Saltar al contenido

Biometría, Afganistán y Datos Personales. A cargo de Sonia Vázquez Cobreros.

AD 142/2021

BIOMETRÍA, AFGANISTÁN Y PROTECCIÓN DE DATOS PERSONALES

RESUMEN

La reciente toma de Kabul por parte de los talibanes hacía que el mundo se centrase en Afganistán y en los acontecimientos que estaban teniendo lugar en el país. La incertidumbre sobre el futuro de los afganos y los problemas derivados de no respetar los derechos humanos se revelaban como vitales para todos aquellos colaboradores con las fuerzas aliadas y el gobierno afgano. Ente todas las noticias destacadas por la prensa, se confirmó que dispositivos que contenían datos biométricos de estos últimos eran tomados por los talibanes. Este artículo reflexiona sobre el impacto de este acceso por parte de los talibanes en la protección de datos personales, el tratamiento de datos biométricos, así como la normativa aplicable y las obligaciones derivadas de la misma en la Unión Europea.

 

PALABRAS CLAVE: DATOS BIOMÉTRICOS, PROTECCIÓN DE DATOS, CATEGORÍAS ESPECIALES DE DATOS, PRINCIPIO DE PROPORCIONALIDAD, RGPD.

 

ABSTRACT

The recent Taliban takeover of Kabul had the world focused on Afghanistan and the events taking place in the country. Uncertainty about the future of the Afghans and the problems arising from the failure to respect human rights were vital for all those collaborating with the allied forces and the Afghan government. Among all the news highlighted by the press, it was confirmed that devices containing biometric data of Afghans were taken by the Taliban. This article reflects on the impact of this access by Taliban on the protection of personal data, the processing of biometric data, as well as the applicable regulations and the obligations to be met in the European Union.

 

KEY WORDS: BIOMETRIC DATA, DATA PROTECTION, SPECIAL DATA CATEGORIES, PROPORTIONALITY PRINCIPLE, GDPR.

 

1.- REGIMEN TALIBAN Y DATOS BIOMÉTRICOS

Este agosto nos traía la inquietante noticia de la abrupta retirada de las tropas estadounidenses, así como del resto de fuerzas aliadas de Afganistán, ante la inminente llegada de los talibanes a Kabul, tras tomar el control de la mayor parte de puntos estratégicos del país y, por tanto, de su población civil, lo cual ha derivado en la toma del país afgano por parte de los talibanes. Más allá de todas las consecuencias políticas, sociales, humanitarias y económicas que sin duda serán de una trascendencia sin límites, llamaba la atención, desde el punto de vista de la privacidad, el hecho de que, la repentina retirada del gobierno afgano dejaba en mano de los talibanes material que contiene datos de identificación biométrica abandonado por los departamentos gubernamentales y las fuerzas de coalición. Estamos ante un asunto de extrema gravedad, desde el momento en el que existe un riesgo de identificación de ciudadanos, entre los que se encuentran muchos oponentes al régimen autoritario de los talibanes, a través de sus datos biométricos. Estos dispositivos biométricos facilitados por el ejército estadounidense, conocidos por sus siglas en inglés HIIDE (Handheld Interagency Identity Detection Equipment), son considerados una herramienta de gran precisión para la identificación y autenticación de personas utilizando tres tipos de datos biométricos: iris, huellas dactilares y reconocimiento facial. Adicionalmente, estos dispositivos permiten el acceso a otras extensas bases de datos centralizadas creadas en los últimos años por el gobierno afgano entre las que destaca APPS, sistema afgano de control de funcionarios y de pagos, y que contiene, según diversas fuentes, cerca de medio millón de datos personales de cada miembro del Ejército Nacional Afgano (ANA) y la Policía Nacional Afgana (ANP), ya que era utilizado tanto por el Ministerio del Interior afgano como por el Ministerio de Defensa para pagarles sus hornorarios. A pesar del que el artículo 37 de la Constitución Afgana [1]garantiza el derecho a la confidencialidad y privacidad, la carencia de una normativa específica en protección de datos ha derivado en que la información contenida en esta base de datos se haya guardado con carácter indefinido, independientemente de que los funcionarios siguiesen activos y lo que es aún más grave, se desconoce que exista una política de eliminación o bloqueo de datos, ni tan siquiera en situaciones de extrema gravedad como puede ser que dichos registros caigan en manos de terceros, como ha sido el caso.

