Saltar al contenido

¿Qué hace especial a un dato biométrico? A cargo de Alberto Casas.

AD 81/2020

Abstract

The General Data Protection Regulation (GDPR) has introduced the biometric data for the purpose of uniquely identifying a natural person amongst the spectrum of special categories of personal data. This paper is aimed to discuss whether or not the purpose of the processing of biometric data is essential to ascertain the applicability of the article 9 GDPR regime.  

Palabras clave (Keywords)

RGPD, Categorías especiales de datos, datos biométricos, protección de datos.

Introducción

Una de las innovaciones recogidas en el Reglamento General de Protección de Datos[1] (en adelante, “RGPD”) en el catálogo de las denominadas categorías especiales de datos contenido en su artículo 9 ha sido la inserción de los datos biométricos dirigidos a identificar de manera unívoca a una persona física. Estimando la terminología empleada por el legislador europeo, puede llegarse a la conclusión de que la finalidad del tratamiento efectuado sobre los datos biométricos es la que determina su régimen aplicable, y no el dato en sí, como ocurre con el resto de datos personales reconocidos en el artículo 9 RGPD.

El presente artículo analiza el alcance que la finalidad del tratamiento tiene sobre el concepto de datos biométricos y su consecuente acepción como categoría especial de dato.

Antecedentes

Hasta la publicación del RGPD,[2] han sido muy escasas las referencias al tratamiento de datos biométricos en las normativas europeas e internacionales que han versado sobre el derecho a la protección de datos. Concretamente, ni han sido objeto de análisis en la Directiva 95/46/CE,[3] ni en el Convenio 108 del Consejo de Europa.[4] 

Los primeros acercamientos doctrinales a la materia se efectuaron por el ya extinto Grupo de Trabajo del Artículo 29[5] (en adelante, “GT 29”) en su Documento de trabajo sobre biometría del año 2003.[6] En el mismo, se planteó por primera vez el potencial riesgo que, por su naturaleza, esta clase de datos podía suponer para los derechos y libertades de las personas.[7]  

En tanto que esta clase de tratamiento de datos personales requería de una individualización conceptual, el GT 29 publicó con posterioridad el Dictamen 4/2007 sobre el concepto de datos personales[8] en el que ofreció una primera definición relativa a esta tipología de datos, calificando los mismos como “propiedades biológicas, características fisiológicas, rasgos de la personalidad o tics, que son, al mismo tiempo, atribuibles a una sola persona y mensurables, incluso si los modelos utilizados en la práctica para medirlos técnicamente implican un cierto grado de probabilidad[9]. Resulta interesante resaltar que, en este Dictamen, el GT 29 comparó esta categoría de datos con los genéticos, toda vez que el tratamiento de ambos contiene un carácter dual: proporcionan información que queda vinculada a un individuo y permite identificar de manera inequívoca al mismo.[10]

Más adelante, el GT 29 perpetuó esta concepción de los datos biométricos en el Dictamen 3/2012 sobre la evolución de las tecnologías biométricas.[11] No obstante, ha de matizarse lo siguiente: toda referencia efectuada sobre los datos biométricos tuvo como premisa su clasificación como dato personal, pero no como dato sensible (sin perjuicio de que pudieran inferirse de los mismos otros datos que sí lo fueran, como aquellos relativos a la salud o a la revelación del origen étnico o racial).[12]

Finalmente, con la publicación y entrada en vigor del RGPD y de la Directiva (UE) 2016/680,[13] se preceptuó por primera vez el concepto de datos biométricos, determinando que los mismos consistían en “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales[14] de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos[15]. Además, el legislador europeo estableció una regulación más estricta para estos datos en determinados casos, al incluirlos entre las denominadas categorías especiales de datos (Artículo 9) siempre que estuviesen dirigidos a identificar de manera unívoca a una persona. 

¿Cuándo un dato biométrico es un dato personal?

En atención a los artículos 4(14) RGPD y 9 RGPD, se deducen tres elementos circundantes al tratamiento de un dato biométrico:

  • Naturaleza del dato: proceden de datos relativos a características físicas, psicológicas o conductuales de una persona física;
  • Medios del tratamiento empleados: son datos obtenidos a raíz de un tratamiento técnico específico;
  • Finalidad del tratamiento: son datos que pueden permitir o confirman la identidad única de una persona física.

