Tratamiento de datos biométricos a la luz de la AEPD. A cargo de Pablo García-Girón Pérez.

AD 33/2021

Resumen

El presente artículo tiene como objetivo el estudio de las implicaciones legales que pueden afectar a una Organización al tomar la decisión de realizar un tratamiento de datos de carácter personal con motivo de la instalación de técnicas de biometría.

En el apartado I., se lleva a cabo una introducción al tema de estudio, respecto del auge de técnicas que tienen por objeto el tratamiento de datos biométricos, con diversas aplicaciones.

En el apartado II., se recoge el estado de la normativa en materia de protección de datos respecto del tratamiento de datos biométricos, concretamente, respecto del Reglamento General de Protección de Datos y la norma española. La intención es observar cuáles son los requisitos legales para garantizar el tratamiento de estos datos.

El apartado III., se dedica al estudio del informe del Gabinete Jurídico AEPD 0036/2020 donde se realiza una interpretación general sobre cómo debe entenderse la normativa de protección de datos respecto del caso concreto del uso de técnicas de biometría para el reconocimiento facial.

Finalmente, el apartado IV., presentará unas conclusiones que ayudarán a aportar luz sobre los requisitos exigidos para el tratamiento de datos biométricos.

Abstract

The aim of this article is to study the legal implications that may affect an organisation when deciding to process personal data due to the installation of biometric techniques.

In section I., an introduction to the subject under study is given, in which the rise of techniques aimed at the processing of biometric data, with various applications, is highlighted.

In section II, the state of data protection regulations with respect to the processing of biometric data is presented, specifically with respect to the General Data Protection Regulation and the Spanish regulation. The intention is to observe which are the legal requirements to guarantee the processing of these data.

Section III. is devoted to the study of the report of the AEPD Legal Office 0036/2020, which provides a general interpretation of how data protection regulations should be understood with regard to the specific case of the use of  facial biometric techniques.

Finally, section IV will present some conclusions that will help to shed light on the requirements demanded for the processing of biometric data.

Palabras clave

Protección de datos, RGPD, categorías especiales de datos, datos biométricos, Agencia Española de Protección de Datos, confidencialidad, autenticidad, TIC, verificación, identificación, reconocimiento facial, juicio de ponderación.

Key Words

Data protection, GDPR, special categories of data, biometric data, Spanish Data Protection Agency, confidentiality, authenticity, ICT, verification, identification, facial recognition, weighting judgement.

---

Índice

I. Introducción. II. Normativa y datos biométricos. III. Informe del Gabinete Jurídico AEPD 0036/2020. IV Conclusiones. V. Referencias.

I. Introducción

La biometría es el estudio mensurable o estadístico de fenómenos o procesos biológicos[1]. En este sentido, puede tratarse de la medida sobre características físicas (huella dactilar, retina, iris, patrones faciales, venas de la mano, geometría de la palma de la mano, etc), o de características que no permanecen inmutables en el tiempo, como es la firma manuscrita, el ritmo cardíaco o la frecuencia con que tecleamos en un ordenador.

Se trata de técnicas que han venido utilizándose desde siglos atrás en la cultura oriental[2]. Actualmente, es frecuente ver asociado este término a las Tecnologías de la Información y la Comunicación (TIC) respecto de medidas de seguridad que tienden a garantizar la confidencialidad y la autenticidad de la información.

Su aplicación se ha generalizado entre ámbitos tan diferentes como pueden ser los servicios sociales, el acceso a servicios bancarios por parte de las instituciones financieras, o incluso en forma de control de accesos para la realización de actividades deportivas.

Son varios los motivos por los que se apuesta cada vez más por las tecnologías basadas en patrones biométricos:

• En primer lugar, por la facilidad en su uso, prescindiendo de tarjetas físicas, llaves tradicionales o incluso de la necesidad de memorizar contraseñas.
• En segundo lugar, porque garantiza uno de los niveles de autenticación más robustos.
• Finalmente, porque genera economías de escala, pues solo requiere de un mantenimiento sobre el lector, o tecnología, en cuestión.