Si bien los talibanes han declarado públicamente que no llevarán a cabo represalias específicas contra los afganos que han trabajado con el gobierno anterior o con las fuerzas de la coalición, en base a previas acciones de estos, la existencia y potencial acceso a este tipo de bases de datos no resulta en ningún caso tranquilizador. Basta con poner un solo ejemplo, como el incidente sucedido en 2016, una emboscada a un autobús con destino a Kunduz en el que 200 pasajeros, incluyendo soldados locales del ANA que fueron tomados como rehenes por los talibanes y, posteriormente, 12 asesinados. En este caso, los testigos afirmaron que se había usado un dispositivo de huellas dactilares para verificar la identidad de aquellas personas.

Estas situaciones y este uso indiscriminado y no regulado de datos biométricos subrayan la necesidad de que exista una normativa robusta que ampare y regule el uso de este tipo de tecnologías cuyo uso puede derivar incluso en la vida o la muerte de una persona en situaciones extremas, tal y como hemos analizado. En muchos casos, ni las empresas ni los ciudadanos son conscientes de la relevancia del uso de sus datos de carácter personal, especialmente en lo referente a datos sensibles, como serían los datos biométricos, cuyo contexto de tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales de sus titulares.

2.- DEFINICIÓN Y TRATAMIENTO DE DATOS BIOMÉTRICOS

¿A qué nos referimos cuando hablamos de datos biométricos y por qué su tratamiento podría conllevar más riesgo o resultar más gravoso que procesar otras tipologías de datos de carácter personal que no tienen la consideración de categorías especiales de datos o sensibles?

El Reglamento General de Protección de datos EU 2016/679 (RGPD) [2] los define, en su artículo 4, como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos. Tal y como se incluye en la Guía Tecnologías Biométricas aplicadas a la Ciberseguridad[3]publicada por INCIBE, podríamos diferenciar entre tecnologías biométricas fisiológicas (entre las que encontraríamos la huella dactilar, reconocimiento facial, de iris, de retina, vascular o geometría de la mano, respectivamente) y tecnologías biométricas de comportamiento (como el reconocimiento de firma, de escritura, de voz, de escritura de teclado o la forma de andar).

El desarrollo y crecimiento en el uso de este tipo de nuevas aplicaciones tecnológicas biométricas ha sido vertiginoso en los últimos años. Sin embargo, aspectos como la conservación de esta tipología de datos y su protección ante un acceso y uso indebido o ante incidentes de seguridad, resulta trascendental y puede conllevar elevados riesgos para los derechos de los interesados, tal y como señala el European Data Protection Board (EDPB) en sus Directrices 3/2019 [4]sobre el tratamiento de datos personales mediante dispositivos de vídeo. Es fundamental que el recurso a dichas tecnologías tenga lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD. Aunque la utilización de estas tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos de lograr su fin legítimo del tratamiento, cuestión que en muchos casos se obvia y resulta trascendental.

Pongamos un ejemplo práctico. En el caso de que perdamos una tarjeta de identidad en la que figuren nuestros datos de carácter personal, un tercero que se haga con ella podrá hacer uso indebido de esta con finalidades fraudulentas, pero esta acción debería quedar interrumpida en el momento en el que seamos conscientes de la pérdida y procedamos a su cancelación ante la autoridad competente, la cual expedirá una nueva inutilizando la tarjeta anterior. Sin embargo, en el caso de datos biométricos, la cuestión cambia sustancialmente, ya que los patrones de una huella o de un iris son permanentes, no pueden ser cambiados o reseteados en caso de que se vean comprometidos si son accedidos por terceros no autorizados. Es cierto que en general, los dispositivos biométricos están configurados de tal modo que no almacenan el dato biométrico en si mismo, si no parámetros o patrones, sin embargo, ha sido demostrado que a partir de estas características existe la posibilidad de reconstruir el dato original o parte de este. Por ello, surge la necesidad de limitar que no censurar, el uso de tecnologías biométricas, regular su correcto uso y, especialmente, establecer unas medidas de seguridad robustas que protejan el acceso a los datos biométricos y minimicen los riesgos a los que se exponen los titulares de los datos frente a un uso incontrolado de los mismos.

 

3.- NORMATIVA APLICABLE EN ESTADOS UNIDOS, EUROPA Y ESPAÑA EN MATERIA DE PRIVACIDAD

En EE.UU. no existe una norma federal que regule de forma integral y exhaustiva la recogida, el tratamiento y la conservación de datos biométricos y aplique a los cincuenta Estados, si bien se está trabajando en una BIPA (Biometric Information Privacy Law) cuya finalidad será establecer el marco legal de privacidad para el uso de información biométrica.

