Hace unas semanas os contábamos cómo la AEPD analizaba el reconocimiento facial en el ámbito de los exámenes online. En su informe, la AEPD cuestionaba (sin llegar a pronunciarse de forma inequívoca) si los datos biométricos utilizados para la autenticación de los interesados, y no para la identificación, se consideraban datos especialmente protegidos en el sentido del art. 9 RGPD.
Ahora le ha tocado el turno a la Autoridad Catalana de Protección de Datos (“APDCAT”), que en su Informe (el “Informe”) analiza esta cuestión en detalle:
¿Qué se entiende por identificación?
La piedra angular para que un dato biométrico[1] se considere un dato sensible o categoría especial de datos es que se trate para “identificar de manera unívoca a una persona física”. A este respecto, el Informe comienza acudiendo al Dictamen 3/2010 del viejo Grupo de Trabajo del Artículo 29 y las definiciones previstas en el mismo:
- “Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
- Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).”
La identificación responde a la pregunta ¿Quién eres? a partir de las características físicas, fisiológicas o conductuales de la persona. Esto conlleva la comparación de dichas características con una plantilla con muchas otras identidades almacenadas (de ahí el uno-a-varios).
Por otro lado, la autenticación responde a una pregunta distinta: ¿Eres quien dices ser? Esto es, comprobar que los datos obtenidos de una persona concreta coinciden con aquellos almacenados específicamente para la misma (uno-a-uno). La autenticación consiste en confirmar una identidad (que, en la mayoría de los casos, implica una identificación previa).
Aunque respondan a objetivos distintos, queda claro que la identificación y la autenticación son conceptos entrelazados y, muchas veces, un mismo objetivo se puede alcanzar de ambas maneras[2].
¿Los datos tratados con fines de autenticación se ven liberados del régimen de las categorías especiales de datos?
El Informe parte de que, 8 años después del Dictamen del Grupo de Trabajo del Artículo 29, no se puede desprender que los datos tratados para la autenticación no se consideren una categoría especial de datos.
Se parte de que la definición de dato biométrico, que se encuentra contenida en el art. 9 RGPD al referirse a los mismos, prevé que son aquellos “que permitan o confirmen la identificación única”. Asimismo, el Considerando 51 del RGPD también hace referencia a la autenticación o identificación de la persona. Es decir, el art. 9 RGPD incluye de forma intrínseca la autenticación. Para la APDCAT otra interpretación del art. 9 RGPD que no incluya la autenticación resultaría contraria al propio RGPD.
El Informe continua explicando cómo, si bien la diferencia de objetivo entre la autenticación y la identificación (esto es, entre el uno-a-varios v. el uno-a-uno) es relevante a la hora de configurar el sistema biométrico desde una perspectiva técnica; no puede llevar a la conclusión de que tengan un trato distinto a nivel jurídico dado que afectan igualmente a rasgos únicos, intransferibles, inolvidables e inalterables (o estables a largo plazo) de la persona.
En este sentido, la APDCAT recuerda que las autoridades francesa, italiana e inglesa de protección de datos siguen esta línea.
Equívocos más comunes relacionados con el uso de la biometría
La AEPD, junto con el Supervisor Europeo de Protección de Datos, ha publicado una nota técnica con las confusiones más habituales en relación con los datos biométricos. En concreto, se analizan las siguientes frases que no son ciertas o tienen que ser matizadas:
[1] Estos son, los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” (ex. art. 4.14 RGPD).
[2] El Informe incluye un ejemplo muy práctico: “Cuando se hace una autenticación, por ejemplo cuando se identifica una persona mediante la huella al entrar al trabajo, en algunos casos conlleva una identificación uno a uno (por ejemplo si paralelamente se emplea una tarjeta de marcación o un código para identificarse) o puede operar como un sistema de correspondencia uno a varios (por ejemplo si la huella del trabajador que accede en el lugar de trabajo se compara con la de todos los trabajadores de la empresa para acabar determinando quién es el trabajador que ha accedido)”.
Escrito por Santiago de Ampuero y Víctor Mella
