No pretendo dar respuestas absolutas a un tema complejo y que en parte requiere de un conocimiento y ciertas valoraciones a nivel técnico, pero si compartir mi opinión y mis dudas con relación al nuevo apunte estrella indicado por la AEPD en el último informe emitido relativo a la utilización de técnicas de reconocimiento facial en la realización de pruebas de evaluación online (Informe N/REF: 0036/2020).
Parece que la AEPD, aunque sin concretar nada, nos deja abierto para el debate ciertas consideraciones que implicarían cambios sustanciales en el tratamiento dado a los datos biométricos bajo la óptica del RGPD. Desde esta perspectiva de generación de debate se podría decir que se agradece, aunque también siembra ciertas dudas sobre todos los profesionales que nos dedicamos día a día a la interpretación de la normativa de protección de datos. Veamos en concreto a que nos estamos refiriendo y que es lo que la AEPD comenta en su informe:
«Al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos puede acudirse a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:
Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).»
A raíz de la distinción establecida por el Grupo del artículo 29, la AEPD introduce lo siguiente:
«Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).»
En el informe, la AEPD también cita el el Libro blanco sobre la inteligencia artificial de la Comisión Europea en el que se establece la misma distinción:
«En lo que se refiere al reconocimiento facial, por «identificación» se entiende que la plantilla de la imagen facial de una persona se compara con otras muchas plantillas almacenadas en una base de datos para averiguar si su imagen está almacenada en ella. La «autenticación» (o «verificación»), por su parte, se refiere habitualmente a la búsqueda de correspondencias entre dos plantillas concretas. Permite la comparación de dos plantillas biométricas que, en principio, se supone que pertenecen a la misma persona; así, las dos plantillas se comparan para determinar si la persona de las dos imágenes es la misma. Este procedimiento se emplea, por ejemplo, en las puertas de control automatizado de fronteras empleadas en los controles fronterizos de los aeropuertos”
La distinción no es fácil de discernir, pero la principal diferencia que se puede entender que subyace entre las dos técnicas (identificación biométrica vs autenticación biométrica) es que, en el caso de la identificación biométrica, a partir del propio patrón o dato biométrico y sin una previa identificación de dicha persona, se llega a conocer su identidad comparándola con la información incluida en una base de datos (como dice el Grupo del Artículo 29, un proceso de búsqueda de uno-a-varios). En cambio, la autenticación supone un proceso de verificar que una persona es quien dice ser y por tanto se presume una identificación previa tratándose de una comparación uno-a-uno.
Efectivamente, en este sentido, la técnica de autenticación puede no estar dirigida a la identificación nueva en el sistema de una persona en concreto, pero eso no varía el hecho de que la información incluida en el sistema o la información biométrica sigue estando asociada a una identidad concreta (ya sea pseudonimizada o no) para poder realizar el proceso de autenticación.
La primera pregunta que nos podemos plantear aquí y que me plantea ciertas dudas es: ¿puede hablarse de un proceso o técnica de autenticación sin conllevar el elemento de identificación, al menos conforme al concepto que establece el RGPD tanto en su artículo 4 como el artículo 9.1? El posible problema está en la mezcla de los conceptos de la técnica aplicada al procesamiento del dato biométrico como el concepto de “identificación biométrica” definido anteriormente, con el concepto de identificación que establece el RGPD, independientemente de que la técnica de identificación / autenticación (diferenciación entre de uno-a-varios a de uno-a-uno) sea diferente.
Debemos tener en cuenta que, por la naturaleza del propio dato biométrico aún procesado mediante una técnica de autenticación, este nos da unas ciertas garantías de que la persona autenticada es efectivamente la persona identificada previamente. Podemos decir que esta es la principal ventaja y la utilidad con relación a la utilización de sistemas biométricos. Podemos pensar en contraposición con un proceso de autenticación mediante una contraseña, en el que no se garantiza con el mismo grado que la persona al otro lado es efectivamente la persona inicialmente identificada en el sistema.
La vinculación a la identidad de una persona en el proceso de autenticación es el motivo por el cual sigue siendo un dato de carácter personal, pero lo que la AEPD nos dice es que podría variar la naturaleza del dato biométrico que dejaría de ser considerado como de categoría especial o sensible. ¿En que se basa para realizar dicha consideración? En principio, en base a la interpretación de los artículos 4 y 9 del RGPD:
Artículo 4, apartado 14- «datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
Artículo 9.1 (datos de categoría especial): Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
La AEPD consideraría que la definición del artículo 4 incluye ambos supuestos (identificación / autenticación) como dato biométrico, pero únicamente se consideraría un dato de categoría sensible haciendo una interpretación literal y limitada del artículo 9.1, es decir, cuando se utilice una técnica de identificación (uno-a-varios). Para poder valorar esta interpretación, creo que puede ser útil atender a la voluntad o el motivo de inclusión en el RGPD del dato biométrico como un dato de categoría especial. Veamos que dice el considerando 51 del RGPD:
«Especial protección merecen los datos personales que, por su naturaleza, son particularmente sensibles en relación con los derechos y las libertades fundamentales, ya que el contexto de su tratamiento podría entrañar importantes riesgos para los derechos y las libertades fundamentales..:»
Es decir, los datos de categoría sensible merecen una mayor protección por la implicación inherente de mayores riesgos para los derechos que se deriva de su naturaleza. Un dato biométrico puede suponer un riesgo mayor al tratarse de una información inherente a nosotros, a nuestras características biológicas (una cosa que somos). Y aunque evidentemente en determinados contextos de tratamiento un proceso de identificación (uno-a-varios) puede conllevar mayores riesgos, esto también puede aplicarse a la identificación con información no biométrica. Así pues, puede parecer dudoso que la técnica aplicada en el tratamiento de un dato biométrico pueda afectar a su categorización como dato sensible o no.
Asimismo, creo que también es relevante la mención a la identificación o a la autentificación de forma no simultanea como característica incluida en el Considerando 51 cuando habla de la definición de datos biométricos enmarcados en la categoría especial de datos:
» El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física.»
Otra cuestión diferente que podría afectar a la definición de dato biométrico y a su calificación como dato sensible, es el hecho de que la técnica biométrica asociada permita la identificación única del interesado teniendo en cuenta que normalmente el dato almacenado y procesado para la identificación / autenticación biométrica no es la huella dactilar completa, sino que se basa en un patrón o una serie de puntos extraídos de la huella dactilar o la cara. Esta es pero una cuestión que se deberá valorar caso por caso y que no estaría relacionada directamente con la distinción entre la técnica de identificación / autenticación biométrica a la que se apunta.
Sin duda una cuestión interesante que abre un debate en relación a una cuestión con posibles importantes implicaciones en lo que hasta ahora hemos interpretado como datos de categoría sensible en el contexto de datos biométricos. Un ejemplo de las posibles implicaciones derivadas de la interpretación que realiza la AEPD es que un control de acceso biométrico en el ámbito laboral podría no ser considerado un tratamiento de datos de categoría especial en algunos casos, conllevando que no sea necesaria la realización de una EIPD. Asimismo, el típico sistema de desbloqueo como el que tenemos integrado en nuestro smartphone mediante la huella dactilar o el patrón facial tampoco sería considerado un tratamiento de datos de categoría especial.
Cabe decir que, en el mismo informe, la AEPD lo considera una cuestión compleja y apela a la interpretación más favorable a los derechos de los usuarios mientras el Comité Europeo de Protección de Datos o los tribunales se pronuncien al respecto.