Biometrías, PIAS y Responsabilidad Proactiva
Esta semana hemos sido testigos de la confirmación por parte del Comité Europeo de Protección de Datos (“EDBP” por sus siglas en inglés) de que los datos biométricos se utilicen bien para autenticar, bien para identificar unívocamente tienen la consideración de datos de carácter especial, y ello en tanto en cuanto ambas persiguen la finalidad de identificar o hacer identificable a una persona física, constituyendo en consecuencia un tratamiento de datos personales y más específicamente un tratamiento de datos de categoría especial, como se indica en la versión definitiva del documento Guidelines 05/2022 on the use of facial recognition technology in the área of law enforcement.
Lo anterior implica que el tratamiento de datos biométricos siempre le aplicará el régimen de obligaciones reforzado del RGPD, sobre todo, en lo relativo al levantamiento de la prohibición del tratamiento, su legitimación conforme al régimen general, pero también en el análisis del impacto que tendrá sobre la privacidad de los interesados – cuestión que se abordará más adelante-.
Por otro lado, dicha categorización tiene un elevado impacto a nivel interno, pues a sensu contrario de lo que determinó la APDCAT (“Agencia Catalana de Protección de Datos”) en la resolución sancionadora PS 41/2022, y que se encuentra alineado con los criterios del EDBP, nuestra AEPD había señalado que los datos empleados con fines de autenticación no tenían consideración de datos biométricos, mientras que los datos biométricos empleados con fines de identificación sí tenían tal consideración (Informe jurídico 2020/0036).
Asimismo, lo anterior no solamente implica una revisión del criterio interpretativo de la AEPD, sino que, a nivel corporativo, implica la realización de un ejercicio revisión a la adecuación normativa que afecta a las tecnologías, dispositivos e incluso sistemas que traten este tipo de datos; así como un refuerzo en la observancia de las obligaciones que, para esta tipología de datos, establece el RGPD.
En consecuencia, la aglutinación de ambos fines del tratamiento en torno la categoría de datos especiales implicará la puesta en práctica de la responsabilidad proactiva de los responsables y los encargados del tratamiento, y guardará una estrecha relación con el análisis de los riesgos y las implicaciones que, en materia de protección de datos, tiene el empleo de tecnologías biométricas; lo que, en la práctica significa, que se deberá reforzar la realización de evaluaciones de impacto de protección de datos (“EIPD” por sus siglas en español), como se adelantó previamente.
No obstante, la proliferación de estos informes de EIPD puede dar lugar a la elaboración de informes que “den por cumplido un mero trámite”. A modo de ejemplo de este tipo de escenografías, puede traerse a colación la reciente resolución de la AEPD PS/00553/2021, por la que se impone una sanción económica al Mobile World Congress, como consecuencia de la realización de una EIPD incompleta, sin tener en cuenta la totalidad de las circunstancias y riesgos que pueden derivarse de la utilización de tecnología de reconocimiento facial.
En este sentido, tal como recuerda la AEPD en esta resolución la realización de una EIPD se trata de la herramienta que en el texto del RGPD se ocupa de garantizar el cumplimiento de la valoración y la gestión de los riesgos asociados a los tratamientos de datos.
Por tanto, su realización no podrá limitarse a un análisis puntual que no considere la proporcionalidad de un tratamiento de datos, sino que deberá comprender un ejercicio de reflexión jurídica que, además de tener en cuenta los riesgos que se derivan para los interesados, analice en profundidad la proporcionalidad del propio tratamiento.
Así las cosas, se cita el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29, sobre la evolución de las tecnologías biométricas, y por el que se indica que “Al analizar la proporcionalidad de un sistema biométrico propuesto, es preciso considerar previamente si el sistema es necesario para responder a la necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el más adecuado o rentable. Un segundo factor que [….] es la probabilidad de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las características específicas de la tecnología biométrica que se va a utilizar. Un tercer aspecto para ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de un sistema biométrico es considerar si un medio menos invasivo de la intimidad alcanzaría el fin deseado”.
En consecuencia, y en palabras de la AEPD esas EIPD “deberán contemplar también una evaluación exhaustiva de opciones alternativas menos intrusivas, que no requieran el uso de datos especiales, realizar una comparación de las opciones y documentar las conclusiones. Todo ello, considerando […] una evaluación combinada, basada en hechos, sobre la eficacia de la medida para el objetivo perseguido y sobre si resulta menos intrusiva en comparación con otras opciones para lograr el mismo objetivo La necesidad no debe confundirse con utilidad del sistema. Puede que se facilite el no tener que llevar una tarjeta, es automático e instantáneo y no excesivamente costoso. Obviamente, un sistema de RF puede ser útil, pero no tiene por qué ser objetivamente necesario”.
Será muy interesante verificar si dicho análisis profundo, que se extrae de las resoluciones y dictámenes citados, realmente se traslada a la realidad y a las prácticas del sector o, si, por el contrario, a lo largo de 2023 y 2024 encontraremos resoluciones sancionadoras contundentes y similares, que tengan por objeto analizar nuevamente la proporcionalidad de los tratamientos biométricos.
Diana Rodríguez Gómez
Consultor de Helas Consultores
