“[L’escaneig de l’iris] comporta la comunicació d’una dada personal considerada com una categoria especialment sensible. És una dada biomètrica que permet la identificació inequívoca de la persona a través d’una característica física que no es pot variar al llarg de la vida.”
D’aquesta manera l’Autoritat Catalana de Protecció de Dades (APDCAT) informava, a través d’un comunicat el passat 20 de febrer arrel de les informacions recollides per diversos mitjans, sobre una suposada campanya de recollida d’aquesta dada personal per part d’una empresa privada suposadament vinculada amb OpenAI, creadora de ChatGPT.
Posteriorment, el passat 6 de març l’AEPD va decretar mesures cautelars per tal que l’empresa en qüestió no pogués seguir tractant les dades personals recollides per un període màxim de tres mesos, que inclou el cessament del tractament i el bloqueig d’aquelles que hagués recollit amb anterioritat.
Aquestes informacions es sumen al recent canvi de criteri de l’Agència Espanyola de Protecció de Dades (AEPD) respecte l’ús de dades biomètriques (especialment l’empremta dactilar) pels controls de presència i d’accés, arrel de la publicació a finals de l’any passat de la Guia sobre tractaments de control de presència mitjançant sistemes biomètrics.
En aquest sentit, l’AEPD considera que qualsevol tractament de dades biomètriques destinat tant a la identificació (el procediment per reconèixer a un individu particular dintre d’un grup) com a l’autentificació (el procediment per verificar que la identitat reclamada per un individu és certa comparant les seves dades amb les dades associades a la seva identitat) d’una persona, suposa un tractament d’alt risc, i per tant, li son d’aplicació les màximes garanties previstes per la normativa d’aplicació.
Per tal de posar una mica de context normatiu, l’article 4.14) del Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016 (RGPD) defineix dades biomètriques com aquelles dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona física que permetin o confirmin la identificació única d’aquesta persona, com imatges facials o dades dactiloscòpiques.
Quan el tractament d’aquestes dades biomètriques tingui com a finalitat identificar de manera unívoca a una persona física, aquestes tindran la consideració de “categories especials de dades personals” i per tant, subjectes al compliment de las màximes garanties establertes pels legisladors.
Aquestes mesures es tradueixen en el següent: en primer lloc i per defecte, en una prohibició general del tractament d’aquestes dades; complementada això sí per una sèrie d’excepcions que permeten aixecar la mencionada prohibició. En aquestes excepcions la normativa contempla el consentiment del titular, el compliment d’obligacions i l’exercici de drets en l’àmbit del dret laboral, seguretat i protecció social, la protecció els interessos vitals de l’interessat o d’un tercer, o per la raons d’interès públic, entre d’altres.
Doncs bé, com hem vist, a nivell estatal l’AEPD especifica que en el marc d’una relació laboral el consentiment del titular pel tractament de dades biomètriques amb finalitats de control de presència o accés no compleix amb els requisits legals establerts degut al desequilibri de poder entre les dues parts. Tampoc existeix per ara una norma amb rang de llei que habiliti el tractament d’aquestes dades per aquestes finalitats.
És important destacar que l’AEPD estableix que la mateixa consideració ha de tenir el tractament que se’n pugui fer d’aquestes dades a partir d’una plantilla biomètrica, és a dir, encara que no es pugui reconstruir la dada original (una empremta dactilar, l’iris, la cara, etc.), el sol fet de disposar d’un identificador únic que singularitza l’individu unívocament ja es suficient per considerar-se una categoria especial de dades.
Si tornem al presumpte tractament de l’iris d’una persona, cal recordar que en el marc d’un estudi científic o tecnològic, a dia d’avui el consentiment segueix essent vàlid per acreditar la licitud del tractament, sempre i quan es compleixin tots els requisits formals per tal que es consideri que s’han donat les condicions necessàries per la seva formació, entre d’altres, complir amb els deures d’informació i transparència regulats al RPGD. Complementàriament, la normativa obliga al responsable del tractament a dur a terme una avaluació d’impacte en protecció de dades atès l’alt impacte que aquest pot tenir en els drets i llibertats de les persones, especialment si es vincula la seva aplicació a tecnologies de reconeixement facial.
I és en aquest últim punt on considerem que és essencial una major conscienciació de la societat en general, des de tots els àmbits, públics i privats, i en especial al sector educatiu, sobre l’impacte que l’ús, el tractament i la cessió a terces de les dades biomètriques d’una persona pot arribar a tenir en el seu dia a dia.
Parlem del risc a la suplantació de la identitat en mètodes d’identificació i autentificació per accedir als dispositius portàtils (smartphones, tabletes, etc.), per obrir la porta d’un vehicle, accedir a instal·lacions restringides, venta de dades a tercers, etc.
Tornant a la noticia sobre la presumpta cessió de dades biomètriques a una empresa privada mitjanant l’escaneig de l’iris de les persones voluntàries que s’hi van prestar, únicament una reflexió final: deixaríem fer una copia de les nostres claus de casa i dels codis de les nostres targetes de crèdit a un tercer, encara que suposadament ens garanteixi que únicament es faran servir per un estudi poblacional? I abans de contestar la pregunta, recordar que quan parlem en termes de d’una dada biomètrica, el pany de la porta de casa i el codi PIN de les targetes sempre serà el mateix, mai es podrà modificar ni substituir per un altre de nou, i per tant, en cas pèrdua o robatori, no es podrà mai posar un pany nou ni canviar el número PIN, per ara..
Per últim esmentar que dependrà de l’evolució del text final que s’acabi aprovant de l’actual Proposta de Reglament del Parlament Europeu i del Consell, pel qual s’estableixen normes harmonitzades en matèria d’intel·ligència artificial per conèixer realment l’àmbit de protecció de les nostres dades biomètriques durant els properes dècades.
