CONTROL DE ACCESO: HUELLA DACTILAR. AEPD VS AUDIENCIA NACIONAL

El pasado mes de agosto ya analizamos, en nuestro Blog, la sanción impuesta, por la Agencia Española de Protección de Datos (en adelante AEPD), a un gimnasio por el uso de la huella dáctilar como medida de control de acceso. Recurrida la sanción ante la Audiencia Nacional (en adelante AN), ésta se desmarca del criterio seguido por la AEPD, en su resolución sancionadora, a la hora de evaluar el cumplimiento del principio de proporcionalidad estimando el recurso interpuesto y dejando sin efecto la sanción impuesta.

¿Por qué estima la AN el recurso interpuesto por el gimnasio?

Para arrojar algo más de luz en este tema, de forma sencilla y clarificadora y tomando como base los argumentos esgrimidos tanto por la AEPD en su día como ahora por la Audiencia Nacional a la hora de constatar superado o no el juicio de proporcionalidad, analizaremos comparativamente ambas resoluciones siguiendo, a su vez, la doctrina del Tribunal Constitucional, (STC 207/1996 de 16 de diciembre) en orden a determinar el grado de cumplimiento de los tres requisitos o parámetros siguientes: 

 Juicio de idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión.
                             AEPD                        AUDIENCIA NACIONAL
 El registro mediante huella dactilar consigue dicha finalidad de identificación/seguridad de que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector.   En cuanto a que este sistema sea eficaz atendiendo a las características de la tecnología biométrica, se aprecia que los datos quedan almacenados en la base de datos del servidor, en lugar de una tarjeta que portase el propio interesado por lo que su tratamiento resulta excesivo no superando el juicio de idoneidad. La recogida y uso de la huella tiene como fin la prestación de un servicio, el cual es de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector y correlacionar su algoritmo registrado, por lo que con ella se consigue el objetivo pretendido y dicho juicio de idoneidad  se cumple.
                   ×     NO SUPERADO                        √        SUPERADO
  Juicio de necesidad: si el sistema es esencial, es decir, sino existe otro método más moderado para conseguir la finalidad propuesta con la misma eficacia.
                       AEPD                              AUDIENCIA NACIONAL
 No se detallan aspectos que supongan necesidad de la implantación del sistema, excepto la comodidad y la seguridad del uso por el propio titular, y la comodidad no puede prevalecer sobre los derechos de los afectados. La implantación del sistema, no obedece a razones de comodidad, sino a evitar que pretendan acceder al gimnasio personas ajenas al mismo, ya que se evita llevar tarjetas, pulseras o dispositivos que puedan ser intercambiados con otros usuarios dando lugar a intrusismo y fraude, redundando su uso en un aumento de la calidad del servicio y seguridad de los clientes y de la propia empresa.
             ×  NO SUPERADO                                          SUPERADO
  Juicio de proporcionalidad: si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores en conflicto.
                                         AEPD                  AUDIENCIA NACIONAL
 No se entiende superada la proporcionalidad de la medida, el algoritmo se encuentra almacenado en el sistema o base de datos en lugar de estar en una tarjeta o dispositivo que portara el socio de forma que el sistema únicamente almacenase la información referida al uso o no uso de accesos, sin que en ningún momento reflejase el algoritmo de la huella. Con la conversión de la huella o puntos de la misma a su algoritmo y al no conservar la misma en el sistema, sino sólo el algoritmo, se minimiza la injerencia en el derecho fundamental a la protección de datos cumpliendo así con la proporcionalidad de la medida.
                       ×    NO SUPERADO                   √  SUPERADO

Expuesto todo lo anterior, todo parece indicar que la Audiencia Nacional llega a esta interpretación por una cuestión de temporalidad, ya que los hechos denunciados son de febrero de 2017 y el procedimiento sancionador se incoó el 30 de enero de 2018,esto es, con anterioridad a la plena aplicación del Reglamento General Protección de Datos (en adelante RGPD) que tuvo lugar el 25 de mayo de 2018 y que incluye los datos biométricos dentro de las categorías especiales de datos (artículo 9). La propia AN en su sentencia indica que “el RGPD establece una regulación más estricta que la existente hasta entonces para dicha categoría de datos, no resultando aplicable al procedimiento sancionador”. Entendemos que ante una situación igual y en el momento actual, la valoración de la AN sería muy en la línea seguida por la AEPD o por lo menos no contraria.

No queremos cerrar este artículo sin señalar algo que consideramos relevante, y es que, independientemente del juicio de valor seguido por la Audiencia Nacional, la AEPD no se ha desmarcado del criterio que venía manteniendo desde hace tiempo, pues ya existía un Dictamen 3/2012 del Grupo de trabajo del artículo 29, actual Comité Europeo de Protección de Datos, sobre la evolución de las tecnologías biométricas en el que se hace alusión concretamente a la instalación de un sistema de huella dactilar en un gimnasio considerando el mismo desproporcionado y que el uso de otras medidas que no requieren el tratamiento de datos biométricos, serían igualmente factibles y eficaces, al igual que la Agencia Catalana de Protección de datos (en adelante APDCAT) que emitió un Dictamen CNS 63/2018 (sobre la utilización de sistemas de control basados en la huella dactilar) señalando que dada la especial naturaleza de estos datos, parece que se deberá optar en primer lugar por otros sistemas de control que, puedan permitir alcanzar la misma finalidad siendo igualmente factibles y eficaces.

Actualmente, las exigencias derivadas de la protección de datos en el diseño (art. 25.1 RGPD) y, en especial, del principio de minimización, obligan a escoger aquella tecnología que resulte menos intrusiva desde el punto de vista de la protección de datos. El principio de minimización no se manifiesta solo a la hora de optar por alternativas que no impliquen el tratamiento de datos personales, o de llevar a cabo el tratamiento de datos de manera que se utilicen los datos mínimos indispensables, sino que también debe conllevar que, si se puede alcanzar una determinada finalidad sin tener que tratar datos de categorías especiales, esta opción debe prevalecer ante otras alternativas que sí que impliquen el tratamiento de esta tipología de datos.

Asimismo, debemos tener en cuenta que los datos biométricos, dado su carácter personal y único, constituyen un medio fiable de identificación. Sin embargo, la fiabilidad como sistema de identificación está condicionada también por la amplitud con la que se puedan utilizar estos sistemas de identificación. Cuanto mayor sea el número de sistemas de identificación que se basan en unos datos biométricos o en una plantilla obtenida a partir de datos biométricos, mayor es el riesgo de que estos datos puedan acabar siendo utilizados de manera inadecuada y dando lugar a un riesgo de usurpación o suplantación de identidad.

La inclusión de los datos biométricos, entre ellos los de la huella dactilar, entre las categorías especiales de datos previstas por el RGPD no permite concluir de manera automática que la implantación de un sistema de control basado en la recogida de este tipo de datos pueda considerarse proporcionada y, por lo tanto, conforme con el principio de minimización y la necesidad de llevar a cabo una evaluación del impacto sobre la protección de datos a la vista de las circunstancias concretas en las que se lleve a cabo el tratamiento para determinar su legitimidad y proporcionalidad, incluido el análisis de la existencia de alternativas menos intrusivas, y establecer las garantías adecuadas.