¿Es lícito el tratamiento de datos biométricos?

En el presente número de Breves de Regulación Digital  analizamos el tratamiento de datos biométricos desde el punto de vista de protección de datos. En concreto, su relación directa con el control de acceso y sus implicaciones en el marco del RGPD.

Se trata de un tema muy controvertido y cuya interpretación ha seguido una evolución con disparidad de opiniones. Dicho análisis se realiza a partir de la jurisprudencia más reciente, en concreto, de una sentencia de la Audiencia Nacional, en virtud de la cual estimó un recurso contencioso-administrativo interpuesto por un gimnasio frente a una resolución de la Agencia Española de Protección de Datos que le imponía una sanción.

Del mismo modo, señalaremos una serie de cuestiones que se deben tener en cuenta antes de instalar un sistema tecnológico basado en el tratamiento de datos biométricos, bajo RGPD.

Introducción

Cada vez está más extendido el tratamiento de datos biométricos en ámbitos muy diversos y para numerosas finalidades. Asimismo, cada vez es más notoria su utilización en los sistemas de control de acceso, y de control horario, en entidades públicas y privadas.

A este respecto, teniendo en cuenta que los datos biométricos, son considerados a todos los efectos y vienen definidos en la norma como datos personales, el tratamiento que se haga de los mismos debe cumplir la normativa de protección de datos aplicable.

Con el fin de ilustrar los elementos que se deben tener en cuenta a la hora de tratar esta tipología de datos, analizamos los argumentos que se tuvieron en cuenta en la resolución de la denuncia de un cliente de un gimnasio ante la Agencia Española de Protección de Datos Personales (en adelante, “AEPD”), y los que arguyó, en el mismo procedimiento, la Audiencia Nacional en su sentencia de fecha 19 de septiembre de 2019.

Conviene apuntar que los hechos denunciados son de febrero de 2017, y el procedimiento sancionador se inició el 30 de enero de 2018.

Por tanto, la normativa aplicable al procedimiento es la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Supuesto de hecho

En fecha 14 de junio de 2018, la AEPD  acordó sancionar a un gimnasio por considerar que el tratamiento que estaba realizando sobre los datos biométricos de sus socios no era acorde con la normativa aplicable en materia de protección de datos personales.

El gimnasio instaló un sistema de acceso a sus instalaciones, cuyo funcionamiento se basaba en el tratamiento de datos biométricos de sus clientes.

Durante el proceso de inscripción de los clientes en el gimnasio, se tomaban muestras de sus huellas dactilares, y a partir de éstas, aplicando un algoritmo matemático, se generaba una plantilla numérica, que almacenaba el gimnasio.

De esta manera, cada vez que los clientes accedían al gimnasio, posicionaban su huella dactilar en un lector, se generaba nuevamente la plantilla y se comparaba con la que el gimnasio tenía almacenada. En el caso de que dichas plantillas fueran coincidentes, se consideraba al usuario identificado, y se le permitía el acceso.

Con motivo de la utilización del sistema descrito, uno de los socios del gimnasio interpuso una denuncia ante la AEPD, alegando que no se le ofreció un sistema alternativo de acceso a las instalaciones del gimnasio, que consideraba el tratamiento de datos biométricos para la citada finalidad desproporcionado, y por último, que no se le proporcionó un documento a través del cual consintiera el tratamiento de sus datos biométricos.

Por su parte, el gimnasio defendía que no trataba datos biométricos, por cuanto únicamente trataban algunos puntos de la huella, que se convierten en un algoritmo matemático que no puede ser decodificado.

De acuerdo con lo indicado por la AEPD en su resolución, la denunciada trataba partes de las huellas dactilares de sus socios, que eran posteriormente transformadas en una plantilla numérica, de manera que permitiera identificar a los mismos a través de un proceso de cotejo de datos. Por tanto, según la AEPD, el gimnasio estaría tratando datos personales, en la medida en que el sistema permite identificar a los titulares de los mismos.

Asimismo, la AEPD, en su resolución sancionadora, destaca dos cuestiones primordiales que hay que tener en cuenta en relación al tratamiento de la huella dactilar:

1.El cumplimiento del principio de calidad de los datos. Es decir, que los datos sean adecuados, pertinentes y no excesivos en relación a la finalidad perseguida.

2.La necesidad de que los interesados hayan prestado su consentimiento para el tratamiento de sus datos.

Con relación a la segunda cuestión, apuntar que en la resolución de la AEPD únicamente se hace referencia  al hecho de que en el contrato que firman los socios cuando se inscriben en el gimnasio se les informa del tratamiento que se realizará de sus datos biométricos.

Teniendo en cuenta lo anterior, la AEPD concluye que en el supuesto de hecho analizado, la denunciada trata datos biométricos de los socios del gimnasio de forma no proporcionada y excesiva en relación al ámbito y a las finalidades perseguidas. Asimismo, indica que la finalidad perseguida se podría lograr utilizando otros sistemas menos intrusivos para la privacidad de los interesados.

En este sentido, se indica que el responsable podría haber optado por un sistema que permitiese al usuario almacenar los datos biométricos en una tarjeta inteligente que permaneciese en su poder, y que para acceder a las instalaciones del gimnasio, el usuario debiera posicionar su tarjeta y su dedo en un lector. En el supuesto de que los datos biométricos almacenados en la tarjeta y los de la huella posicionada coincidiesen, se permitiría el acceso al gimnasio.

