Miguel Recio
El uso de sistemas de reconocimiento facial con fines de identificación biométrica de personas físicas se extiende cada vez en diversos sectores, tales como los de banca, seguridad privada y pública o educativo. Dadas las implicaciones que podría tener el reconocimiento facial para los derechos fundamentales de la persona física, en particular el derecho fundamental a la protección de datos, cabría plantearse si su uso es legal.
¿Qué son los datos biométricos, la identificación biométrica y los sistemas biométricos?
En el Reglamento General de Protección de Datos (RGPD) los datos biométricos son definidos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” (art. 4.14).
El uso de sistemas de reconocimiento facial dará lugar al tratamiento de datos biométricos cuando implica un tratamiento técnico específico y con fines de identificación o autenticación unívoca de la persona física, debiendo tener en cuenta que, por dichas razones, el “tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales” (cdo. 51 del RGPD).
El Grupo de Trabajo del Artículo 29, que en mayo de 2018 pasó a formar parte del Comité Europeo de Protección de Datos (CEPD), definió la identificación biométrica de una persona como “el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios)” (Dictamen 3/2012 sobre la evolución de las técnicas biométricas, WP 193, adoptado el 27 de abril de 2012).
Y, mencionando la definición ya dada años antes, el GT29 recordó también en el citado dictamen que los sistemas de biométricos son “aplicaciones de las tecnologías biométricas que permiten la identificación automática, y/o la autenticación/comprobación de una persona. Se suelen utilizar aplicaciones de autenticación/comprobación para diversas tareas en campos muy distintos y bajo la responsabilidad de una amplia gama de entidades diferentes”.
Por tanto, los datos biométricos obtenidos a través de un sistema de reconocimiento facial, en los términos indicados, implica un tratamiento de una categoría especial de datos que, además de contar con la correspondiente base de legitimación (art. 6 del RGPD), requiere de una condición específica (art. 9 del RGPD), para que sea legal. De no ser así, supondría un tratamiento ilícito que podría ser considerado como una infracción muy grave.
Posición de la Agencia Española de Protección de Datos
La Agencia Española de Protección de Datos (AEPD) se ha pronunciado en varias ocasiones sobre el tratamiento de datos biométricos a través del uso de sistemas de reconocimiento facial con fines de identificación. En concreto, cabe destacar dos recientes informes de su Gabinete Jurídico.
En primer lugar, en el ámbito educativo, cabe destacar el informe de la AEPD sobre el uso del reconocimiento facial para la identificación de estudiantes en la realización de exámenes online. Dado que el reconocimiento facial de los estudiantes implica un tratamiento de categorías especiales de datos, la AEPD subraya que este tratamiento exige garantías reforzadas y presta especial atención a la base de legitimación del tratamiento.
En cuanto a la base de legitimación y condición requerida para el tratamiento lícito de los datos personales, podría ser el consentimiento explícito. Para que el consentimiento sea válido, en particular que se haya dado de manera libre, será necesario que se haya ofrecido una alternativa (consistente en este caso en un examen de duración y dificultad similar). En el caso del servicio público de educación, en lugar del consentimiento, la condición de legitimación para el tratamiento sería la existencia de un “interés público esencial” que deberá estar previsto en una norma con rango de ley.
Y, en el segundo lugar, el informe de la AEPD sobre el uso de estos sistemas por empresas de seguridad privada menciona que la condición de legitimación para el tratamiento de datos biométricos, que va más allá de la videovigilancia, será en virtud de la aplicación del interés público, lo que requiere que esté previsto en una norma con rango de ley. En este caso, la AEPD indica que dicha ley no existe en nuestro ordenamiento jurídico y que, si se aprobase, tendrá que (i) justificar en qué medida y en qué supuestos la utilización de sistemas de reconocimiento facial con fines de identificación responden a un interés público esencial; (ii) incorporar garantías específicas, (iii) cumplir con el principio de proporcionalidad, y (iv) superar el juicio de necesidad, lo que supone que no existan medidas menos lesivas que permitieran alcanzar la misma finalidad con igual eficacia.
Reconocimiento facial con fines de identificación biométrica en la práctica
El uso de sistemas de reconocimiento facial con fines de identificación biométrica queda, por tanto, fuertemente limitado. Un claro ejemplo sería la posibilidad, casi residual, de utilizarlo en el caso de la seguridad en el ámbito de las infraestructuras críticas.
De igual manera, tal como ya indicó el GT29 al revisar y actualizar uno de sus dictámenes sobre protección de datos en el ámbito laboral, con carácter general “los empresarios deben abstenerse de utilizar tecnologías de reconocimiento facial”. No obstante, podría haber algunas excepciones marginales que incluso “no pueden utilizarse para invocar una legitimación general del uso de esta tecnología” (Dictamen 2/2017 sobre el tratamiento de datos en el trabajo, WP 249, adoptado el 8 de junio de 2017).
En definitiva, el uso de sistemas de reconocimiento facial con fines de identificación biométrica queda muy reducido en la práctica y es necesario analizarlo caso por caso. El análisis específico requiere tener en cuenta todas las implicaciones, en los términos expuestos, siendo necesario también considerar que en situaciones como esta es donde la finalidad del uso y la responsabilidad proactiva del responsable del tratamiento resulta clave.
Listado de la AEPD sobre equívocos más comunes en el uso de la biometría y protección de datos
En colaboración con el Supervisor Europeo de Protección de Datos (SEPD), la Agencia Española de Protección de Datos publicó una nota técnica con la lista de los catorce equívocos relacionados con el uso de la biometría y la protección de datos. Entre otras cuestiones, la AEPD aclara que la información biométrica se procesa y el resultado “se almacena en registros denominados firmas, patrones o «templates»”, de manera que la información biométrica no se almacena en un algoritmo; que no necesariamente todo tratamiento biométrico implica identificación/autenticación, así como que los sistemas de información biométrica sí son interoperables.
Ahora bien, en otros casos podría ser necesario un análisis en profundidad, dado que tanto la aproximación al uso de la tecnología, los conceptos y los principios aplicables en materia de protección de datos requieren considerar todas las cuestiones que se plantean, a través de la participación de diversos actores relevantes, tales como el público en general e incluso los medios informativos.
En definitiva, se trata de aportar tanto información como certidumbre sobre el uso de la tecnología, que puede aportar beneficios relevantes, con las garantías adecuadas en materia de protección de datos. Y, en todo caso, como explica claramente el considerando 4 del Reglamento General de Protección de Datos (RGPD), la clave está en que “el derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad”.
La presente publicación no constituye asesoramiento jurídico de sus autores. Si desea recibir periódicamente las publicaciones de Referencias Jurídicas CMS, que analizan y comentan la actualidad legal y jurisprudencial de interés, puede suscribirse a través de este formulario.
_840x420.jpg?v=3)
(W).jpg?v=1)
Las cookies de redes sociales recolectan información cuando usted comparte información de nuestro sitio vía redes sociales o la analizan para entender sus búsquedas entre sus redes sociales y nuestras campañas de Redes Sociales y nuestros propios sitios web. Hacemos esto para poder optimizar la mezcla de canales disponibles para proveerle de contenido. Los detalles de estas herramientas se encuentran en nuestra política de privacidad.