Sin embargo, su uso también ha supuesto la aparición de nuevos riesgos, o antiguos adaptados al ámbito tecnológico, que ponen en jaque la seguridad de la información y la protección de los derechos y libertades de los titulares de estos datos. Es por ello que la normativa en materia de Protección de Datos, con el RGPD a la cabeza, se pronuncia al respecto.

II. Normativa y datos biométricos

A continuación, vamos a realizar un pequeño recorrido para conocer cómo se está regulando el tratamiento de datos biométricos en la normativa de protección de datos.

En primer lugar, encontramos el Reglamento General de Protección de Datos.

De acuerdo con el art. 4.14 del RGPD, los datos biométricos se definen como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

El considerando 51 RGPD indica que hay una categoría de protección reforzada sobre determinadas categorías de datos que, por su naturaleza, se entiende que puedan tener una mayor incidencia sobre los derechos y libertades fundamentales del titular de los datos. 

En este sentido, el considerando realiza algunas matizaciones respecto de datos que no siempre deben considerarse como categorías especiales. Concretamente, considera que una fotografía se entenderá como “dato biométrico” sólo cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o autenticación unívoca de una persona física. Más adelante, veremos algún matiz importante respecto de esta cuestión. Baste de momento considerar que el RGPD realiza matices respecto de la consideración de un dato como de categoría especial.

Asimismo, el considerando 91 RGPD entiende que uno de los supuestos que deben motivar el recurso a una Evaluación de Impacto en la Privacidad (EIPD) se encuentra en el tratamiento de datos biométricos. De esta forma, el RGPD manifiesta la importancia que pretende dotar a la decisión de tratar ese tipo de datos.

Posteriormente, en el articulado encontramos el art. 9.1 RGPD, donde los datos biométricos aparecen mencionados dentro de la prohibición general de tratar categorías especiales de datos. Es importante matizar que el literal del artículo se refiere a “(…) datos biométricos dirigidos a identificar de manera unívoca a una persona física (…)”. Esto tendrá importancia en la interpretación que realizará al AEPD.

Esto implica que los datos biométricos son tratados como categorías especiales de datos y, por tanto, sometidos a la necesidad de acogerse a las excepciones propuestas por el art. 9.2 RGPD, así como la necesidad de ser objeto de una EIPD.

En segundo lugar, la Ley Orgánica de Protección de Datos.

Con respecto a la LOPD-GDD, la única referencia que se hace sobre los datos biométricos la encontramos en la Disposición final undécima por la que se modifica la Ley 19/2013 de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, su apartado Dos. La modificación va en la línea de limitar el acceso a información solicitada por los cauces de transparencia, cuando se trate de datos biométricos, entre otros, salvo que el afectado haya mostrado su consentimiento expreso que se produzca ese acceso.

III. Informe del Gabinete Jurídico AEPD 0036/2020

Teniendo en cuenta la regulación anterior, en este apartado se presenta el estudio del Informe del Gabinete Jurídico de la AEPD que resuelve consulta respecto del uso de técnicas de reconocimiento facial en la realización de exámenes online por centros educativos. Con motivo de este caso concreto, la AEPD se permite la elaboración de criterios generales con aplicación sobre los tratamientos que impliquen el uso de datos biométricos.

La consulta se motiva desde el ámbito de la educación, presumiblemente desde una representación de las Universidades españolas, quienes alegan que la situación motivada por el Covid19 implica una pérdida de control, dentro del ámbito lectivo (la consultante habla de su desaparición), respecto de la vigilancia sobre los estudiantes durante la realización de exámenes y pruebas de evaluación.

En este sentido, la consultante plantea que la identificación del alumno, de forma online, tradicionalmente se podía realizar:

• Mediante asignación de identificadores de acceso al entorno del aula virtual.
• Mediante el visionado remoto del estudiante a través de su webcam.

En este sentido, la consultante plantea la posibilidad de implantar un medio no tan tradicional: desplegar herramientas de reconocimiento facial, lo que supone el tratamiento de un dato biométrico. Los argumentos a favor de estas técnicas sostienen que permiten garantizar que:

• La persona no se ha desplazado/abandonado su ubicación frente al ordenador.
• El estudiante no ha sido sustituido por una persona diferente.