 

Actualmente, existen en el país normas activas y efectivamente aprobadas a nivel local, que regulan el uso de datos biométricos, así como otras pendientes de aprobación, mereciendo expresa mención las siguientes: Texas’ Business and Commerce Code – BUS & COM § 503.001. Capture or Use of Biometric Identifier, Washington’s House Bill e Illinois’ BIPA, destacando esta última por prever un derecho de acción privado. También es reseñable el hecho de que, en 2019, varios estados realizaron enmiendas en las leyes que regulaban las notificaciones de brechas de seguridad incluyendo referencias a datos biométricos, incluyendo Arkansas, California, Nueva York y Washington.

En la Unión Europea, el RGPD incluye en su artículo 9 a los datos biométricos dentro de las consideradas categorías especiales de datos. Esto implica que, con carácter general, su tratamiento estará prohibido, a menos que concurra alguna de las excepciones mencionadas en el mismo artículo, que justifique su tratamiento. El motivo que lleva a ello viene fundamentado en su Considerando 51, al determinar que los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales merecen una especial protección. Prosigue señalando que tales datos personales no deberán ser tratados, a menos que se permita su tratamiento en situaciones específicas contempladas en el RGPD, habida cuenta de que los Estados miembros podrán establecer disposiciones específicas sobre protección de datos con objeto de adaptar la aplicación de las normas al cumplimiento de una obligación legal o al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. Además de los requisitos específicos de ese tratamiento, deberán aplicarse los principios generales y otras normas del RGPD, sobre todo en lo que se refiere a las condiciones de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la prohibición general de tratamiento de esas categorías especiales de datos personales, entre otras cosas cuando el interesado facilite su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.

Por su parte, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)[5] aprobada en España, apenas hace referencia expresa a los datos biométricos, sin perjuicio de la aplicación de aquellas previsiones que hagan referencia a categorías especiales de datos. Únicamente, la disposición final undécima define que “si la información incluyese datos personales que hagan referencia al origen racial, a la salud o a la vida sexual, incluyese datos genéticos o biométricos o contuviera datos relativos a la comisión de infracciones penales o administrativas que no conllevasen la amonestación pública al infractor, el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley“.

Como apunte, y sin entrar en detalle puesto que se trata de una cuestión compleja y sujeta a interpretación en cada caso concreto, a nivel nacional, es importante comentar que, la Agencia Española de Protección de datos (AEPD), en su Informe 36/2020[6], basándose en el Dictamen 3/2012 del Grupo de Trabajo del Artículo 29[7] sobre la evolución de las tecnologías biométricas y el Libro blanco sobre la inteligencia artificial de la Comisión Europea[8], asume como válida la distinción entre identificación biométrica y verificación o autenticación biométrica:

 Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).

 Verificación o autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno- a-uno).

Atendiendo a esta distinción, la AEPD concluye que, a pesar de que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico parecería incluir ambos supuestos, con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno). Sin duda, se trata de una distinción que revierte gran importancia y complejidad, por lo que cada caso deberá ser analizado de forma específica y pormenorizada a la hora de determinar si, efectivamente, nos encontramos ante categorías especiales de datos o no.

 

4.- OBLIGACIONES PREVIAS AL TRATAMIENTO DE DATOS BIOMÉTRICOS

Como hemos podido observar, el RGPD establece una protección especial sobre los datos biométricos. Con carácter previo a llevar a cabo el tratamiento, los responsables del tratamiento deberán realizar, de forma preceptiva, una evaluación de impacto (EIPD o Privacy Impact Assessment), tal y como se recoge en el Considerando 91 del RGPD, al considerarse que las operaciones de tratamiento entrañan un alto riesgo para los derechos y libertades de las personas físicas y a través de la cual se evaluará, en particular, el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. La evaluación de impacto está dirigida a, conforme a los principios de privacidad por diseño y por defecto, analizar cómo se llevará a cabo el tratamiento de estos datos biométricos, adecuándolo a las obligaciones establecidas en el RGPD e implantando medidas técnicas robustas y suficientes para afrontar los riesgos y garantizar la protección y seguridad de los datos biométricos tratados, conforme a lo dispuesto en el artículo 32 del RGPD.

Otra de las exigencias establecidas en el RGPD en relación con la realización de una EIPD, es la recogida en su artículo 35.7, relativa a la obligatoriedad de realizar una evaluación de necesidad y proporcionalidad de las operaciones de tratamiento en cuanto a su finalidad por parte de aquellos que quieran procesar datos biométricos. Siguiendo el criterio de jueces y Tribunales [9], el juicio de proporcionalidad se traduce en una ponderación realizada en base a tres criterios: Idoneidad, necesidad y proporcionalidad en sentido estricto. Para resultar factible y viable, el tratamiento deberá cumplir con los tres.

