sistema:
- Plantillas biométricas: en lugar de almacenar la imagen completa de una característica biométrica (como una huella dactilar), se almacena una plantilla biométrica. Esta plantilla es un conjunto de datos matemáticos que representa las características únicas de la biometría, permitiendo la identificación sin necesidad de guardar la imagen completa.
- Bases de datos centralizadas: los datos biométricos pueden almacenarse en bases de datos centralizadas, donde se recopilan y gestionan en un servidor central. Este método es común en sistemas gubernamentales o grandes organizaciones.
- Almacenamiento local: en algunos dispositivos, como teléfonos móviles o tarjetas inteligentes, los datos biométricos se almacenan localmente en el dispositivo. Esto puede mejorar la seguridad al reducir la necesidad de transmitir datos biométricos a través de redes.
- Cifrado: los datos biométricos suelen cifrarse para protegerlos contra accesos no autorizados. El cifrado asegura que los datos solo puedan ser leídos por sistemas autorizados que posean la clave de descifrado.
- Tokenización: en algunos casos, los datos biométricos se convierten en un token o código que representa la información biométrica. Este token se utiliza para la autenticación sin necesidad de almacenar los datos biométricos originales.
Pronunciamiento de la Autoridad Catalana de Protección de Datos
La controversia en el tratamiento de datos biométricos radica en la naturaleza sensible de estos datos y las implicaciones para la privacidad de las personas.
El ayuntamiento sancionado señalaba que «no capta ni almacena ni reproduce las huellas dactilares de los trabajadores sino la asignación de un código que no puede ser reproducidos por otros sistemas y que, por lo tanto, no pueden ser calificados de identificadores únicos».
En este sentido, el ayuntamiento reconoció que, a partir de características distintivas de la huella dactilar de una persona, obtiene un código que permite identificarla cuando accede a las dependencias municipales.
Este proceso de tratamiento de datos personales permite autenticar a una persona mediante un análisis biométrico. La plantilla biométrica actúa como un identificador único, similar a un número de identificación nacional, que, aunque no permite obtener o recrear la huella dactilar de un individuo, sí permite identificarlo de manera unívoca.
La Autoridad Catalana de Protección de Datos (APDCAT) ha determinado que este tipo de tratamiento, realizado con fines de control horario y de presencia de los trabajadores, constituye un tratamiento de categorías especiales de datos.

Paula Ferrándiz es abogada especialista en Propiedad Intelectual e Industrial, Nuevas Tecnologías y Derecho de la Competencia.
Apasionada del sector digital y las redes sociales presta asesoramiento legal a todo tipo de clientes tanto nacionales como internacionales en materia de protección de datos, comercio electrónico, publicidad y marketing digital entre otras.