Teniendo en cuenta que estos datos son considerados como categorías especiales por el RGPD, la consultante entiende que se puede recurrir a dos posibles bases de legitimación: el consentimiento inequívoco del titular del dato o el interés público esencial declarado previamente por una norma.

Con independencia del resultado, favorable o no, del informe, lo interesante aquí reside en analizar cuáles son los fundamentos jurídicos que la AEPD argumenta a la hora de valorar el posible tratamiento de estos datos.

En primer lugar, la AEPD recuerda que el Estado de alarma, y la situación de Covid, no significan la suspensión del derecho fundamental a la protección de datos[3], por lo que esa variable especial, desaparece de nuestra ecuación o juicio de ponderación. Esto se motivó al entender que el RGPD tiene mecanismos suficientes para amparar los derechos y libertades del titular de los datos, y permitir el trabajo en la lucha contra la pandemia. De ahí que este dictamen tenga relevancia de cara a tratamientos futuros de datos biométricos.

La AEPD considera en su Informe que el objeto de la cuestión que se plantea ahora no es sobrevenido por el Covid19, sino que es una técnica que se ha venido estudiando desde hace años para utilizarlo en la educación española. De esta forma, la AEPD procede a mencionar algunos eventos que han planteado esta cuestión[4].En estos foros se incidía en la necesidad de potenciar la evaluación continua, frente al examen final, trabajados, herramientas antiplagio, exámenes orales por videoconferencia, etc.: Por tanto, desde el propio ámbito universitario se desplegaban una serie de herramientas alternativas al tratamiento de datos biométricos, lo que parece deducir que no es el único medio posible para alcanzar una tutela efectiva sobre la vigilancia de los estudiantes que se evalúan.

Asimismo, la AEPD recuerda que el Grupo de trabajo de la CRUE (conformado por los Delegados de Protección de Datos de las Universidades españolas) no recomiendan el uso de técnicas biométricas bajo los siguientes fundamentos:

• En primer lugar, el Estatuto del Estudiante Universitario en su artículo 25.7 prevé que el carnet de estudiante, o un documento identificativo similar (léase el DNI) son documentos que pueden solicitarse para garantizar la identificación del alumno en un entorno online. Es importante contextualizar que el Estatuto data del año 2010, lo que implica que, en estos 11 años, los medios que se utilizan en el ámbito lectivo, a todos los niveles, han cambiado mucho. Así mismo, es probable que quienes redactaron el Estatuto jamás pudieran imaginar que se produciría una pandemia global.
• En segundo lugar, entienden que, para realizar un tratamiento de este tipo, es necesario recurrir a una base de legitimación correctamente justificada, así como realizar un análisis documentado sobre la gestión de riesgos de ese tratamiento en concreto, que determine medidas de seguridad específicas a aplicar.

Con buen criterio, la AEPD rechaza entrar a valorar cuáles son los medios técnicos que deben usar las Universidades, lo que sería más propio de un desarrollo del parlamento, pero sí considera que puede señalar que el juicio de proporcionalidad de la medida (la técnica que utiliza datos biométricos) se ve afectado cuando hay medidas menos restrictivas para la privacidad de los alumnos.

En consecuencia, de este primer apartado podemos extraer dos conclusiones:

• Existen alternativas menos intrusivas para la privacidad.
• Siempre debe primar un criterio de prudencia garantista.

En segundo lugar, la solicitante fundamenta su consulta en la Ley de Universidades, donde el art. 46.3 explica que “las Universidades establecerán los procedimientos de verificación de los conocimientos de los estudiantes”, lo que interpretado con el Estatuto del Estudiante Universitario en su art. 25.7 “En cualquier momento de las pruebas de evaluación, el profesor podrá requerir la identificación de los estudiantes asistentes, que deberán acreditarla mediante la exhibición de su carné de estudiante, documento nacional de identidad o, en su defecto, acreditación suficiente a juicio del evaluador” entiende que supone una base de legitimación suficiente para amparar el tratamiento.

