El tratamiento de los datos biométricos: presente y futuro

Con la aprobación del nuevo Reglamento Europeo de Protección de datos, la interpretación que se ha venido haciendo hasta el momento de cómo se deben tratar los datos biométricos se ha visto afectada. En consecuencia, este artículo pretende resumir lo establecido por la normativa vigente y los cambios que establece la nueva norma europea.

En la actualidad, el tratamiento de datos biométricos conlleva que el uso de sistemas biométricos se ajuste a la vigente normativa de protección de datos [1], puesto que permite la identificación de las personas.

Ahora bien, tal como establece dicha normativa, el uso de este tipo de sistemas debe ser adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades para las que se hayan obtenido [2]. En este sentido, para la implementación de cualquier sistema biométrico se debe:

1. Determinar la finalidad para los que se recaben y traten los datos biométricos.
2. Analizar la proporcionalidad del sistema biométrico propuesto.
3. Inspeccionar que los datos biométricos tratados deberán ser exactos y pertinentes en proporción a la finalidad para la que fueron recogidos.
4. Garantizar que la configuración por defecto promueva la protección de datos.
5. Legitimar el tratamiento de los datos biométricos, ya sea mediante el consentimiento del interesado, contrato o interés legítimo [3] del responsable del tratamiento.
6. Aplicar las medidas de seguridad [4] que correspondan en función de la finalidad del tratamiento de los datos biométrico. Por ejemplo, si la finalidad del tratamiento del dato biométrico fuese la identificación de la persona se deberán aplicar las medidas de seguridad de nivel básico. Pero si el tratamiento de dichos datos se usa con la finalidad determinar aspectos de la personalidad o del comportamiento del interesado se deberá aplicar el nivel medio. O, si se identificasen datos de salud, el nivel aplicable sería el alto, siendo necesario disponer del consentimiento expreso del titular de los datos para poder tratarlos.
7. Garantizar que los datos se supriman una vez transcurrido un periodo de tiempo justificado en función para los que fueron recabados o para los que se traten ulteriormente.

En cambio, la nueva normativa, la cual será de obligado cumplimiento en 2018, define los datos biométricos como los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

Las principales novedades que establece la norma europea son:

1. El tratamiento de datos biométricos merece una especial protección, considerándolos datos de carácter sensible y estableciendo la prohibición de su tratamiento salvo que concurra alguna de las situaciones contempladas en el artículo 9 del Reglamento [5].
2. Se debe cumplir con los requisitos específicos y los principios generales del tratamiento de estos datos, entre ellos se establece la obligatoriedad de realizar una evaluación de impacto por el uso de este sistema.
3. Los Estados miembros pueden mantener, introducir o limitar disposiciones específicas con respecto al tratamiento de estos datos.

En conclusión, con la aprobación del nuevo Reglamento el uso de sistemas biométricos deberá, en primer lugar, disponer de una evaluación de impacto. En segundo lugar, dado que se tratan datos de carácter sensible, a diferencia de la normativa actual que establece los requisitos a aplicar en función de la finalidad del tratamiento que se lleve a cabo, se deberá disponer de mayor protección por parte del responsable y el encargado, en su caso, del tratamiento. Y, en tercer lugar, se deberá disponer del consentimiento expreso del interesado.

En líneas generales estas serán las principales novedades que nos podemos encontrar, sin embargo, no debemos olvidar cuáles serán los criterios de aplicación que pueda establecer cada Estado miembro ya que serán los encargados de marcar las pautas de interpretación del Reglamento, sin olvidar que tienen la opción de establecer disposiciones específicas sobre protección de datos.

En definitiva, tenemos prácticamente año y medio para ir viendo qué criterios de aplicación se irán fijando.

Erika Montalván Calderón

Socia-Abogada en Legycom

Asociada de ENATIC

LinkedIn: https://es.linkedin.com/in/erika-montalvan-calderon

Twitter: @emontcal

[1] Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

[2] El Tribunal Constitucional, viene diciendo, en la Sentencia 207/1996, que se trata de “una exigencia común y constante para la constitucionalidad de cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad, y más en particular de las medidas restrictivas de derechos fundamentales adoptadas en el curso de un proceso penal viene determinada por la estricta observancia del principio de proporcionalidad”.

En conclusión, para comprobar que la adopción de un sistema biométrico no supera el juicio de proporcionalidad se debe justificar su idoneidad, necesidad y si la implementación de este sistema es equilibrada.

[3] El tratamiento de datos biométricos para las exigencias generales de seguridad de los bienes y las personas no puede considerarse un interés legítimo que prevalezca sobre los intereses o los derechos y libertades fundamentales del interesado. Solo puede justificarse como un instrumento necesario para asegurar los bienes o las personas cuando se disponga de pruebas, sobre la base de las circunstancias objetivas y documentadas, de la existencia de un riesgo considerable.

[4] Definidas en el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

[5] Por ejemplo, cuando el interesado dé su consentimiento explícito o tratándose de necesidades específicas, en particular cuando el tratamiento sea realizado en el marco de actividades legítimas por determinadas asociaciones o fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.