Sobre su naturaleza y medios del tratamiento empleados

En primer lugar, se requiere que exista un tratamiento técnico específico previo aplicado sobre características físicas, fisiológicas o conductuales de una persona física (denominadas conjuntamente por el GT 29 como “fuente de datos biométricos”[16]) para que un dato personal se torne biométrico.[17]

A modo ejemplificativo, se consideran fuentes de datos biométricos las siguientes:[18]

  • Fuentes físicas: la huella dactilar, el rostro, el iris, la retina, la geometría de la mano, o la geometría del árbol de venas de un dedo.
  • Fuentes fisiológicas: las líneas de la palma de la mano, la forma de las orejas, la piel, el ADN, o la composición química del olor corporal.
  • Fuentes conductuales: la firma, la forma de escribir, la voz o la forma de andar.

La diferencia entre el dato personal que en sí mismo puede ser la fuente de datos biométricos y los datos biométricos puede apreciarse en el considerando 51 RGPD, que señala: “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física”.

A modo de ejemplo, un sistema de videovigilancia que almacene imágenes en las que se disciernan los rostros de todos los interesados que acceden a un establecimiento no implica un tratamiento de datos biométricos, pero sí de datos personales. Si en este mismo escenario se emplease un sistema de reconocimiento facial, se estaría aplicando un medio técnico específico cuya finalidad podrá o no consistir en la identificación de un interesado, llevándose a cabo en cualquier caso un tratamiento de datos biométricos.

Sobre la finalidad del tratamiento

Como anteriormente se ha adelantado, la normativa vigente en materia de protección de datos introduce en la definición de dato biométrico el empleo de tratamientos técnicos específicos que permitan o confirmen la identificación única de dicha persona. Estando la finalidad del tratamiento vinculada inexorablemente a la técnica empleada, sorprende que el legislador europeo haya construido un concepto jurídico indeterminado al no concretar qué se entiende por tales técnicas.

De acuerdo con el GT 29,[19] el tratamiento de los datos biométricos en un sistema biométrico suele constar de diferentes procesos en los que podríamos englobar los tratamientos técnicos mencionados en el RGPD, que suelen estar circunscritos a los siguientes: recogida de datos biométricos de una fuente biométrica; almacenamiento de los datos obtenidos; y correspondencia de los datos o plantillas biométricas generadas con los datos o plantillas biométricas recogidas en una nueva muestra a efectos de identificar, verificar y autenticar, o categorizar los mismos.

El proceso de correspondencia, por lo tanto, podría comprender las siguientes finalidades:

  • Identificación biométrica: consiste en la comparación de la muestra recogida del interesado (adquirida en el momento de la identificación) frente a una base de datos de rasgos biométricos o plantillas registradas previamente. Este método, conocido por quedar regido por un proceso de búsqueda de correspondencia “uno a varios”, requiere relacionar la muestra con cada una de las anteriormente almacenadas para buscar una coincidencia.
  • Verificación/autenticación biométrica: es un proceso compuesto por un procedimiento de búsqueda de correspondencia “uno a uno”: para ello, el interesado se identifica inicialmente mediante un nombre de usuario, tarjeta o algún otro método para que, a continuación, el sistema recoja la característica biométrica del mismo y la compare con la muestra que tiene almacenada (adquirida en el momento de la verificación). Es un proceso simple, al tener que comparar únicamente dos muestras, en el que el resultado es positivo o negativo.
  • Categorización/separación biométrica: proceso de establecer si los datos biométricos del interesado pertenecen a un grupo con características predefinida (edad, sexo…), a fin de adoptar una medida específica (por ejemplo, mostrar un determinado anuncio publicitario). En este caso no es importante identificar o verificar al individuo, sino asignarle automáticamente a una categoría determinada.

¿Cuándo un dato biométrico es una categoría especial de dato?

Es vital para un responsable del tratamiento conocer si está o no tratando datos biométricos dirigidos unívocamente a identificar a una persona.

