En el presente artículo vamos a analizar el reciente Informe 0047/2021 emitido por la Agencia Española de Protección de Datos (AEPD) en el cual se determina si es lícito o no desde el punto de vista de la protección de datos el proyecto de una entidad bancaria para la utilización de datos biométricos de reconocimiento facial con el fin de identificar a sus clientes amparándose en un interés público.
La entidad bancaria que plantea dicho proyecto considera que el consentimiento como base legitimadora no sería adecuado para dicho tratamiento, al no tratarse de una manifestación de voluntad libre, tal y como recoge el artículo 4 apartado 11 del Reglamento Europeo de Protección de Datos (, RGPD), donde define el término consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Es por ello por lo que la entidad bancaria insta a la AEPD a que considere dicho tratamiento realizado en una misión de interés público, al encontrarse amparado en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (LPBC/FT).
Debemos recordar que el RGPD considera los datos biométricos como categorías especiales de datos, definiéndolos en su artículo 4 apartado 14 como “aquellos datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Además, como ya hemos comentado en publicaciones anteriores del blog (ver aquí, y ver aquí), es necesario hacer referencia al informe 36/2020, en el que la AEPD se pronuncia en lo relativo al uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online, previo análisis del artículo 9.1 y considerando 51 del RGPD, y del Protocolo de enmienda el Convenio para la Protección de Individuos con respecto al procesamiento de datos personales.
También se procede en el informe a realizar una distinción entre los conceptos de identificación biométrica y verificación/autenticación biométrica, en base al Dictamen 3/2012 del Grupo de Trabajo del artículo 29, sobre la evolución de las tecnologías biométricas, así como al Libro blanco sobre la inteligencia artificial:
- Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
- Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno- a-uno).
A tal efecto, el dictamen mencionado expone que, entre ambos supuestos arriba indicados, únicamente estaremos hablando de datos biométricos, y, por tanto, de categoría especial de datos, cuando se produzca la identificación biométrica (uno-a-varios), y no así en los supuestos de verificación/autenticación biométrica (uno-a-uno).
Es por ello por lo que la AEPD entiende que, en el supuesto planteado, la entidad bancaria estaría tratando de amparar en un interés público un proceso de identificación biométrica (para, según exponen ellos, cumplir así con la LPBC/FT) y no de verificación biométrica, no siendo por lo tanto lícito, al tratarse, como acabamos de ver, de un tratamiento de categorías especiales de datos, cuya prohibición de tratamiento viene recogido en el artículo 9.1 RGPD, salvo en las excepciones recogidas en los del artículo 9.2 RGPD, más concretamente, por el supuesto que nos atañe, en los apartados a) y g):
- Apartado a): el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada en el apartado 1 no puede ser levantada por el interesado.
- Apartado g): el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.
En concreto y en lo referido a este último apartado g), el RGPD hace referencia a un interés público esencial, adjetivo utilizado con el fin de enfatizar y cualificar dicho concepto, debiendo tratarse de una necesidad social acuciante, proporcionada con el fin perseguido.
Para ello, la AEPD cita la STC 292/2000, en la cual se refleja el grado de incertidumbre que genera el concepto de “interés público”, debiendo ser necesaria su delimitación.
Con esta sentencia, el Tribunal Constitucional trata de evitar que se invoque de manera general este concepto de interés público, el cual considera un término genérico, al tratarse de una restricción del derecho a la protección de datos, no pudiéndose identificar con la suficiente precisión la finalidad del tratamiento de datos.
A mayor abundamiento, y ateniéndonos a la Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) la cual expone en su artículo 8.2 que para realizar un tratamiento de una categoría especial de dato amparándolo en un interés público esencial, como es el supuesto que nos atañe, éste interés público esencial debe contemplarse en una norma con rango de ley (aquellas emanadas de las Cortes Generales, como las leyes orgánicas, leyes ordinarias y las leyes que aprueban las Asambleas Legislativas de las Comunidades Autónomas), en la cual se debe indicar, por consiguiente, en qué circunstancias se puede limitar el derecho a la protección de datos en base a dicho interés, cumpliendo siempre con el principio de proporcionalidad. En nuestro supuesto, la normativa con rango de ley en la cual la entidad bancaria se ampara es en la LPBC/FT, mencionada al principio del presente artículo.
