El pasado 18 de julio, la Agencia Española de Protección de datos (AEPD) publicó una consulta previa respecto al uso de datos biométricos, que plantea soluciones que pueden permitir su uso y corrigiendo la doctrina que había publicado en la Guía sobre el tratamiento de datos biométricos de noviembre de 2023. Este aspecto puede ser de gran interés para empresas y administraciones públicas que planifican implantar estos sistemas, ya que plantea criterios relevantes sobre la legalidad, proporcionalidad y garantías necesarias en el tratamiento de datos biométricos.
Se trata de un informe tras una consulta previa sobre el uso de sistemas de autenticación biométrica en recintos de la Guardia Civil, indicando que no se crea una base de datos centralizada, sino que el identificador biométrico permanece bajo control exclusivo del usuario. El sistema estaba destinado a regular la entrada a sus instalaciones, tanto para el personal como para residentes o visitantes.
Legitimación del tratamiento
La AEPD concluye que existe base legal suficiente para este tratamiento, principalmente en la Ley Orgánica 7/2021 (datos personales con fines de seguridad pública), la Ley 8/2011 (medidas para la protección de infraestructuras críticas) y la Ley Orgánica 2/1986 (funciones de protección de edificios por parte de las Fuerzas y Cuerpos de Seguridad del Estado).
El informe también subraya la necesidad de una Evaluación de Impacto en protección de datos (EIPD), especialmente cuando se tratan datos biométricos, considerados categorías especiales según el Reglamento General de Protección de Datos (RGPD). La clave está en si se trata de identificación (1:N) o autenticación (1:1), siendo esta última menos intrusiva.
En la consulta también se subraya que en el recinto se maneja información que estaría declarada como materia clasificada, sujeta a la Ley 9/1968 sobre secretos oficiales. La posibilidad de que hubiera materia clasificada en las instalaciones no tendría por qué aplicar a todo el recinto, sino, en todo caso, únicamente a aquellas zonas en las que se ubique y custodie tal información. Pero sin duda se trata de un referente objetivo de la necesidad general de proteger todas las instalaciones. Con ello y sin perjuicio de realizar una Evaluación de Impacto y aplicar medidas adecuadas, se concrete la posibilidad específica respecto a la proporcionalidad e idoneidad del uso de datos biométrico con la finalidad de control de acceso, aspecto que se contempla en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, en su apartado 4.1.2 del Anexo II relativo a las medidas de seguridad para proteger la operación de los sistemas
Proporcionalidad del tratamiento
La AEPD considera que, dadas las características de las instalaciones (algunas con información clasificada o funciones críticas), el uso de autenticación biométrica puede estar justificado, siempre que se respeten principios como necesidad, idoneidad y proporcionalidad.
Uno de los elementos que ha pesado en la valoración positiva es que el sistema evita el almacenamiento centralizado de datos biométricos, genera identificadores de forma local, no permite su reversión ni conexión con otras bases de datos, y está diseñado para usarse solo en entornos controlados.
Recomendaciones
- Limitar el uso de la biometría a contextos estrictamente necesarios.
- Ofrecer alternativas no biométricas siempre que sea viable.
- Garantizar que los datos biométricos sean gestionados exclusivamente por el interesado.
- Realizar evaluaciones periódicas de impacto.
- Evitar el uso de sistemas automatizados sin supervisión humana.
En conclusión, este informe sirve de ejemplo para valorar la necesidad y proporcionalidad en el uso de categorías especiales de datos, no solo se trata de contar con una base legal, sino de demostrar que no existen alternativas menos intrusivas que cumplan la misma función con igual eficacia.
Implantar sistemas que incluyan biometría requiere, por tanto, una justificación detallada, diseño técnico seguro y la realización de una Evaluación de impacto de protección de datos, con todo ello lo que se busca es crear soluciones más responsables, más seguras y respetuosas con los derechos fundamentales.