Tabla de contenidos

Los datos biométricos se definen en el nuevo Reglamento de Protección de Datos en la Unión Europea GDPR, que aunque entrase en vigor en 2016 su exigibilidad se ha postergado expresamente dos años hasta el próximo 25 de mayo de 2018. Dicho Reglamento, que deroga la anterior Directiva de 1995, establece un nuevo marco normativo común donde los ciudadanos disfrutarán de un mayor control sobre su información, a la vez que impone importantes cambios para las empresas. En este post vamos a explicar cómo se regula concretamente el tratamiento de datos biométricos en el nuevo Reglamento europeo tras un largo y complejo proceso legislativo.  

Datos biométricos: las novedades con la nueva normativa GDPR

Para poder comprender de lo que vamos a hablar en este post es importante tener en cuenta dos conceptos fundamentales del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016: en primer lugar, lo que debe considerarse como “tratamiento de datos” a efectos de la normativa de protección de datos; y en segundo lugar, lo que se entiende por “datos biométricos”.

¿Qué se entiende por “tratamiento de datos”?

Por “tratamiento de datos” se entiende cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales. Ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. El tratamiento de datos no sólo implica un simple acceso a los mismos, también recopilar o acceder a dicha información para prestar un servicio al individuo cuyos datos se recopilan. Al igual que actuar como subcontratado (encargado del tratamiento) para prestar un servicio por cuenta de otra empresa o persona (responsable de los datos). En definitiva, el tratamiento de datos implica que se accede a ellos y que incluso se pueden manipular, modificar, eliminar, etc., todo ello con un fin concreto, que tiene que ver con el usuario a cuyos datos se acceden o recogen. ¿Qué se entiende por “datos biométricos”? Según la propia definición de la nueva regulación europea respecto al tratamiento de datos personales, se entenderán como datos biométricos aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como por ejemplo imágenes faciales o datos dactiloscópicos. En consecuencia, serán considerados como datos biométricos aquellos permitan identificar a una persona y/o confirmar quién es mediante la realización de tratamientos técnicos que recojan datos relativos al aspecto físico, corporales o conductuales, como su imagen facial, su huella digital o similar. datos_biométricos.jpeg

Los datos biométricos, una categoría especial de datos personales

En concreto, el punto 1 del artículo 9 del Reglamento 2016/679 establece que los datos biométricos van a ser considerados como una categoría especial de datos personales y que, como regla general, estará prohibido su tratamiento, en particular, con una finalidad destinada a identificar de manera unívoca a una persona física. Así, lo que establece dicho artículo en especial es lo siguiente: “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.

Excepciones: ¿en qué casos sí se permite el tratamiento de datos biométricos con fines de identificación unívoca?

No obstante, el artículo 9 también establece una serie de excepciones que analizamos a continuación y que sí permitirían el tratamiento con fines de identificación:
  • que el interesado por dicho tratamiento hubiera otorgado su consentimiento explícito para dicho tratamiento con uno o más de los fines especificados, excepto que existiera una prohibición legal a nivel europeo o estatal sobre ello;
  • cuando el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (la empresa o persona que trata los datos inicialmente) o del propio interesado, con relación a aspectos relativos al derecho laboral, seguridad y protección social
  • cuando fuese necesario para proteger intereses vitales del interesado o de otra persona física, si el interesado no estuviera capacitado para dar su consentimiento;
  • cuando el tratamiento se refiriera a datos personales que el interesado hubiese hecho anteriormente manifiestamente públicos;
  • por interés público esencial;
  • para fines de medicina preventiva o laboral: evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social.
signaturit_firma_biometrica.png Se establece también que los Estados miembros podrán mantener o introducir condiciones adicionales o incluso limitaciones, especialmente en el tratamiento de datos genéticos, de salud o los propios datos biométricos. Así, el objetivo de limitar el tratamientos de datos biométricos no es otro que proteger la privacidad de los ciudadanos. Por ello, el tratamiento de datos biométricos exige la realización de evaluaciones de impacto por parte del responsable y/o encargado del tratamiento de datos. En consecuencia, siempre y cuando no se recoja un dato biométrico con la única finalidad de identificar unívocamente a un usuario, no existiría esta limitación. Aun así, se recomienda se tengan en cuenta las precauciones, que tienen que ver con el resto de principios y requisitos legales que establece el propio Reglamento

Conclusión

En definitiva, como consecuencia de la aprobación del nuevo reglamento, en caso de querer utilizar datos biométricos, el responsable del tratamiento deberá tener en cuenta que, como regla general, no va a poder utilizar dichos datos para identificar únicamente al usuario afectado. Si lo hace, deberá encontrarse habilitado por los supuestos que establece el propio reglamento y además, en caso de utilizar los datos biométricos para la prestación de servicios, deberá tener en cuenta las pautas orientadas a que no se realicen tratamientos más allá de lo necesario para la prestación. Además debe insistir en la adecuada información y prestación del consentimiento por parte de los usuarios, garantizando que se cumplan todos los principios como el de adecuación o pertinencia de los datos (calidad) y la seguridad en el tratamiento. Por último añadir que la facilidad debe asegurarse tanto a la hora de prestar el consentimiento como en su retirada, como elemento esencial para efectuar tratamientos de datos. Y más especialmente cuando se tratan de datos biométricos puesto que, como hemos indicado, se han catalogado por el nuevo reglamento como datos de especial importancia por el potencial riesgo que conlleva su tratamiento.

Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados. @vanesa_alarcon @AvaticAbogados

Este es un post invitado de Vanesa Alarcón Caparrós.

Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados. @vanesa_alarcon @AvaticAbogados


{{cta(‘08205d72-a059-487e-bf82-088d1f5c365e’)}}