La identificación permite reconocer a un individuo particular entre los miembros de un grupo, mediante un proceso que compara los datos de cada uno frente a los del resto. Por su parte, la autenticación es el proceso destinado a probar que es cierta la identidad reclamada por un individuo, comparando los datos del individuo únicamente con los datos asociados a la identidad reclamada.
A este respecto, el uso de datos biométricos (NOTA 1) para fines de identificación y autenticación (huellas dactilares, reconocimiento facial, etc.) se han popularizado recientemente, con las consecuentes implicaciones en el ámbito legislativo y en la protección de los derechos de las personas interesadas. A diferencia de las contraseñas o certificados, los datos biométricos (NOTA 2) recogidos durante estos procesos revelan más información personal sobre el sujeto que los recabados mediante el empleo de otros sistemas de identificación y autentificación: dependiendo de cuáles se recojan, se pueden derivar datos del sujeto como su raza o género (incluso de las huellas dactilares), su estado emocional, enfermedades, discapacidades y características genéticas, consumos de sustancias… Al estar implícita, el usuario no puede impedir la recogida de dicha información suplementaria. Además, se debe tener en cuenta que este tipo de tecnologías pueden conllevar percepciones negativas por parte de los usuarios, como sentimiento de invasión a la privacidad, fallos en los sistemas biométricos que impidan el acceso a los servicios, carencia de alternativas no-biométricas eliminadas o inadecuadas para dar el mismo servicio, así como la necesidad de realizar procesos de registro de datos en cada entidad.
Teniendo en cuenta lo expuesto, hemos de señalar que, en términos generales y en el ámbito laboral, el uso de tecnologías tendentes al tratamiento de datos biométricos como la huella dactilar podría considerarse una medida de control por el empresario, admitida por el artículo 20 del Estatuto de los Trabajadores, siempre y cuando sea proporcional, lo que exige tener en cuenta la naturaleza de la actividad y de las instalaciones para cuyo acceso se requiere. Actualmente son numerosas las empresas que, para el control de la jornada laboral, realizan el tratamiento de la huella dactilar de las personas trabajadoras; para implantar esta medida, debe aplicarse el principio de minimización, es decir, debería limitarse a los supuestos en los que se considere realmente necesario para que el control sea eficaz. Además, la Agencia Española de Protección de Datos (AEPD) ha señalado en diversos informes que podrían existir buenas prácticas que permitieran el control a través de la huella digital sin que el sistema tuviera que almacenar el dato biométrico (por ejemplo: su incorporación a una tarjeta inteligente que se contrastase con la huella y se mantuviera siempre en poder de la persona trabajadora).
Por su parte, el control de accesos de clientes, asociados/as, etc. mediante huella dactilar requiere igualmente la valoración de los principios establecidos en la normativa, por lo que, al no existir una base legislativa específica (como el control empresarial derivado de lo dispuesto en el Estatuto de los Trabajadores para el caso de las personas trabajadoras), deberá valorarse cada supuesto concreto para considerar la idoneidad de este sistema (por ejemplo, no podría justificarse su aplicación si, siendo igualmente factible su aplicación, mediante el uso de una mera lista de control, de etiquetas RFID o tarjetas de banda magnética se deriva la misma eficacia para el fin perseguido). En este sentido debe ponerse de relieve que, si se pretendiera basar el tratamiento en el consentimiento de los interesados, la normativa establece que este debe consistir en una manifestación de voluntad, libre, específica e informada, por lo que el consentimiento (I) debe recabarse de forma previa al tratamiento y señalando toda la información necesaria, (II) no puede entenderse libre si no se plantea una alternativa válida (contraseña, tarjeta de banda magnética…) y (III) debe ser revocable.
Sin embargo, la AEPD rechaza que la legitimación reconocida para otros sistemas como el de videovigilancia pueda abarcar tecnologías mucho más intrusivas para la privacidad, como el reconocimiento facial u otras medidas biométricas (reconocimiento de la forma de andar, de la voz…). En este sentido, no existiría una habilitación aplicable, ya que la regulación actual es insuficiente para permitir la utilización de técnicas de reconocimiento facial en sistemas de videovigilancia empleados por seguridad privada. La normativa requiere, para estos casos, que exista un «interés público esencial» para que el tratamiento pueda ser considerado legítimo, profundizando así en la importancia y necesidad de mayor protección de los datos tratados; así, la aplicación del interés público esencial como base de legitimación requiere de una norma con rango de ley (la cual no existe en el actual ordenamiento jurídico) que justifique en qué medida y en qué supuestos se justificaría el empleo de la biometría e incorpore garantías técnicas, organizativas y procedimentales adecuadas.
Por tanto, aunque la AEPD considera que pueden existir supuestos excepcionales en los que podría quedar fundamentado el empleo de sistemas de reconocimiento facial, siempre que la legislación lo prevea (como en infraestructuras críticas) (3), establece que la autorización, con carácter general, del empleo de sistemas de reconocimiento facial en los sistemas de videovigilancia empleados por la seguridad privada carece de base jurídica y es desproporcionada, dada la intrusión y los riesgos que supone para los derechos fundamentales de los ciudadanos. En este sentido, señala en su Informe 36/2020 que «la existencia de un interés público no legitima cualquier tipo de tratamiento de datos personales, sino que deberá estarse, en primer lugar, a las condiciones que haya podido establecer el legislador, (…) así como a los [principios] de limitación de la finalidad y minimización de datos. Y en el caso de que vayan a ser objeto de tratamiento alguno o algunos de los datos personales incluidos en las categorías especiales de datos (…), que concurra alguna de las circunstancias contempladas [en la normativa] que levante la prohibición de tratamiento de dichos datos».
En cualquier caso, el tratamiento de datos biométricos debe cumplir los principios de proporcionalidad, licitud y minimización y superar el juicio de necesidad, pudiendo ser utilizados sólo si son adecuados, pertinentes y no excesivos, en el sentido de que no exista otra medida más moderada con la que se consiga el mismo propósito con igual eficacia, de tal suerte que la existencia de otras medidas que permitan la protección de las personas, bienes e instalaciones con una menor intrusión en el derecho de los afectados exige una especial justificación de la necesidad de optar por estas tecnologías, debiendo establecerse asimismo garantías reforzadas (ponderar si la pérdida de intimidad resultante es proporcional a los beneficios esperados). Por tanto, si existen otros métodos más moderados y no se derivan del reconocimiento facial o dactilar más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto, no puede sostenerse la justificación de su aplicación, por no evidenciarse una especial necesidad de optar por los mismos.
Por último, hemos de indicar que, si opta por su tratamiento, el responsable del tratamiento debe determinar un periodo de conservación de los datos biométricos, que no podrá ser superior al necesario para los fines para los que dichos datos fueron recabados o para los que se traten ulteriormente, debiendo garantizar que los datos (o los perfiles derivados de estos) se suprimen una vez transcurrido este periodo.
1 Artículo 4.14 del Reglamento General de Protección de Datos (RGPD): «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos».
2 Art. 9.1 RGPD: «Quedan prohibidos [salvo las excepciones contempladas en la normativa] el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física».
3 Se entienden por tales aquellas cuyo «funcionamiento es indispensable y no permite soluciones alternativas, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales» (Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas).
Consulte con nuestra empresa colaboradora para la evaluación de su situación y elaboración de la documentación necesaria
SAVIA INGENIERIA
C/ Monte, 61
39006 Santander
Tfno. 942172235 – 690271897 – 628865513
info@saviamedioambiente.com
Compartir esta información