La resolución fue objeto de recurso ante la AN, que en su Sentencia establece que el tratamiento de partes de las huellas dactilares de los socios para controlar el acceso al gimnasio implica un tratamiento de datos personales, ya que permite la identificación de los mismos cada vez que acceden al gimnasio. Por tanto, respecto a este punto, el criterio de la AN es coincidente con el de la AEPD.

No obstante, y contrariamente a lo indicado por la AEPD, la AN considera que el sistema biométrico utilizado por el gimnasio es proporcional a la finalidad perseguida, estando el gimnasio legitimado para seguir utilizando el sistema de acceso a sus instalaciones en base al tratamiento de algunos puntos de la huella dactilar de sus socios.

Aspectos jurídicos

A la vista de lo indicado en el apartado anterior, la complejidad del análisis del sistema de tratamiento de datos biométricos analizado reside en determinar si se cumple el principio de calidad de los datos. Dado que los datos de carácter personal únicamente pueden utilizarse si son adecuados, pertinentes y no excesivos, ello implica analizar en cada caso la necesidad y proporcionalidad de los datos tratados, y si la finalidad perseguida podría alcanzarse de manera menos intrusiva.

Las resoluciones analizadas establecen que, para analizar la proporcionalidad de un determinado sistema biométrico, es necesario que supere los siguientes juicios:

1.Juicio de idoneidad: Consistente en valorar si el sistema utilizado es eficaz para conseguir el objetivo perseguido.

2.Juicio de necesidad: Consistente en analizar si el sistema biométrico en cuestión es necesario para dar respuesta a la necesidad detectada, y no únicamente es el sistema más adecuado o rentable.

3.Juicio de proporcionalidad en sentido estricto: Consistente en valorar si la pérdida de intimidad es proporcional a los beneficios o ventajas que se espera obtener. A la hora de efectuar este juicio, deben tenerse en cuenta las medidas de seguridad implantadas en el sistema analizado en cada caso.

En el supuesto de hecho analizado estudiado, la AEPD y la AN llegan a una conclusión diferente a la hora de realizar el juicio de proporcionalidad en sentido estricto.

De acuerdo con el criterio de la AEPD, sería posible alcanzar el objetivo perseguido utilizando otros sistemas menos intrusivos para la privacidad de los afectados. Este fue el mismo criterio que la AEPD aplicó en su informe 65/2015.

Sin embargo, la AN rebate este argumento de la AEPD alegando que en el supuesto de hecho que dio lugar al citado informe 65/2015, los afectados eran menores, y el lugar en el que se pretendía instalar el sistema biométrico era un colegio. En cambio, en el presente caso el colectivo analizado es mayor de edad, y el sistema biométrico se encuentra instalado en un gimnasio.

Consecuentemente, la AN concluyó que en el caso del gimnasio el sistema biométrico utilizado superaba el juicio de proporcionalidad en sentido estricto.

No obstante, y con relación al sistema alternativo que la AEPD consideraba que el gimnasio debería haber implementado y que motivó su conclusión en cuanto a que el sistema biométrico adoptado no superaba el juicio de proporcionalidad en sentido estricto, conviene apuntar que el Grupo de Trabajo del Artículo 29 (órgano consultivo de la Comisión Europea en materia de protección de datos, actual “Comité Europeo de Protección de Datos”), en su informe 3/2012,  recomienda la utilización de sistemas biométricos que permitan que los datos permanezcan exclusivamente en poder de los interesados.

Análisis del tratamiento bajo RGPD

Es preciso asimismo abordar cómo debería hacerse este análisis, o cuáles serían las cuestiones a tener en cuanto respecto del tratamiento de datos biométricos bajo la óptica de RGPD.

En primer lugar, deberá analizarse el cumplimiento del principio de calidad de los datos por parte del sistema biométrico, así como valorar la base legitimadora aplicable de acuerdo con el artículo 6 del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, “RGPD”). En adición a ello, deberá informarse a los afectados del tratamiento que va a llevarse a cabo respecto de sus datos personales.

En relación con la regulación de los datos biométricos que realiza el RGPD debemos resaltar que dicha normativa  los sitúa dentro de la categoría de datos especiales, dotándoles en consecuencia de una mayor protección.

Al respecto procede un análisis previo para determinar si los datos objeto de tratamiento son efectivamente datos biométricos suficientes para permitir identificar de manera unívoca a una persona física.

Una vez determinado este punto, conforme lo dispuesto en el RGPD, previamente a implantar un sistema que implique el tratamiento de datos biométricos para el control de acceso y/o registro horario deberá realizarse:

  • un análisis de la necesidad y proporcionalidad del tratamiento de dichos datos, en relación a otros posibles medios alternativos con los que alcanzar la misma finalidad;
  • un análisis desde el diseño y por defecto de dicho tratamiento, siguiendo los procedimientos y/o políticas que estén implantadas.
  • un Privacy Impact Assessment (PIA) respecto al tratamiento en sí, al objeto de evaluar los riesgos que el mismo supone y aplicar las medidas mitigadoras y/o correctoras oportunas para poder llevarlo a cabo.

En base a todo lo anterior, y según los resultados obtenidos es preciso determinar las medidas de seguridad, tanto técnicas como organizativas a implantar.

Por último, cabe señalar que cada supuesto puede ser diferente. Por ello, se deberá atender entre otras circunstancias, al colectivo afectado, el ámbito en el que se pretende instalar el sistema que vaya a tratar datos biométricos, volumen de datos tratados o finalidad principal que se persigue.

Claudia Nieto: