¿Qué son los datos biométricos según el RGPD?
Los datos biométricos son aquellos obtenidos a través de un tratamiento técnico específico relativos a características físicas, fisiológicas o conductuales de una persona física, que permitan identificarla de manera única, como recoge el artículo 4.14 del Reglamento General de Protección de Datos (RGPD).
Ejemplos de este tipo de datos son las huellas dactilares o los obtenidos mediante reconocimiento facial, así como detección del iris o la voz para identificar a una persona concreta. Este tipo de datos son cada vez más frecuentes, ya que muchas empresas los adoptan en sus instalaciones o software como alternativa al uso de contraseñas o PIN. Pueden ser empleados para registrar la jornada laboral, para dar acceso a una zona restringida de la empresa o para revisar una base de datos.
Los datos biométricos están basados en rasgos únicos e inalterables del cuerpo y pueden permitir identificar a una persona aunque no realice una intervención activa, como una cámara de reconocimiento facial, por ejemplo. En el caso de las fotografías, en principio no se consideran datos biométricos, salvo que permitan la identificación inequívoca de una persona física.
¿Por qué los datos biométricos son considerados sensibles?
El artículo 9 del RGPD, que hace referencia al tratamiento de categorías especiales de datos personales, incluye los datos biométricos. Este tipo de datos están directamente vinculados a la identidad física de una persona. Si son robados, mal utilizados o compartidos sin autorización, pueden dar lugar a violaciones graves de la privacidad, incluyendo vigilancia indebida o robo de identidad.
Además, el uso ilícito de estos datos puede conducir a situaciones de discriminación, ya que ciertas características biométricas podrían ser utilizadas para excluir o identificar injustamente a personas en función de su raza, género u otros aspectos.
Este tipo de datos requieren un tratamiento especial que los diferencia de los datos personales comunes. Debido a su carácter sensible y al impacto de su mal uso en la privacidad y la seguridad, exigen a las empresas un mayor compromiso en cuanto a la solicitud de consentimiento, las medidas de seguridad necesarias para su tratamiento y otras exigencias del RGPD para los datos especialmente protegidos.
A este respecto, la Policía Nacional de España ofrece una serie de directrices para compartir el DNI de forma segura en el entorno digital. Se recomienda pixelar algunos datos irrelevantes para poder utilizar el documento de identidad para los fines que corresponda, es decir, minimizando los datos.
Normativa del RGPD sobre el tratamiento de datos biométricos
El Reglamento de la UE establece los criterios para tratar datos de categorías especiales en el artículo 9, entre los que se encuentran los datos biométricos para identificar a personas físicas.
Situaciones en las que se permite el tratamiento
En el apartado 1 del artículo 9 se indica que queda prohibido el tratamiento de este tipo de datos. Esto se debe al carácter sensible de este tipo de información, y cómo puede afectar a los derechos fundamentales de las personas. Sin embargo, en el apartado 2 se indican los casos en los que está permitido el tratamiento, entre ellos:
- Si la persona dio su consentimiento
- Si el tratamiento es necesario para cumplir alguna obligación
- En caso de necesitar los datos para proteger intereses vitales
- Datos que hayan sido hechos públicos por el interesado
Estos son algunos de los supuestos en que los datos biométricos pueden ser recopilados, procesados y almacenados por las organizaciones. Se puede ver la lista exhaustiva en el artículo 9.2 del reglamento.
¿Tienes dudas sobre el uso correcto de este tipo de datos en el entorno empresarial? La propia Agencia Española de Protección de Datos ofrece una guía práctica con directrices concretas para ello.
Ejemplos de prácticas legales y no legales
Cada situación debe ser analizada en particular y conforme a la ley para poder saber si se trata de un tratamiento de datos biométricos legítimo. En todo caso, en términos generales, estos son algunos ejemplos de prácticas legales:
- Control de acceso en el lugar de trabajo
- Verificación de identidad en trámites oficiales
- Identificación en controles fronterizos
- Sistemas de autenticación en dispositivos
- Proyectos de investigación médica
En cambio, estos son casos de prácticas no legales:
- Recolectar datos biométricos sin consentimiento
- Uso de datos biométricos para vigilancia masiva
- Venta o transferencia de datos biométricos
- Falta de medidas de seguridad adecuadas
- Falsificación de datos biométricos
La empresa Worldcoin es un ejemplo reciente en cuanto a prohibición del uso de códigos de iris con los usuarios. Las autoridades de control de la Unión Europea, incluida la AEPD, han exigido a la empresa que elimine los datos, de acuerdo con el derecho a supresión recogido en el RGPD, más allá de las sanciones administrativas correspondientes.
Medidas de seguridad para el tratamiento de datos biométricos
Las prácticas recomendadas para empresas en aras de proteger la privacidad de datos son principalmente:
- Uso de cifrado de datos
- Almacenamiento seguro
- Minimización de datos
- Pseudonimización y anonimización
- Protocolos de destrucción segura de los datos
- Acceso limitado y restringido
- Registro de actividades de tratamiento
Se debe informar a los titulares de los datos sobre cómo se recopilan, procesan y protegen sus datos biométricos. Además, la empresa tiene la obligación de facilitar datos de contacto para poder ejercer los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad.
El RGPD exige en el artículo 35 que, en un tratamiento de alto riesgo, se debe superar el triple juicio de idoneidad, necesidad y proporcionalidad estricta, también previsto por la doctrina del Tribunal Constitucional.
¿Puede una empresa usar datos biométricos para control de acceso?
Los criterios de la AEPD, de acuerdo con lo que define el RGPD, señalan que el ámbito profesional ofrece un contexto particular en que hay que valorar el uso de datos biométricos. Esto se debe a que existe un desequilibrio de poder entre las partes.
El consentimiento es una base legítima que queda cuestionada como suficiente para el tratamiento de datos de carácter sensible en el entorno laboral. Así se indica en las Directrices 5/2020 del CEPD (Comité Europeo de Protección de Datos):
«Parece poco probable que un empleado pudiera responder libremente a una solicitud de consentimiento de su empleador para, por ejemplo, activar sistemas de vigilancia por cámara en el lugar de trabajo o para rellenar impresos de evaluación, sin sentirse presionado a dar su consentimiento.
Por tanto, el CEPD considera problemático que los empleadores realicen el tratamiento de datos personales de empleados actuales o futuros sobre la base del consentimiento, ya que no es probable que este se otorgue libremente. En el caso de la mayoría de estos tratamientos de datos en el trabajo, la base jurídica no puede y no debe ser el consentimiento de los trabajadores [art. 6, apartado 1, letra a)] debido a la naturaleza de la relación entre empleador y empleado».
Fuente: Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679, art. 3, apdo. 21.
El RGPD establece que el consentimiento debe ser específico, libre, informado y explícito. Estas condiciones rara vez se cumplen en el entorno profesional, dada la relación de desigualdad inherente en este contexto entre el trabajador y el responsable.
Obligaciones para las empresas que gestionan datos biométricos
Las políticas de protección de datos para empresas en caso de datos biométricos deben seguir estrictamente lo que marca el RGPD.
Como ya se ha mencionado, las empresas deben cumplir una serie de medidas técnicas, como el cifrado de datos. Pero, además, deben seguir medidas organizativas.
Se debe mantener un registro actualizado de todas las actividades relacionadas con el tratamiento de datos biométricos, incluyendo quién accede a ellos, con qué propósito y cuándo. También es crucial formar al personal en materia de protección de datos.
Conclusión
El tratamiento de datos biométricos exige un enfoque riguroso en cuanto a seguridad y cumplimiento normativo, debido a su naturaleza sensible.
En resumen, es fundamental:
- Tomar las medidas técnicas y organizativas necesarias
- Gestionar el consentimiento y registrarlo
- Informar a los usuarios sobre sus derechos
- Facilitar datos de contacto para poder ejercer los derechos correspondientes
Para garantizar que el tratamiento de datos biométricos cumpla con las regulaciones de privacidad y protección de datos, Usercentrics CMP es una herramienta altamente recomendada. Esta plataforma facilita la gestión de consentimientos de usuarios, asegurando que se obtengan de manera clara, informada y conforme al RGPD.
Con Usercentrics, tu empresa puede:
- Recopilar consentimientos de manera transparente
- Gestionar preferencias de los usuarios sobre sus datos
- Demostrar cumplimiento en auditorías de protección de datos
Si cumples con el RGPD no solo estarás mejorando la reputación de tu empresa y la confianza de tus clientes, sino que también te ayudará a evitar posibles multas, que pueden llegar a cifras millonarias en los casos más graves. Por ello, recuerda la importancia de la tecnología para simplificar el proceso de cumplimiento normativo y aumentar la confianza de los usuarios, protegiendo su privacidad y ayudando a prevenir posibles infracciones.
–Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.