Frente al incremento de las amenazas, los avances de la tecnología propician la aparición de sistemas de seguridad para mejorar la protección, especialmente cuando se trata de personas o de activos críticos; pero estos avances no siempre son pacíficos. En ocasiones surgen discrepancias a la hora de priorizar derechos. Es el caso del tratamiento de datos personales, que se ha convertido en un punto de desencuentro entre defensores de la privacidad y quienes priorizan la seguridad.
El Reglamento General de Protección de Datos (RGPD) ha limitado este tratamiento y la Agencia Española de Protección de Datos (AEPD) ha venido a restringirlo aún más con su guía sobre tratamientos de control de presencia mediante sistemas biométricos, publicada en noviembre de 2023. En el trasfondo del debate se percibe una falta de información veraz y un exceso de informaciones sesgadas, por lo que una reflexión profunda y serena sobre lo que se quiere y lo que se puede hacer serviría para acercar posiciones.
En cualquier caso, la balanza se inclinará del lado que impongan las circunstancias. En el mundo idílico que algunos se afanan en construir, la privacidad será un valor absoluto, al menos oficialmente, aunque simultáneamente se atente contra esa misma privacidad con acciones dirigidas al control social. Mientras convenga, correrá la tinta para presentarla como un derecho inalienable del individuo frente a todo y frente a todos.
Pero en el mundo real, a medida que las amenazas crecen, cambian los criterios y pasa a ser prioritaria la seguridad en detrimento de otras consideraciones éticas. Para no ser víctimas de vaivenes no siempre bien explicados, todos –reguladores, fabricantes y particulares– deberíamos valorar los cambios abriendo un debate constructivo y sereno, en el que las diferentes posiciones no pierdan de vista el interés general. Ese es el objetivo de estas reflexiones sobre el tratamiento de datos biométricos con fines de seguridad.
El marco legal
El RGPD entiende por datos personales «toda información sobre una persona física identificada o identificable» y limita su tratamiento al cumplimiento de determinadas condiciones. Un caso particular de datos personales son los datos biométricos, obtenidos a partir de un tratamiento técnico específico que, cuando se dirigen a identificar de manera unívoca a una persona física, se integran en una categoría especial de datos personales, cuyo tratamiento se prohíbe expresamente con algunas excepciones. A los efectos que nos ocupan, entre estas excepciones destacaremos dos: que exista consentimiento del interesado o que el tratamiento sea necesario por razones de un interés público esencial, siempre que se establezcan medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
En todo caso, el tratamiento de los datos personales exige el cumplimiento de determinadas obligaciones a los responsables y debe respetar una serie de derechos reconocidos a los interesados, excepto que el alcance de estos derechos sea limitado a través de medidas legislativas, siempre que tal limitación respete lo esencial y sea una medida necesaria y proporcionada para salvaguardar, entre otros bienes jurídicos, la seguridad del Estado o la seguridad pública.
Es decir, como no podía ser de otra forma, el legislador europeo entiende que los derechos individuales pueden ceder frente a otros derechos colectivos. Lo reconoce expresamente el Considerando 4 del Reglamento: «El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto, sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad».
Así pues, la finalidad del tratamiento es un factor determinante de su licitud. Como dice el Considerando 39, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, además de adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Y añade: los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Es decir, aunque al regulador le preocupen todas las situaciones, nada tiene que ver el control horario de un trabajador a efectos laborales con el control de su acceso o permanencia en una instalación crítica, como pueda ser una central nuclear. Por eso, este artículo se refiere únicamente al caso especial de tratamiento de datos biométricos con fines de seguridad.
Dicho esto, y en resumen, para poder proceder legalmente al tratamiento de datos biométricos, además de cumplirse las premisas mencionadas en el párrafo anterior, es preciso:
- Que los datos no estén dirigidos a identificar de manera unívoca a una persona física o,
- que, estando dirigidos a esa identificación, el interesado dé su consentimiento, o
- que el tratamiento sea necesario por razones de un interés público esencial.
Identificación y consentimiento
Sobre la identificación, la AEPD la entiende como el proceso por el cual se reconoce a un individuo particular dentro de un grupo, comparando los datos del individuo a identificar con los datos de cada individuo en el grupo (uno a varios). Yendo un paso más allá, define la verificación o autenticación como el proceso de probar que es cierta la identidad reclamada por un individuo, comparando los datos del individuo únicamente con los datos asociados a la identidad reclamada (uno a uno).
Pero, ciertamente, puede afirmarse que esas comparaciones (uno a varios o uno a uno) no implican necesariamente identificar de manera unívoca a una persona física. Los datos biométricos se almacenan ordinariamente en el sistema en forma de plantilla biométrica, que no es una fotografía de la característica física, sino un patrón matemático diseñado para su tratamiento automatizado. A mayor abundamiento, la tecnología actual permite que esa referencia o patrón sea irreversible, impidiendo reconstruir la imagen original, que, por otra parte, nunca ha existido como tal en el sistema. En definitiva, esta forma de almacenamiento solo permite singularizar a un individuo en el contexto del sistema concreto en el que se implanta, posibilitando la ejecución automatizada de determinadas acciones, sin facilitar per se la identificación del individuo. Desde este punto de vista, si se cumplen los requerimientos técnicos adecuados, los datos biométricos así obtenidos dejarían de tener la consideración de categoría especial. Fin del problema.
Adoptemos las medidas pertinentes para la salvaguarda de derechos fundamentales y dejemos que la tecnología avance y colabore en nuestra protección
En cuanto al consentimiento, parece claro que, si de lo que se trata es de preservar la privacidad y el individuo consiente voluntariamente el tratamiento de sus datos, el problema desaparece, siempre que el procedimiento se rodee de las debidas garantías.
Cuestión diferente es el tratamiento de datos biométricos sin consentimiento del individuo, al amparo de un interés público esencial. En primer lugar, el RGPD no exige que las condiciones impuestas para admitir el tratamiento de categorías especiales de datos personales se cumplan simultáneamente; basta que concurra una sola de las circunstancias previstas, que para este artículo hemos reducido a dos: consentimiento del interesado o existencia de un interés público esencial. Así pues, al amparo de este interés podría procederse al tratamiento de datos biométricos, aun sin consentimiento expreso del interesado, informándole de forma genérica. Lógicamente, la declaración de un interés público esencial es una decisión política que ha de manifestarse en una ley, quizá incluso orgánica, toda vez que afecta a derechos fundamentales.
¡Sigue Leyendo!
Aquí te hemos mostrado tan sólo una parte de este artículo.
¿Quieres leer el contenido completo?