Primero, porque su tratamiento queda expresamente prohibido como regla general por el apartado uno del artículo 9 RGPD, debiendo concurrir, además de una base legitimadora del artículo 6 RGPD, uno de los supuestos tasados en el apartado dos del artículo 9 RGPD que exceptúe la prohibición de tratamiento.

Segundo, debido a que requeriría de la preceptiva realización de una evaluación de impacto relativa a la protección de datos (en adelante, “EIPD”) en los términos del artículo 35 RGPD: de acuerdo con la lista de operaciones de tratamientos que la Agencia Española de Protección de Datos (en adelante, la “AEPD”) envió al Comité Europeo de Protección de Datos (en adelante, “CEPD[20]) en el marco del artículo 35.4 RGPD, este último consideró que debía incorporarse, además de aquellas operaciones que implicasen el tratamiento de categorías especiales de datos señaladas en el artículo 9.1 RGPD, una mención expresa e independiente al tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física.[21] Prueba de ello es la lista que la AEPD ha publicado conforme al artículo 35.4 RGPD,[22] en la cual se hace alusión específica en este sentido a ambas operaciones en los puntos 4 y 5. De conformidad con su apartado introductorio: “En el momento de analizar tratamientos de datos será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento cumpla con dos o más criterios de la lista expuesta a continuación, salvo que el tratamiento se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en artículo 35.5 del RGPD[23]. Por ello, al consistir en un tratamiento que implica el uso de datos contenidos el artículo 9 RGPD (punto 4), así como el uso de datos biométricos con el propósito de identificar de manera única a una persona física (punto 5), se deberá proceder con una EIPD.

Resaltada la importancia sobre la necesidad de alcanzar un consenso acerca del elemento relativo a la finalidad del tratamiento de los datos biométricos, la expresión “identificación unívoca” contenida en el artículo 9 RGPD puede tener múltiples interpretaciones que varían desde orígenes técnico-científicos a criterios más flexibles.

Identificación inequívoca en sentido estricto

Es la interpretación que desde la comunidad biométrica[24] se ha venido señalando y en la que se ha apoyado el GT 29, y que diferencia entre la identificación biométrica y la verificación biométrica.

Recientemente, la AEPD publicó un informe[25] relativo al empleo de técnicas de biometría facial en la realización de pruebas de evaluación online, donde diferencia supuestos en los que un dato biométrico puede o no adquirir el estándar de categoría especial de dato según este criterio. De acuerdo con dicho informe: “el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno – a varios) y no en el caso de verificación/autenticación biométrica (uno – a – uno)[26].

La AEPD apoya su criterio, además de los pronunciamientos del GT 29 y en el considerando 51 del RGPD antes transcrito, en el artículo 6.1 del Convenio 108+,[27] el cual incluye como categoría especial de datos “los datos biométricos dirigidos a la identificación unívoca de una persona”, no mencionando la autenticación (palabra usada tanto por la AEPD como por el GT 29 como sinónimo de verificación biométrica). Ha de advertirse que la misma expresión ha sido utilizada, como se ha venido señalando, en el RGPD en su artículo 9, y que el Convenio 108+ en su “Explanatory Report” hace una alusión a los datos biométricos en un tono similar al que se desprende del RGPD respecto al considerando 51 RGPD.[28] Esta misma interpretación ha sido fuente de retroalimentación en un nuevo informe publicado el 28 de mayo de 2020, donde la AEPD se reitera en su postura.[29]

Si se considera este criterio, se contempla el empleo de las garantías del artículo 9 RGPD a los casos en donde el tratamiento de los datos se realiza sobre el mayor grado de identificación que puede haber, habida cuenta de la definición técnica de identificación biométrica antes señalada. En resumidas cuentas, la identificación biométrica equivaldría a la identificación unívoca del individuo en la amplia mayoría de los supuestos de hecho.

Identificación inequívoca en sentido amplio

Esta interpretación acoge los supuestos en donde la identificación unívoca se refiere a la singularización de la persona en general, como individuo, y no a la identificación biométrica en particular, como técnica. Quiere ello decir que, mientras que se esté generando una plantilla biométrica o se estén empleando técnicas dirigidas a individualizar a un sujeto y no a una categoría de sujetos, es indiferente si la finalidad del tratamiento implica identificar, verificar o autenticar al interesado: se está realizando una identificación unívoca en los términos del artículo 9 RGPD.