En lo referente a la idoneidad, habrá que determinar si el tratamiento es adecuado para el fin que persigue. El tratamiento debe dar respuesta a determinadas carencias, obligaciones u oportunidades objetivas de tal modo que puedan conseguirse los objetivos propuestos con la eficacia suficiente.

Sobre la necesidad de llevar a cabo el tratamiento, habrá que determinar si la finalidad última perseguida no puede alcanzarse de otro modo menos lesivo o invasivo, es decir, no existe un tratamiento alternativo que sea igualmente eficaz para el logro de la finalidad perseguida. En el caso de que la finalidad perseguida pudiese obtenerse sin usar datos biométricos, debería optarse por esa solución menos invasiva.

Por último, a través del juicio de proporcionalidad estricto, se deberá ponderar la gravedad del riesgo para los derechos y libertades del tratamiento, su intromisión en la privacidad, así como el beneficio que el tratamiento proporcionará al titular de los datos y a la sociedad, de tal modo que sea adecuado y proporcionado al objetivo perseguido.

Es muy importante señalar que, en aquellos casos en los que el tratamiento de datos biométricos no supere la evaluación de necesidad y/o proporcionalidad, no se recomienda continuar con la EIPD, puesto que el tratamiento no resultaría conforme a lo dispuesto en nuestro ordenamiento jurídico.

Por otra parte, en aquellos casos en los que superado el juicio de proporcionalidad y la evaluación de impacto realizada arroje un resultado positivo al tratamiento de datos biométricos, resultará fundamental y obligatorio para el responsable del tratamiento facilitar al titular de los datos personales información clara y transparente acerca de las características principales del tratamiento al que será sometida su información personal, los medios para ejercer sus derechos, así como del resto de puntos contenidos en el artículo 13 RGPD. En aquellos casos en los que el uso de datos biométricos esté basado en el consentimiento del titular de estos, además de expreso, deberá ser facilitado en todo caso mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado, ya que en caso contrario no será considerado válido y el tratamiento no gozará de base jurídica que lo legitime. Igualmente, el responsable del tratamiento deberá ser capaz de demostrar que el titular de los datos ha dado su consentimiento a la operación de tratamiento sobre sus datos biométricos.

 

5.- CONCLUSIONES

En los últimos años, cada vez más empresas se comprometen y valoran disponer de un sistema de gestión adecuado a la normativa en protección de datos, especialmente aquellas que prestan servicios críticos o novedosos, como serían los relacionados con la ciberseguridad, biometría o inteligencia artificial, y están orientadas a facilitar un servicio de calidad a sus clientes y proveedores. Sin embargo, aún queda un largo camino en la concienciación de empresas y titulares de datos, que no comprenden la gravedad de no llevar a cabo un tratamiento de datos de carácter personal conforme a los más altos estándares de privacidad, conforme a lo dispuesto en el RGPD y su normativa de desarrollo.

Porque la adecuación y correcta aplicación de la normativa en protección de datos no sólo evita multas o malas praxis con consecuencias nefastas para las compañías, si no que, incluso, si volvemos nuestra cabeza a Afganistán, puede llegar a salvar vidas.

Sonia Vázquez Cobreros.

14 de septiembre de 2021

 

[1] https://www.afghanembassy.com.pl/afg/images/pliki/TheConstitution.pdf

[2] https://eur-lex.europa.eu/legal-content/ES/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[3] https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_tecnologias_biometricas_aplicadas_ciberseguridad_metad.pdf

[4] https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_es.pdf

[5] https://www.boe.es/boe/dias/2018/12/06/pdfs/BOE-A-2018-16673.pdf

[6] https://www.aepd.es/es/documento/2020-0036.pdf

[7] https://www.aepd.es/sites/default/files/2019-12/wp193_es.pdf

[8] https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_es.pdf

[9] El Tribunal Constitucional ha señalado en su STC14/2003, de 28 de enero, FJ9 que “para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, es necesario constatar si cumple los tres requisitos o condiciones siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto)


 

SONIA VÁZQUEZ COBREROS
Abogada en protección de datos, privacidad, IT.

Abogada licenciada por la Universidad de Oviedo y colegiada en el ICAM. Master en Privacidad y Protección de Datos por la UNED, Master en Propiedad Intelectual por la Universidad Carlos III de Madrid y Master en International Business por la Universidad de Barcelona. Ha desarrollado su carrera asesorando a empresas nacionales e internacionales en materia de nuevas tecnologías, privacidad y protección de datos, internet, ciberseguridad y telecomunicaciones.

Deja un comentario

A %d blogueros les gusta esto: