¿Qué se entienden por datos biométricos? ¿Todos los datos biométricos se encuentran dentro de las categorías especiales de datos que señala el RGPD?
Según el Reglamento General de Protección de Datos (el “RGPD”), los datos biométricos son aquellos “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Asimismo, el RGPD señala que los datos biométricos dirigidos a identificar de manera unívoca a una persona física se encuentran incluidos dentro de las categorías especiales de datos, ya que la utilización de estos conlleva elevados riesgos para los derechos de los interesados, siendo obligatorio para las empresas reforzar la seguridad con respecto a dichos datos, así como respetar, en todo momento, los principios de licitud, necesidad, proporcionalidad y minimización.
No obstante, no todo tratamiento de datos biométricos constituye un tratamiento de categorías especiales de datos, tal y como señala el Comité Europeo de Protección de Datos en las Directrices 3/2019 sobre el tratamiento de datos personales mediante dispositivos de vídeo y la Agencia de Protección de Datos (“AEPD”) en el Informe 0036/2020.
La AEPD señala que, en principio los tratamientos datos biométricos, únicamente, tendrán la consideración de tratamientos de categorías especiales de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (conocido como “uno-a-varios”), consistente en reconocer a un individuo entre un grupo, comparando los datos de dicho individuo con los datos de cada individuo que forman el grupo; y no en el caso de verificación/autenticación biométrica (conocido como “uno-a-uno”) consistente en comprobar si la identidad reclamada por un individuo es cierta mediante la comparación con una única plantilla biométrica correspondiente a dicha identidad almacenada en un dispositivo.
Por tanto, de acuerdo con esta interpretación de la AEPD, únicamente en el caso de que el tratamiento se dirija a la obtención de la identificación de la persona concreta de manera individual entre un grupo, estaremos ante una categoría especial de datos.
No obstante, la propia AEPD advierte que “se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos” y añade que, en caso de duda se debe adoptar “la interpretación más favorable para la protección de los derechos de los afectados”.
¿Qué obligaciones tengo como empresa si trato datos biométricos?
En caso de que, de acuerdo con lo anterior, su organización esté interesada o se encuentre tratando datos biométricos que se puedan considerar como categoría especial conforme a lo anteriormente expuesto o que, no estando seguro de si puedan considerarse como tal, desee tomar una aproximación conservadora, deberá cumplir una serie de obligaciones que se desprenden de la normativa vigente en la materia, siendo las más importantes las siguientes:
Informar a los afectados. Se deberá informar a los interesados sobre la identidad de los responsables, encargados del tratamiento o sus representantes, la finalidad del tratamiento, el plazo de conservación de datos, la cesión de datos a terceros o las vías para ejercer sus derechos.
Cumplir con el deber de confidencialidad. Cualesquiera que tengan acceso a dichos datos deberán guardar confidencialidad respecto de esos datos.
Obtener el consentimiento de los afectados. Se deberá solicitar el consentimiento explícito a los afectados para el tratamiento de dichos datos.
Cuidar de la seguridad de los datos. Se deberán establecer y mantener aquellas medidas de seguridad técnicas y organizativas que permitan proteger los datos biométricos tratados frente a su dañado, pérdida, alteración y destrucción, así como frente al uso, acceso o tratamiento no autorizado.
Realizar una evaluación de impacto. Es obligatoria la realización de una Evaluación de Impacto del sistema usado para el tratamiento, con objeto de determinar las medidas necesarias para garantizar la protección y seguridad de los datos biométricos.
Caso Mercadona
A modo ejemplificativo, a continuación, vamos a analizar, brevemente, lo señalado por la AEPD en el caso de Mercadona, por el incumplimiento de sus obligaciones como empresa al tratar los datos biométricos para identificar a los individuos.
En el verano de 2020, Mercadona instaló un sistema de identificación (“uno-a-varios”) mediante reconocimiento facial en varios de sus establecimientos. Mercadona utilizaba el citado sistema de reconocimiento facial para detectar a personas con sentencias firmes o medidas cautelares que tuvieran una orden de alejamiento contra Mercadona o sus trabajadores que les prohíbesen entrar a las tiendas.
A dichas personas se les reconocía en un espacio público, sin su consentimiento, la entrada a las tiendas de Mercadona, de manera remota e identificando a todos los que pasaban por ese espacio.
En este sentido, la AEPD señala que al tratarse de un sistema de identificación uno-a-varios, es decir, que usa datos biométricos dirigidos a identificar unívocamente a un individuo en concreto entre un grupo, se considera como un tratamiento de datos de categoría especial sujeto a las garantías recogidas en el RGPD.
Además, este sistema no solo afectaba a las personas con sentencias firmes o medidas cautelares, sino que también afectaba a los trabajadores y demás clientes del Mercadona, ya que, al incluir un sistema de detección de aquellos individuos condenados, automáticamente este sistema se aplicó al resto de individuos.
De acuerdo con lo anterior, la AEPD identificó el sistema empleado por Mercadona como un sistema de reconocimiento facial masivo y remoto y entendió que el mismo realizaba un tratamiento de datos biométricos que debían ser considerados como datos sensibles, concluyendo que “el tratamiento de datos basados en el reconocimiento facial con fines de identificación implantado por Mercadona se encuentra prohibido por lo dispuesto en el artículo 9.1, al no constar ninguna causa que permita levantar la prohibición entre las expuestas en el art. 9.2 del RGPD”, imponiendo a Mercadona una multa de 2,5 millones de euros.
Todo lo anterior lleva a concluir de forma evidente la importancia de que, en caso de que se traten o se pretendan tratar datos biométricos, se de cumplimiento, en todo momento, a la normativa vigente en materia de protección de datos, informando de este tratamiento y respetando los derechos de los interesados cuyos datos van a ser tratados.