El CEPD ha sido quien se ha apoyado sobre esta interpretación en sus recientes directrices sobre tratamientos de datos personales a través de dispositivos de videovigilancia,[30] en las que, al igual que la AEPD en el informe antes mencionado, realiza una aproximación a las técnicas de reconocimiento biométrico facial.

Es por ello que el CEPD indica que “cuando el objetivo del tratamiento es, por ejemplo, distinguir una categoría de interesado de otra pero sin identificar de forma única a nadie, el tratamiento no entraría en el supuesto del artículo 9 RGPD[31]. Es interesante analizar los ejemplos que emplea para desgranar esta concepción. Por un lado, expone el supuesto de un dueño de una tienda que emplea biometría facial mediante sistemas de videovigilancia para detectar las características físicas de los clientes con la finalidad de clasificar a los mismos por edad y sexo. El dueño no guarda ninguna plantilla biométrica, sino que, en función de las características físicas comunes del colectivo detectado, ofrece una publicidad u otra. En este supuesto, el CEPD considera que hay un tratamiento de datos biométricos no dirigido a identificar unívocamente a una persona, quedando excluido el régimen especial del artículo 9 RGPD.[32]

Ahora bien, el CEPD plantea la posibilidad de que un responsable del tratamiento decida almacenar información biométrica de las características físicas concretas de, por ejemplo, un cliente que visita su establecimiento, en vistas a que si vuelve a entrar a posteriori el sistema de videovigilancia detecte que es la misma persona física, ofreciéndole la publicidad más detallada o personalizada. En este caso, se estaría procediendo con un tratamiento de una categoría especial de datos al ser considerado dato biométrico dirigido a identificar unívocamente a una persona.[33]

No solo el CEPD analiza supuestos de identificación biométrica en sentido estricto, sino que además alude a supuestos de verificación/autenticación así como a las repercusiones que sobre el consentimiento en los términos del artículo 9.2.a RGPD tienen tales tratamientos. Por ejemplo, detalla en qué casos podría procederse con la legitimación basada en el consentimiento cuando un interesado acepta que se le asocie su rostro con su pasaje en una terminal de vuelos con tecnologías de reconocimiento facial, de forma que se verifique su identidad.[34]

Retomando la normativa de aplicación, es razonable asumir que el legislador europeo consideró las técnicas de verificación biométricas asumibles también a la identificación inequívoca de un individuo.

Por un lado, es lógico interpretar que el RGPD adopta como sinónimo de verificar la palabra autenticar, toda vez que ya con anterioridad se le dio este uso por el GT 29[35] (y por la AEPD). El considerando 51 RGPD emplea identificación y autenticación como resultados que pueden llevar a la identificación unívoca de una persona.

Por otro, en atención a la terminología utilizada en la definición del artículo 4.14 RGPD, al señalar “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona”, puede estar haciéndose alusión a procesos de identificación y verificación biométrica respectivamente, sometiendo el régimen del artículo 9 RGPD a aquellos supuestos en los que, mediante este tipo de procedimientos, se identifique a un individuo. En otras palabras: lo relevante para categorizar un dato biométrico no es la técnica empleada, sino el resultado (que un interesado sea o haya sido identificado).

Es por ello que la propia nomenclatura que el RGPD recoge se inclina a favor de considerar los datos biométricos obtenidos a través de técnicas de identificación biométrica y verificación biométrica como categorías especiales de datos siempre que se vincule a un interesado identificado.

A esta misma conclusión llegó Catherine Jasserand cuando, analizando la finalidad del tratamiento de los datos biométricos en conjunción con la definición del RGPD en su artículo 4.14, indica que “De acuerdo con la definición, los datos biométricos utilizados para el reconocimiento biométrico (identificación y verificación) y vinculados a un individuo identificado gozan del estatus de dato sensible[36]. No obstante, advierte que las definiciones legales tratadas requieren de un mayor rigor y precisión, debiendo tomar como punto de partida la terminología utilizada en el contexto del reconocimiento biométrico.[37]

¿Qué criterio es más adecuado al RGPD?