Para la AEPD los tratamientos de datos derivados de la necesaria evaluación de los alumnos, por regla general, se deben amparar en el artículo 6.1.e) del RGPD, la base de legitimación del interés público derivado de la configuración de la educación superior como servicio público que lleva a cabo la LOU[5].

No es la primera vez que la AEPD ha considerado que la base de legitimación del consentimiento no iba a ser la mejor opción para justificar un tratamiento. También lo plantea dentro de las relaciones laborales entre la empresa y el trabajador, al considerar a este último como la parte “débil” de la relación. Por este motivo, entiende la AEPD que ese consentimiento no puede prestarse en condiciones de igualdad. De la misma forma, interpretando los Considerandos 42 y 43 del RGPD, entiende que no procede recabar en ningún caso el consentimiento del afectado en los supuestos en que el tratamiento se encuentre amparado por cualquiera de las cusas incluidas en las letras b) a f) del 6.1 RGPD. De esta forma, se rechaza la posibilidad planteada por la consultante de recurrir al consentimiento como base de legitimación.

Con respecto a la extensión y alcance del interés público como base de legitimación, la AEPD considera amparada la grabación de los exámenes orales o de la sesión docente por el profesor. Teniendo en cuenta que el art. 46.3 LOU, el apartado 2., reconoce a los alumnos el “derecho a la publicidad de las normas de las Universidades que deben regular la verificación de los conocimientos de los estudiantes” y a “la garantía de sus derechos mediante procedimientos adecuados y, en su caso, la actuación del Defensor Universitario”. En este sentido, la AEPD interpreta que la grabación de los exámenes orales puede ser necesaria como medio de prueba para el ejercicio de sus derechos por parte del alumno. Para ampararse en el 6.1.e), las normas internas de la universidad lo tienen que prever.

Es importante tener en cuenta que la existencia de un interés público no legitima cualquier tipo de tratamiento de datos, sino que deberá estarse a las condiciones que haya podido establecer el legislador, así como a los principios de calidad del RGPD. Asimismo, al tratarse de categorías especiales de datos, tendrá que concurrir alguna circunstancia que levante la prohibición del tratamiento.

En conclusión:

• Es fundamental el estudio de las bases de legitimación del RGPD, a la hora de armar el tratamiento con una percha legal suficiente para ampararlo.

En tercer lugar, la AEPD interpreta que los datos biométricos solo constituirían una categoría especial de datos en el caso en que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.

Haciendo un poco de resumen sobre lo que el RGPD contempla, el reconocimiento facial supone un dato biométrico (art. 4.14 RGPD). Sin embargo, es importante el RGPD no considera a todo tratamiento de datos biométricos como una categoría especial de datos, lo que se deduce al interpretar este artículo con el 9.1 del RGPD que habla de “identificación unívoca”.

Además, el Considerando 51 RGPD dice que este tipo de datos no deben considerarse de forma sistemática como un tratamiento de una categoría especial porque los datos biométricos serán aquellos que permitan, a través de medios técnicos específicos, la identificación o autenticación unívocas de una persona física.

En este sentido, es interesante recordar, y así lo hace la AEPD, el Dictamen que el Grupo del artículo 29 elaboró al respecto para diferenciar lo siguiente:

• Identificación biométrica: de un individuo por un sistema biométrico es el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación), con una serie de plantillas biométricas almacenadas en una base de datos (supone la búsqueda de correspondencias uno-a-varios).
• Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (supone la búsqueda de correspondencias uno-a-uno).

De acuerdo con el art. 4 RGPD, en ambos casos estamos ante un dato biométrico, pero, con carácter general, los datos biométricos solo serán categoría especial en los casos en que se sometan a un tratamiento técnico dirigido a la identificación biométrica, y no en el caso de la verificación/autenticación biométrica.

En este sentido, la AEPD alerta que no hay interpretación del Comité Europeo de Protección de Datos ni de órganos jurisdiccionales, debe interpretarse cada caso en función de la interpretación más favorable para la protección de los derechos de los afectados.

Esto tenía relevancia para el caso concreto que analizaba la consulta porque, la consultante, no definía las técnicas de reconocimiento facial a las que quería recurrir.

