Datos biométricos ¿categoría especial de datos personales?

Datos biométricos ¿categoría especial de datos personales?

El Reglamento General de Protección de Datos (RGPD) hace una clara diferenciación entre los datos personales “normales” y aquellos datos merecedores de una mayor protección, como son las categorías especiales de datos. Concretamente, el artículo 9.1 del RGPD cataloga como categoría especial de datos los siguientes datos personales de las personas físicas.

  • Origen étnico o racial
  • Opiniones políticas
  • Convicciones religiosas o filosóficas
  • Afiliación sindical
  • Datos genéticos
  • Datos biométricos
  • Datos relativos a la salud
  • Datos relativos a la vida sexual o la orientación sexual

biometrico protección datosEl tratamiento de esta categoría de datos queda prohibido como norma general, a no ser que concurra algunas de las circunstancias establecidas en el apartado segundo del artículo 9 del RGPD. En este sentido, deberá acreditarse por el responsable o encargado del tratamiento la concurrencia de alguna de las circunstancias previstas en el artículo 9.2 del RGPD para poder tratar los datos biométricos de sus empleados, clientes o proveedores.

Desde un tiempo a esta parte se ha incrementado considerablemente la utilización de sistemas de identificación o verificación/autenticación de las personas por responsables y encargados del tratamiento, teniendo especial relevancia la finalidad de la utilización de estos datos, esto es, si se utilizan para identificar de manera única a una persona física, o se utilizan para verificar/autenticar la identidad de una determinada persona.

RGPD

La Agencia Española de Protección de Datos (AEPD) ha tratado este asunto en diversos informes jurídicos (entre otros: 31/2019, 36/2020 y 47/2021), indicando que, cuando el responsable o encargado del tratamiento utilice los datos biométricos con finalidades de verificación/autenticación de una persona física, dicha finalidad no alterará la naturaleza de los datos tratados (seguirán siendo considerados datos biométricos), pero si su consideración como categoría especial de datos, lo cual sucederá únicamente cuando los datos biométricos se utilicen con finalidades de identificación de una persona física.

La AEPD, haciendo referencia al Dictamen 3/2012 del Grupo de Trabajo del Artículo 29 (actualmente, Comité Europeo de Protección de Datos), y del Libro Blanco sobre inteligencia artificial de la Comisión Europea, distingue entre identificación biométrica y verificación/autenticación biométrica:

  • Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencia uno-a-varios).
  • Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencia uno-a-uno).

Si un responsable o encargado del tratamiento desea utilizar un sistema biométrico (huella dactilar, reconocimiento facial, etc.), en virtud de los principios de responsabilidad proactiva y protección de datos desde el diseño y por defecto, deberá tener en cuna una serie de factores, a saber:

  • Si la utilización de los datos biométricos encaja en alguno de los supuestos del artículo 9.2 del RGPD que permite levantar la prohibición general de tratamiento de categorías especiales de datos (entre ellos, los datos biométricos).
  • Si el sistema cumple con el principio de proporcionalidad, sobre todo deberá analizarse si no existe otro sistema menos intrusivo en la privacidad de las personas para lograr el mismo fin.
  • Valorar la necesidad de realización de una Evaluación de Impacto en la Protección de Datos (EIPD).
  • Si fuera necesario, realizar la EIPD, pudiéndose solicitar el asesoramiento del Delegado de Protección de Datos (DPD) si el responsable o encargado del tratamiento a designado uno voluntariamente, o por imposición legal.
  • Cumplir con el deber de información del artículo 13 del RGPD, y la obtención del consentimiento explícito del interesado en caso de ser necesario.
  • Incluir el tratamiento de datos biométricos en el Registro de Actividades del Tratamiento (RAT) del responsable o encargado.

Es de vital importancia que dichas valoraciones se lleven a cabo de forma previa a la contratación y/o instalación del sistema biométrico, debido a que, en la gran mayoría de ocasiones, ni el responsable/encargado del tratamiento ni la empresa que comercializa los sistemas de identificación biométrica son conscientes de la repercusión que dichas decisiones tienen sobre la protección de datos de carácter personal, quedando expuestos a incumplimientos de la normativa aplicable.

Genís Vera Sampedro

Dpto. Consultoría Normativa de SNL Consulting

Suscríbase a nuestra Newsletter

Y obtenga información relevante sobre Consultoría Legal y Formación

SNL Consulting
Abrir chat
Hola, 👋, ¿en qué podemos ayudarte?