Velázquez, 109. Madrid (Spain - Europe)

+34.918327626 info@abanlex.com

La huella dactilar y el RGPD

Por Gloria Martín Sánchez Abogado of counsel de privacidad en Abanlex.

 

Tenemos una empresa, y como responsables del tratamiento estamos pensando en implantar un sistema de acceso mediante huella dactilar, ya sea para empleados o para el acceso de usuarios/clientes a nuestras instalaciones, ¿puedo hacerlo? En caso afirmativo, ¿qué medidas debo adoptar o cómo puedo implantarlo? Veámoslo.

¿Puedo usar la huella dactilar?

En primer lugar, para responder a esta pregunta, hay que partir de la naturaleza de la huella dactilar como dato, viniendo configurada como un dato sensible y por tanto sujeta a una protección especial o reforzada. Así lo estable el art. 9 en relación con el art. 4. 14) del Reglamento General de Protección de Datos -en adelante, RGPD-, disponiendo este último que son datos biométricos los “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Por su parte, el art. 9.1 indica que “queda prohibido el tratamiento de datos (…) biométricos (…)”, salvo que medie consentimiento explícito del interesado o “el tratamiento sea necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social (…)”, entre otras salvedades de las indicadas en el apartado 2 del indicado artículo.

Por tanto, consecuencia de la especial naturaleza de las huellas dactilares como datos sensibles, sólo podrán ser tratados si se cumplen algunas de las circunstancias expresadas en el apartado 2 del art. 9 del RGPD.

Tengo el consentimiento expreso o el tratamiento está en el marco de la relación laboral, ¿es suficiente?

No lo es. No solo basta con estar incluidos en alguno de los supuestos tasados en el art. 9.2 del RGPD para poder tratar las huellas dactilares, sino que además, como establece el art. 35 del RGPD, se incorpora una nueva obligación para los responsables de tratamientos: evaluar el impacto de las operaciones de tratamiento en la protección de los datos personales, cuando sea probable que el tratamiento comporte un riesgo significativo para los derechos y las libertades de las personas y en particular, el apartado 3 indica que será necesario para el “tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1 (…)”. Por lo tanto, se deberá realizar, previamente al inicio del tratamiento de las huellas dactilares, una evaluación de impacto sobre la injerencia que ese tratamiento provocará en los derechos y libertades de los interesados.

No obstante, aún cuando el futuro tratamiento no implique el tratamiento de datos a gran escala, debido a la sensibilidad del dato, deberá igualmente realizarse la evaluación de impacto sobre los derechos y libertades de los interesados, ya que así lo estipula el art. 35.1 del RGPD.

Estos análisis deberán llevarse a cabo por profesionales en protección de datos, ya que ante una denuncia o inspección de oficio de la Agencia Española de Protección de Datos -AEPD en adelante-, y conforme al principio de responsabilidad proactiva, este análisis debe poder acreditarse con una argumentación jurídicamente válida en Derecho.

Por su parte, la AEPD y recientemente el Supervisor Europeo de Protección de Datos, han fijado que también será necesario realizar una evaluación de necesidad y proporcionalidad del tratamiento pretendido.

La AEPD, siguiendo la doctrina establecida por el Tribunal Constitucional -derivada a su vez del Tribunal Europeo de Derechos Humanos-, establece que el tratamiento debe superar el triple juicio que impone el principio de proporcionalidad. El triple juicio consiste en que el tratamiento deberá ser idóneo, necesario y proporcional en sentido estricto, es decir, el dato tratado debe cumplir con el objetivo perseguido, no debe existir una alternativa menos intrusiva que consiga el propósito del tratamiento, y la injerencia producida en el titular del derecho objeto de restricción por la medida debe ser la mínima en aras al logro del fin legítimo perseguido con aquélla (Sentencia del Tribunal Constitucional nº 207/1996).

El Supervisor Europeo de Protección de Datos, en su reciente Dictamen sobre la propuesta de Reglamento sobre el refuerzo de la seguridad de los documentos de identidad de los ciudadanos de la Unión y de otros documentos (2018/C 338/12) de 10 de agosto de 2018, recomienda volver a evaluar la necesidad y la proporcionalidad del tratamiento de los datos biométricos.

Resumiendo, para poder tratar las huellas dactilares, deberemos:

  • Estar inclusos en alguna de las salvedades permitidas en el art. 9.2 del RGPD para poder tratar datos biométricos.
  • Realizar y superar la evaluación de impacto sobre el tratamiento pretendido.
  • Realizar y superar el principio de proporcionalidad definido por el Tribunal Constitucional.

Si superamos estos tres requisitos, podremos llevar a cabo un tratamiento de datos biométricos.

¿Cómo puedo superar el triple juicio de proporcionalidad?

La AEPD ha indicado en varias resoluciones e informes que el tratamiento de datos biométricos podrá llevarse a cabo cuando:

  • se adopten medidas de seguridad reforzadas para proteger la seguridad de los datos tratados mediante, por ejemplo, la conversión de la huella dactilar en un algoritmo o mediante el cifrado de los datos.
  • los datos permanezcan bajo el control del interesado y no se incorporen al sistema del responsable del tratamiento.

De manera que, con la implantación de estas medidas, el tratamiento conllevaría una menor injerencia en los derechos y libertades de los interesados permitiendo, a su vez, cumplir con el fin perseguido por el tratamiento y superando, por tanto, el triple juicio impuesto por el principio de proporcionalidad.

 

A mayores, la propia AEPD nos indica cómo podemos conseguirlo: mediante el uso de tarjetas o pulseras inteligentes. Las pulseras deberán estar siempre en poder del interesado, y para poder acceder a las instalaciones del responsable, el interesado deberá usar la tarjeta o pulsera al propio tiempo que deba posicionar su huella sobre el lector. Así, sólo en el caso de que el algoritmo resultante del posicionamiento fuera coincidente con el que contuviera la tarjeta, sería posible el acceso. Mediante este mecanismo, el sistema del responsable únicamente almacenaría la información identificativa del interesado y en ningún caso incluiría la relacionada con el algoritmo de la huella dactilar, lo que minimizaría la intrusión en los derechos y libertades del interesado y no perjudicaría el fin del tratamiento. Entre otras, así lo resuelve la AEPD en el Informe 65/2015 y las Resoluciones 900/2018 y 1410/2018.

 ¿Qué ocurre con los tratamientos anteriores al 25 de mayo de 2018?

En este caso, si bien no se requieren los dos primeros requisitos indicados, sí que será necesario que el tratamiento cumpla con el tercero: superar el principio de proporcionalidad en su triple vertiente.

 

Además, deberá estudiarse el caso en concreto para evaluar los posibles riesgos que el tratamiento suponga en los derechos y libertades de los interesados realizándose una evaluación del impacto del tratamiento.

Conclusión

El uso de las huellas dactilares requiere de un análisis exhaustivo sobre el cumplimiento de los requisitos enumerados que, en todo caso, deben documentarse y ser elaborados por un profesional en protección de datos, ya que este tratamiento supone un alto riesgo sobre los derechos y libertades de los interesados que debe encontrarse perfectamente justificado. Para cualquier duda, estaremos encantados en poder ayudarle.

 

 Photo by: jom jakkid

Deja un comentario