Expuesto lo anterior, el presente artículo opta por la visión más flexible, no solo por razones de coherencia, sino porque la misma AEPD en los informes antes citados indica lo siguiente: “No obstante, esta Agencia considera que se trata de una cuestión compleja, (…), debiendo, en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados”.

Las orientaciones expuestas por el CEPD guardan coherencia con las valoraciones extraídas de la comparación entre el considerando 51 y la definición de dato biométrico del artículo 4.14 RGPD, por lo que la diferenciación entre las técnicas de identificación-verificación biométrica a la hora de clasificar un dato biométrico como categoría especial de dato queda en entredicho.

Considerando lo anterior, todo sistema biométrico dirigido a identificar, verificar, reconocer o autenticar interesados de forma particular, en tanto queden vinculados a un interesado identificado, quedaría incluido en el espectro de datos recogidos en el artículo 9 RGPD, quedando prohibido su tratamiento a menos que se justifique alguna de las habilitaciones mencionadas en el apartado dos del mismo.

Conclusión

Los tratamientos de datos biométricos en un sistema biométrico cuyo proceso de correspondencia implique la identificación, verificación o autenticación de un interesado identificado se consideran sometidos al régimen previsto por el artículo 9 RGPD, ya que implican la identificación unívoca de una persona física. Sin embargo, no se consideran categorías especiales de datos los datos biométricos cuya correspondencia provenga de una categorización o separación biométrica en tanto la finalidad del tratamiento quede orientada a diferenciar categorías de interesados sin llegar a identificar o singularizar a ninguno.


[1] Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

[2] Publicación realizada en el DOUE el 4 de mayo de 2016.

[3] Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

[4] Convenio para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal, hecho en Estrasburgo el 28 de enero de 1981.

[5] Grupo de protección de las personas en lo que respecta al tratamiento de datos personales creado por el artículo 29 de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995.

[6] Grupo de trabajo del artículo 29, Documento de trabajo sobre biometría (Adoptado el 1 de agosto de 2003).

[7] Grupo de trabajo del artículo 29, Documento de trabajo sobre biometría (Adoptado el 1 de agosto de 2003), 2: “una utilización amplia y sin control de la biometría es preocupante desde el punto de vista de la protección de los derechos y libertades fundamentales de las personas”.

[8] Grupo de trabajo del artículo 29, Dictamen 4/2007 sobre el concepto de datos personales (Adoptado el 20 de junio).

[9] Grupo de trabajo del artículo 29, Dictamen 4/2007 sobre el concepto de datos personales (Adoptado el 20 de junio), 9.

[10] Grupo de trabajo del artículo 29, Dictamen 4/2007 sobre el concepto de datos personales (Adoptado el 20 de junio), 9.

[11] Grupo de trabajo del artículo 29, Dictamen 3/2012 sobre la evolución de las tecnologías biométricas (Adoptado el 27 de abril de 2012).

[12] Grupo de trabajo del artículo 29, Dictamen 3/2012 sobre la evolución de las tecnologías biométricas (Adoptado el 27 de abril de 2012), 16.

[13] Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales.

[14] La traducción al castellano de esta definición varía entre el RGPD y la Directiva (UE) 2016/680 al referirse al término “de conducta” y “conductuales” respectivamente. Sin embargo, las definiciones de ambos textos en inglés (idioma de redacción) coincide con total exactitud.

[15] Cfr. Artículo 4.14 RGPD y artículo 3.13 Directiva (UE) 2016/680.

[16] Grupo de trabajo del artículo 29, Dictamen 3/2012 sobre la evolución de las tecnologías biométricas (Adoptado el 27 de abril de 2012), 4.

[17] Es por ello que el GT 29 afirmaba que los datos biométricos “cambian irrevocablemente la relación entre el cuerpo y la identidad, ya que hacen que las características del cuerpo humano sean legibles mediante máquinas y estén sujetas a un uso posterior”.

[18] Instituto Nacional de Ciberseguridad, Tecnologías biométricas aplicadas a la ciberseguridad (2016), 7-12.

[19] Grupo de trabajo del artículo 29, Dictamen 3/2012 sobre la evolución de las tecnologías biométricas (Adoptado el 27 de abril de 2012), 5-7.

