Cada vez es más habitual el uso de la biometría para distintas finalidades, entre otras la identificación personal. Está muy extendido el uso de lectores de huella dactilar para el acceso y registros de entradas y salidas de empleados en sus empresas, pero también se intenta utilizar sistemas de este tipo para otras finalidades. El problema es que estos tratamientos de datos pueden considerarse intrusivos, en especial cuando se trate de menores.
Hay que recordar que, incluso con el consentimiento de los usuarios, algunos tratamientos de datos no pueden realizarse para determinadas finalidades, puesto que ese tratamiento puede ser desproporcionado. El artículo 4.1 de la LOPD establece que «los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido».
¿Qué sucede en el caso de que el tratamiento de datos biométricos sea de datos de menores? El documento de trabajo sobre biometría, del Grupo de Trabajo del Artículo 29, de fecha 1 de agosto de 2003, estableció que «los datos biométricos sólo pueden usarse de manera adecuada, pertinente y no excesiva, lo cual supone una estricta valoración de la necesidad y proporcionalidad de los datos tratados. Por ejemplo, la CNIL francesa ha rechazado el uso de huellas digitales en el caso del acceso de los niños a un comedor escolar, pero ha aceptado con el mismo fin el uso de los resultados de muestras de las manos».
La Agencia Española de Protección de Datos hizo suya esta opinión, en su Informe 368/2006, sobre Proporcionalidad del tratamiento de la huella dactilar de alumnos de un colegio. La Agencia entiende que «resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos».
Cabría preguntarse qué sucedería en caso de que el sistema empleado no almacene imágenes de huellas sino tan sólo un conjunto de códigos binarios, basados en un número determinado de puntos obtenidos de la huella dactilar. En esos casos es imposible reconstruir la imagen de la huella dactilar de una determinada persona, sino que simplemente se utiliza la información obtenida para identificar al individuo. Quizá un sistema de este tipo se considere menos intrusivo y la Agencia entienda que sí que hay proporcionalidad en ese tratamiento.