Además, la AEPD considera que el tratamiento propuesto por la consultante implicaba la finalidad de identificar unívocamente a una persona física, dado que se recogían más datos biométricos que la fisonomía de la cara (las pulsaciones del teclado, por ejemplo), así como un tratamiento prolongado en el tiempo, no de un momento determinado, lo que implicaba la posibilidad de recoger datos de un tercero.

En conclusión:

• Un tratamiento de datos biométricos no siempre va a suponer el tratamiento de categorías especiales de datos, lo que implica rebajar las exigencias legales del RGPD, evitando así la prohibición general de tratamiento sobre estos datos.
• Dado que el matiz entre ambos supuestos deriva del tipo de tecnología que se utilice en el tratamiento, la solución será casuística.

IV. Conclusiones

De acuerdo con el Informe de la AEPD, y el análisis que hemos realizado en este artículo, se pueden extraer las siguientes conclusiones:

1. En primer lugar, la necesidad de realizar un juicio de proporcionalidad, nunca va a ceder. Por ello, cuanto más documentado se encuentre ese proceso, mejor podremos justificar que la medida es necesaria. En este sentido, siempre primará el criterio de prudencia ante alternativas menos intrusivas para la privacidad.

• En segundo lugar, al encontrarnos con categorías especiales de datos, deberemos concurrir en alguna de las circunstancias que evitan la prohibición general del tratamiento de estos datos. Además, la base de legitimación del consentimiento no puede operar entre relaciones donde el consentimiento puede no prestarse en condición de igualdad, esto es, cuando una de las dos partes tenga una fuerza claramente inferior a la contraparte. Esto supone una limitación importante al jugar con el tratamiento de datos biométricos, en general.

• En tercer lugar, no todo tratamiento de datos biométricos supone un tratamiento de categorías especiales de datos, lo que afecta al régimen jurídico que nos aplicará en uno y otro caso. Sin embargo, no es posible elaborar una regla general, si no que deberemos atender a la tecnología utilizada en cada caso concreto.

• Finalmente, no podemos olvidar la necesidad de realizar una EIPD al tratar datos biométricos, lo que debe acompañar al juicio de proporcionalidad.

V. Referencias

Recursos Legales

• RGPD. Reglamento General de Protección de Datos. Reglamento 2016/679 de 27 de abril relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (…).
• LOPD-GDD. Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• LOU. Ley de Universidades. Ley Orgánica 6/2011 de Universidades.
• EEU. Estatuto del Estudiante Universitario. Real Decreto 1791/2010 de 30 de diciembre por el que se aprueba el Estatuto del Estudiante Universitario.

Jurisprudenciales

• Dictamen 3/2012 del Grupo del Artículo 29.
• Informe AEPD. Informe del Gabinete Jurídico AEPD 0036/2020.
• Informe 17/2020 AEPD sobre la normativa de protección de datos durante la pandemia.
• Informe 30/2019 AEPD sobre la base de legitimación para el tratamiento de datos en el control sobre la evaluación de los alumnos.

Recursos electrónicos:

• Sobre el origen remoto de la biometría http://www.securetech.com.uy/servicios/info/biometria_5.htm.
• Sobre la definición que la RAE realiza del concepto de “biometría”: https://dle.rae.es/biometr%C3%ADa .
• Foro Online de Experiencias ante la Suspensión de la Actividad Docente Presencial en Universidades Españolas por el Covid 19: https://www.us.es/sites/default/files/comunicacion/coronavirus/resumen-jornada-modelos-evaluacion.pdf .

---

[1] De acuerdo con la definición que el Diccionario de la Real Academia de la lengua Española realiza en https://dle.rae.es/biometr%C3%ADa

[2] Consultar http://www.securetech.com.uy/servicios/info/biometria_5.htm

[3] Ver el Informe 17/2020 de la AEPD.

[4] Así lo hacía el Foro Online de Experiencias ante la Suspensión de la Actividad Docente Presencial en Universidades Españolas por el Covid.

[5] Así lo explicaba la AEPD en su Informe 30/2019

---

Pablo García-Girón Pérez.

12 de marzo de 2021

Pablo García-Girón Pérez 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.