En los últimos tiempos, el coste de las tecnologías que posibilitan el uso y tratamiento de datos biométricos tales como la huella dactilar para controlar el acceso de personas, ha disminuido tanto que los lectores de huellas empiezan a sustituir a las llaves, tarjetas, pulseras, contraseñas, etc. Ahora bien, ¿se puede utilizar de cualquier forma? ¿Qué requisitos se deben cumplir?
En primer lugar, conviene indicar que la Ley Orgánica 15/1999 de Protección de Datos (LOPD), no indicaba qué se entiende por dato biométrico, sin embargo, el Reglamento Europeo de Protección de Datos (RGPD) lo define como “aquel dato personal que se obtiene a través de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Con el RGPD, conviene prestar más atención, si cabe, respecto al uso de estos sistemas de control de acceso y las posibles sanciones que se puedan derivar del mal uso de los mismos.
La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a un gimnasio (procedimiento N.º PS/00002/2018) a raíz de una denuncia interpuesta por uno de los socios. En este establecimiento, se venía utilizando como sistema de acceso, una pulsera identificativa, según el denunciante dicho sistema fue sustituido por un sistema de control mediante huella dactilar sin ofrecer a los usuarios otro medio alternativo.
El afectado denunció tal situación ante la AEPD por considerar que se trataba de un medio desproporcionado y por no habérsele entregado ningún documento en el que se recabase el consentimiento “a la aportación de sus datos biométricos”.
Tras iniciarse por parte de la AEPD las actuaciones correspondientes, el gimnasio vino a alegar en primer lugar, que no había tratamiento de datos biométricos al no identificarse a la persona puesto que la información recogida no era una huella sino parte de la misma convertida en un algoritmo matemático que no permite ser decodificado, y en segundo lugar, que la finalidad perseguida con la instalación de este sistema de control era permitir exclusivamente el acceso de clientes, sin que pudieran hacerlo personas ajenas y que tal fin no se conseguía con las tarjetas por poder ser estas transferibles. Por último, indica que sí que hay alternativas al uso de la huella que se utilizan para casos excepcionales, como, por ejemplo, lesiones, ya que se dispone de un torno de acceso con sistema de código de lectura.
¿Cómo ha resuelto la AEPD?
Pese a las alegaciones formuladas por el gimnasio, la AEPD ha sancionado a la entidad con una multa de 1500 euros, por considerar vulnerado el artículo 4.1 de la LOPD, vinculado al artículo 5.1 b) del RGPD.
¿Cuál es el criterio que utiliza entonces la AEPD en estos casos?
En primer lugar, aunque el registro de la huella se transforme en un algoritmo numérico, como ocurre en el caso enunciado, la AEPD considera que existe un tratamiento de datos y que, por tanto, debe ajustarse a la legislación vigente y actual de protección de datos.
Para la correcta implementación del sistema de huella dactilar, dice la AEPD que conviene siempre plantearse dos cuestiones:
– Si se cumple el principio de calidad de datos que prevé el artículo 4.1 de la LOPD, que se puede enlazar con el artículo 5.1b) del RGPD y que supone que los datos solo se pueden utilizar si son adecuados, pertinentes y no excesivos; lo que conlleva una evaluación de la necesidad y de la proporcionalidad del tratamiento, así como si la finalidad que se pretende se puede conseguir de forma menos intrusiva.
– Si es necesario recabar el consentimiento de los afectados, aunque se trate de un servicio privado.
Atendiendo a la doctrina del Tribunal Constitucional, y en concreto, refiriéndose a la STC 207/1996 de 16 de diciembre, para comprobar si una medida restrictiva de un derecho fundamental supera el juicio de proporcionalidad, hay que constatar que cumple tres requisitos o principios que pasamos a analizar:
• Idoneidad: si tal medida es susceptible de conseguir el objetivo propuesto y si es probable que el sistema sea eficaz para responder a la necesidad en cuestión. Por ejemplo, si los datos almacenados en la base de datos del servidor se guardaran en una tarjeta, resultaría menos excesivo ya que estarían en poder del propio interesado.
• Necesidad: si el sistema es esencial, es decir, si no existe otro método más moderado para conseguir la finalidad propuesta con la misma eficacia. No obstante, tal y como indica la AEPD, la comodidad no puede prevalecer sobre los derechos de los afectados.
• Proporcionalidad: se ha de evaluar si hay un medio menos invasivo de la intimidad para alcanzar el fin que se desea como, por ejemplo, algún método que no almacene datos para fines de autenticación o el uso de tarjetas inteligentes que porten los interesados de forma que el sistema únicamente almacene la información referida al uso o no uso de accesos, sin que en ningún momento se refleje el algoritmo de la huella.
Por ejemplo, indica la AEPD como alternativa que, para acceder a un determinado lugar, hubiera que utilizar la tarjeta y a su vez posicionar su huella sobre el lector. De esta forma se estaría garantizando la identificación sin hacer un uso de los datos de forma no proporcionada y excesiva.
Bajo este mismo criterio se ha pronunciado y actuado la AEPD en diversas resoluciones, dictámenes, e informes jurídicos, de entre los cuales cabe mencionar el informe 0065/2015, el cual ya analizamos en una de nuestras publicaciones del blog, sobre una consulta planteada que se refería a un sistema de control mediante huella dactilar de los alumnos de un centro escolar para poder acceder al comedor.
En síntesis, para este tipo de tratamiento de datos biométricos, hay que prestar una especial atención a la proporcionalidad en relación con el ámbito de aplicación y las finalidades que se pretendan conseguir, correspondiendo al responsable del tratamiento de los datos recabar el consentimiento de los afectados. Por su parte, la AEPD por los informes y resoluciones sancionadoras analizadas, siempre ha considerado óptimo optar por medias alternativas o combinadas al control de acceso mediante huella dactilar, algo que consideramos muy importante a tener en cuenta por la organizaciones que quieran implementar o modernizar sus sistemas de control de acceso.