Sin embargo, la AEPD entiende que dicho amparo no sería válido, al no considerar ni recoger dicha ley en su articulado que los datos especialmente protegidos sean un medio de identificación formal de las personas físicas. A tal efecto, la ley recoge como medio de identificación de las personas físicas el Documento Nacional de Identidad, y para las personas jurídicas aquellos documentos públicos que acrediten su existencia, además de prever otros medios, como la firma electrónica, entre otros.
Por todo lo anteriormente expuesto, para el caso del tratamiento de datos biométricos para la identificación de clientes en la entidad bancaria, no se cumple como hemos visto con el principio de licitud a.
Asimismo, es s importante recalcar que el principio de licitud amparado en el cumplimiento de una misión realizada en interés público recogido en el artículo 6.1 apartado e) RGPD, no resultaría de aplicación, al no atribuir la LPBC/FT competencias a las entidades financieras, sino a las Administraciones Públicas, en relación con lo dispuesto asimismo en la LOPDGDD.
Termina concluyendo la AEPD que el interés de la entidad bancaria se trataría de un interés privado, con el fin de evitar suplantaciones de identidad que pudieran producirse a la hora del acceso por parte de los clientes, no tratándose así de ningún interés público y siendo un tratamiento desproporcionado, al no cumplir tampoco con los principios recogidos en el artículo 5 RGPD, en concreto los relativos a la limitación de la finalidad y principio de minimización, principios que también hemos analizado en varios post de nuestro blog (ver aquí y ver aquí).
En este sentido, la AEPD entiende que este tratamiento conllevaría inexcusablemente a un tratamiento a gran escala (prácticamente la totalidad de la población) de categorías especiales de datos, como son los datos de reconocimiento facial, tanto a clientes como a potenciales clientes, no cumpliendo por tanto con los requisitos de proporcionalidad exigidos por el Tribunal Constitucional y tal y como recuerda en su Sentencia 14/2003, de 28 de enero, y no tratándose de un tratamiento necesario, al ser posible la utilización de medidas menos intrusivas.
También debemos hacer referencia a la reciente Resolución de terminación del procedimiento por pago voluntario Nº: PS/00120/2021 en la cual la AEPD notifica a la cadena de supermercados MERCADONA una sanción cuyo importe asciende a un total de 2’5 millones de euros, al haber establecido la cadena durante varios meses en más de 40 tiendas un sistema de detección anticipada en las cámaras de acceso a las tiendas, basado en un sistema de reconocimiento facial. La finalidad de dicho proyecto era, según alega la cadena, el poder detectar a las personas que tuviesen órdenes de alejamiento, para proceder a su notificación ante las Fuerzas y Cuerpos de Seguridad.
En lo relativo al caso del WANDA Metropolitano, en el que el equipo Atlético de Madrid desea implementar la detección facial con el fin de regular y vigilar a los grupos “ultras” que puedan acceder al estadio, estamos a la espera de pronunciamiento por parte de la AEPD, pero no sería de extrañar que su pronunciamiento vaya acorde con la resolución objeto de presente artículo y con la que acabamos de mencionar referida a la cadena de supermercados MERCADONA, estableciendo por lo tanto la ilicitud de dicho tratamiento.
A modo de conclusión, podemos resaltar que, a pesar de que el concepto de interés público pudiese presentarse en un primer momento como un concepto indeterminado, ambiguo y genérico, hemos comprobado que tanto nuestros tribunales, como las autoridades de control en materia de protección de datos, han hecho un gran esfuerzo y trabajo con el fin de delimitar dicho concepto, evitando que pueda ser utilizado por parte de entidades privadas para amparar tratamientos de categorías especiales de datos en sus propios beneficios e intereses privados.