INFORME DE LA AEPD
La AEPD acaba de publicar un informe en el que distingue dos tipos de usos de los datos biométricos:
Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a- varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).
COMENTARIOS AL INFORME
Identificación biométrica
El proceso de búsqueda de correspondencias uno-a-varios es claramente más invasivo de la intimidad y tiene un mayor impacto en los derechos y libertades del interesado.
Esta búsqueda queda perfectamente escenificada en la secuencia que sigue al hallazgo de una huella dactilar en la escena de un crimen. Los datos biométricos de la huella hallada se compararán con millones de huellas de las bases de datos policiales y se identificará al sospechoso.
Esta es la típica búsqueda de correspondencias uno-a-varios, ya que se trata de buscar la correspondencia entre la huella de un interesado y las huellas de millones de interesados.
De esta correspondencia uno-a-varios puede surgir la identificación de un sospechoso, con la correspondiente afectación al derecho a la libertad, a la intimidad, a la presunción de inocencia, a la libertad deambulatoria, etc.
Verificación/autenticación biométrica
Por el contrario, cuando la búsqueda de correspondencias es uno-a-uno, el impacto es mínimo, ya que sólo se busca la correspondencia de los datos biométricos aportados por el interesado para acreditar que es él y los datos biométricos que aportó en su día en el momento del registro. Este dato está almacenado en el dispositivo y es consultado por el sistema de autenticación para verificar que hay una coincidencia.
Un ejemplo claro de esta búsqueda de correspondencias uno-a-uno es el control de acceso a un dispositivo mediante huella dactilar.
En este caso, en el dispositivo de control de acceso se procede a la lectura de la huella del interesado y se comparan con los datos biométricos que el propio interesado aportó en su día. Si hay coincidencia, el interesado puede acceder al dispositivo.
Esa coincidencia no es una identificación, puesto que el interesado ya estaba previamente identificado, sino una verificación de la identidad de la persona que desea acceder al dispositivo. Una autenticación similar a la realizada con una contraseña.
Conclusión de la AEPD
La AEPD concluye que, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a- varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).
Recordemos que el artículo 9.1 del RGPD establece que los datos biométricos sólo se considerarán categorías especiales de datos cuando vayan dirigidos a identificar de una manera unívoca a una persona física.
Lo que dice la AEPD es que, si la finalidad no es la identificación, sino la verificación de la identidad, es decir la autenticación del interesado en un momento concreto, ese dato biométrico no será un dato sensible, es decir, no pertenecerá a una categoría especial de datos.
No obstante, la Agencia considera que se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto según los datos tratados, las técnicas empleadas para su tratamiento y la consiguiente injerencia en el derecho a la protección de datos, debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados.
Esta última apreciación, hace recomendable realizar una evaluación de impacto en el caso de del control de acceso a una empresa, con el fin de asegurar:
- Si los datos relativos a la huella son el único elemento identificador o si están asociados a otro elemento identificador.
- La finalidad orientada a la verificación o autentificación de la identidad del usuario y no a su identificación.
- La inexistencia de otras finalidades.
- El alcance del tratamiento.
- El impacto en los derechos y libertades de los interesados.
El tratamiento de la huella dactilar como dato biométrico perteneciente a una categoría especial de datos ha sido objeto de un intenso e interesante debate en la sección GDPR Hacks de Campus Ribas.
Gracias a Javier Sempere por divulgar la publicación de este informe