Tabla de contenidos
Datos biométricos: las novedades con la nueva normativa GDPR
Para poder comprender de lo que vamos a hablar en este post es importante tener en cuenta dos conceptos fundamentales del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016: en primer lugar, lo que debe considerarse como “tratamiento de datos” a efectos de la normativa de protección de datos; y en segundo lugar, lo que se entiende por “datos biométricos”.¿Qué se entiende por “tratamiento de datos”?
Por “tratamiento de datos” se entiende cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales. Ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. El tratamiento de datos no sólo implica un simple acceso a los mismos, también recopilar o acceder a dicha información para prestar un servicio al individuo cuyos datos se recopilan. Al igual que actuar como subcontratado (encargado del tratamiento) para prestar un servicio por cuenta de otra empresa o persona (responsable de los datos). En definitiva, el tratamiento de datos implica que se accede a ellos y que incluso se pueden manipular, modificar, eliminar, etc., todo ello con un fin concreto, que tiene que ver con el usuario a cuyos datos se acceden o recogen. ¿Qué se entiende por “datos biométricos”? Según la propia definición de la nueva regulación europea respecto al tratamiento de datos personales, se entenderán como datos biométricos aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como por ejemplo imágenes faciales o datos dactiloscópicos. En consecuencia, serán considerados como datos biométricos aquellos permitan identificar a una persona y/o confirmar quién es mediante la realización de tratamientos técnicos que recojan datos relativos al aspecto físico, corporales o conductuales, como su imagen facial, su huella digital o similar.Los datos biométricos, una categoría especial de datos personales
En concreto, el punto 1 del artículo 9 del Reglamento 2016/679 establece que los datos biométricos van a ser considerados como una categoría especial de datos personales y que, como regla general, estará prohibido su tratamiento, en particular, con una finalidad destinada a identificar de manera unívoca a una persona física. Así, lo que establece dicho artículo en especial es lo siguiente: “Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.Excepciones: ¿en qué casos sí se permite el tratamiento de datos biométricos con fines de identificación unívoca?
No obstante, el artículo 9 también establece una serie de excepciones que analizamos a continuación y que sí permitirían el tratamiento con fines de identificación:- que el interesado por dicho tratamiento hubiera otorgado su consentimiento explícito para dicho tratamiento con uno o más de los fines especificados, excepto que existiera una prohibición legal a nivel europeo o estatal sobre ello;
- cuando el tratamiento fuera necesario para el cumplimiento de obligaciones y ejercicio de derechos específicos del responsable del tratamiento (la empresa o persona que trata los datos inicialmente) o del propio interesado, con relación a aspectos relativos al derecho laboral, seguridad y protección social
- cuando fuese necesario para proteger intereses vitales del interesado o de otra persona física, si el interesado no estuviera capacitado para dar su consentimiento;
- cuando el tratamiento se refiriera a datos personales que el interesado hubiese hecho anteriormente manifiestamente públicos;
- por interés público esencial;
- para fines de medicina preventiva o laboral: evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social.
Conclusión
En definitiva, como consecuencia de la aprobación del nuevo reglamento, en caso de querer utilizar datos biométricos, el responsable del tratamiento deberá tener en cuenta que, como regla general, no va a poder utilizar dichos datos para identificar únicamente al usuario afectado. Si lo hace, deberá encontrarse habilitado por los supuestos que establece el propio reglamento y además, en caso de utilizar los datos biométricos para la prestación de servicios, deberá tener en cuenta las pautas orientadas a que no se realicen tratamientos más allá de lo necesario para la prestación. Además debe insistir en la adecuada información y prestación del consentimiento por parte de los usuarios, garantizando que se cumplan todos los principios como el de adecuación o pertinencia de los datos (calidad) y la seguridad en el tratamiento. Por último añadir que la facilidad debe asegurarse tanto a la hora de prestar el consentimiento como en su retirada, como elemento esencial para efectuar tratamientos de datos. Y más especialmente cuando se tratan de datos biométricos puesto que, como hemos indicado, se han catalogado por el nuevo reglamento como datos de especial importancia por el potencial riesgo que conlleva su tratamiento.
Este es un post invitado de Vanesa Alarcón Caparrós. Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados. @vanesa_alarcon @AvaticAbogados |
Este es un post invitado de Vanesa Alarcón Caparrós. Vanesa es abogada especializada en nuevas tecnologías y propiedad intelectual, y socia fundadora de Avatic Abogados. @vanesa_alarcon @AvaticAbogados |
{{cta(‘08205d72-a059-487e-bf82-088d1f5c365e’)}}