
Hogan Lovells 2024 Election Impact and Congressional Outlook Report
El tratamiento de datos biométricos está a la orden del día. La huella dactilar la usamos para entrar al gimnasio, para gestionar la cuenta corriente, etc., y empieza a ser habitual ver noticias en prensa relativas al reconocimiento facial. Pese a convivir con ello, las autoridades de protección de datos no dejan de emitir opiniones al respecto, siendo la polémica “actual” la autenticación v. la identificación.
También se ha publicado una lista de equívocos más comunes sobre biometría.
Hace unas semanas os contábamos cómo la AEPD analizaba el reconocimiento facial en el ámbito de los exámenes online. En su informe, la AEPD cuestionaba (sin llegar a pronunciarse de forma inequívoca) si los datos biométricos utilizados para la autenticación de los interesados, y no para la identificación, se consideraban datos especialmente protegidos en el sentido del art. 9 RGPD.
Ahora le ha tocado el turno a la Autoridad Catalana de Protección de Datos (“APDCAT”), que en su Informe (el “Informe”) analiza esta cuestión en detalle:
La piedra angular para que un dato biométrico[1] se considere un dato sensible o categoría especial de datos es que se trate para “identificar de manera unívoca a una persona física”. A este respecto, el Informe comienza acudiendo al Dictamen 3/2010 del viejo Grupo de Trabajo del Artículo 29 y las definiciones previstas en el mismo:
La identificación responde a la pregunta ¿Quién eres? a partir de las características físicas, fisiológicas o conductuales de la persona. Esto conlleva la comparación de dichas características con una plantilla con muchas otras identidades almacenadas (de ahí el uno-a-varios).
Por otro lado, la autenticación responde a una pregunta distinta: ¿Eres quien dices ser? Esto es, comprobar que los datos obtenidos de una persona concreta coinciden con aquellos almacenados específicamente para la misma (uno-a-uno). La autenticación consiste en confirmar una identidad (que, en la mayoría de los casos, implica una identificación previa).
Aunque respondan a objetivos distintos, queda claro que la identificación y la autenticación son conceptos entrelazados y, muchas veces, un mismo objetivo se puede alcanzar de ambas maneras[2].
El Informe parte de que, 8 años después del Dictamen del Grupo de Trabajo del Artículo 29, no se puede desprender que los datos tratados para la autenticación no se consideren una categoría especial de datos.
Se parte de que la definición de dato biométrico, que se encuentra contenida en el art. 9 RGPD al referirse a los mismos, prevé que son aquellos “que permitan o confirmen la identificación única”. Asimismo, el Considerando 51 del RGPD también hace referencia a la autenticación o identificación de la persona. Es decir, el art. 9 RGPD incluye de forma intrínseca la autenticación. Para la APDCAT otra interpretación del art. 9 RGPD que no incluya la autenticación resultaría contraria al propio RGPD.
El Informe continua explicando cómo, si bien la diferencia de objetivo entre la autenticación y la identificación (esto es, entre el uno-a-varios v. el uno-a-uno) es relevante a la hora de configurar el sistema biométrico desde una perspectiva técnica; no puede llevar a la conclusión de que tengan un trato distinto a nivel jurídico dado que afectan igualmente a rasgos únicos, intransferibles, inolvidables e inalterables (o estables a largo plazo) de la persona.
En este sentido, la APDCAT recuerda que las autoridades francesa, italiana e inglesa de protección de datos siguen esta línea.
La AEPD, junto con el Supervisor Europeo de Protección de Datos, ha publicado una nota técnica con las confusiones más habituales en relación con los datos biométricos. En concreto, se analizan las siguientes frases que no son ciertas o tienen que ser matizadas:
[1] Estos son, los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” (ex. art. 4.14 RGPD).
[2] El Informe incluye un ejemplo muy práctico: “Cuando se hace una autenticación, por ejemplo cuando se identifica una persona mediante la huella al entrar al trabajo, en algunos casos conlleva una identificación uno a uno (por ejemplo si paralelamente se emplea una tarjeta de marcación o un código para identificarse) o puede operar como un sistema de correspondencia uno a varios (por ejemplo si la huella del trabajador que accede en el lugar de trabajo se compara con la de todos los trabajadores de la empresa para acabar determinando quién es el trabajador que ha accedido)”.
Escrito por Santiago de Ampuero y Víctor Mella