[20] Cuando una autoridad de control competente planifique la elaboración de una lista de operaciones de tratamiento supeditadas al requisito de evaluación de impacto relativa a la protección de datos conforme al artículo 35.4 RGPD, se ha de someter al previo dictamen del CEPD de acuerdo con el artículo 64.1.a) RGPD.

[21] Comité Europeo de Protección de Datos, Opinion 6/2019 on the draft list of the competent supervisory authority of Spain regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR), 6.

[22] Agencia Española de Protección de Datos, Listas de tipos de tratamientos de datos que requieren Evaluación de Impacto relativa a la Protección de Datos (art. 35.4), 3.

[23] Tanto en este caso como en el que sigue, la negrita es nuestra.

[24] Jasserand, Catherine, Legal Nature of Biometric Data: From ‘Generic’ Personal Data to Sensitive Data (June 1, 2016). European Data Protection Law Review, Vol. 2 (2016), Issue 3, pp. 297-311; University of Groningen Faculty of Law Research Paper No. 24/2018, 12.

[25] Gabinete jurídico de la Agencia Española de Protección de Datos, N/REF: 0036/2020 (8 de mayo de 2020).

[26] Gabinete jurídico de la Agencia Española de Protección de Datos, N/REF: 0036/2020 (8 de mayo de 2020), 19.

[27] Protocolo de enmienda al Convenio para la Protección de Individuos con respecto al procesamiento de datos personales.

[28] Convención 108+: “58. Processing of biometric data, that is data resulting from a specific technical processing of data concerning the physical, biological or physiological characteristics of an individual which allows the unique identification or authentication of the individual, is also considered sensitive when it is precisely used to uniquely identify the data subject”, 22.

[29] Gabinete jurídico de la Agencia Española de Protección de Datos, N/REF: 010308/2019 (28 de mayo de 2020), 12-13.

[30] Comité Europeo de Protección de Datos, Guidelines 3/2019 on the processing of personal data through video devices (versión adoptada tras consulta pública, 29 de enero de 2020).

[31] “However, when the purpose of the processing is for example to distinguish one category of people from another but not to uniquely identify anyone the processing does not fall under Article 9” (Comité Europeo de Protección de Datos, Guidelines 3/2019 on the processing of personal data through video devices, 19).

[32] Comité Europeo de Protección de Datos, Guidelines 3/2019 on the processing of personal data through video devices (versión adoptada tras consulta pública, 29 de enero de 2020), 19.

[33] Comité Europeo de Protección de Datos, Guidelines 3/2019 on the processing of personal data through video devices (versión adoptada tras consulta pública, 29 de enero de 2020), 19.

[34] Comité Europeo de Protección de Datos, Guidelines 3/2019 on the processing of personal data through video devices (versión adoptada tras consulta pública, 29 de enero de 2020), 20.

[35] Grupo de trabajo del artículo 29, Dictamen 3/2012 sobre la evolución de las tecnologías biométricas (Adoptado el 27 de abril de 2012), 5-7.

[36] Jasserand, Catherine, Legal Nature of Biometric Data: From ‘Generic’ Personal Data to Sensitive Data: “Following the definition, biometric data used for biometric recognition (identification and verification) and linked to an identified individual benefit from the status of sensitive data”, 20.

[37] Jasserand, Catherine, Legal Nature of Biometric Data: From ‘Generic’ Personal Data to Sensitive Data: “It is regrettable that the legal definition is not more rigorous and does not take into account the precise terminology used in the context of biometric recognition. As criticised by Stalla-Bourdillon, the legal definitions contained in the GDPR do not reflect technological practices”, 13.

Alberto Casas

8 de Junio de 2020


Alberto Casas es abogado colegiado en el ICAM y Delegado de Protección de Datos certificado conforme al esquema de certificación de la AEPD a través de las entidades AENOR y Asociación Española para la Calidad. Actualmente desempeña labores de consultoría integral en materia de protección de datos a entes públicos y privados al frente del departamento de consultoría jurídica de la empresa Firma, Proyectos y Formación, S.L.

Deja un comentario

A %d blogueros les gusta esto: