“[El escaneo del iris] conlleva la comunicación de un dato personal considerado como una categoría especialmente sensible. Es un dato biométrico que permite la identificación inequívoca de la persona a través de una característica física que no se puede variar a lo largo de la vida.”
De este modo la Autoridad Catalana de Protección de Datos (APDCAT) informaba, a través de un comunicado el pasado 20 de febrero raíz de las informaciones recogidas por varios medios, sobre una supuesta campaña de recogida de este dato personal por parte de una empresa privada supuestamente vinculada con OpenAI, creadora de ChatGPT.
Posteriormente, el pasado 6 de marzo la AEPD decretó medidas cautelares para que la empresa en cuestión no pudiera seguir tratando los datos personales recogidos por un periodo máximo de tres meses, que incluye el cese del tratamiento y el bloqueo de aquellas que hubiera recogido con anterioridad.
Estas informaciones se suman al reciente cambio de criterio de la Agencia Española de Protección de Datos (AEPD) respeto el uso de datos biométricos (especialmente la huella dactilar) por los controles de presencia y de acceso, raíz de la publicación a finales del año pasado de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos.
En este sentido, la AEPD considera que cualquier tratamiento de datos biométricos destinado tanto a la identificación (el procedimiento para reconocer a un individuo particular dentro de un grupo) como la autenticación (el procedimiento para verificar que la identidad reclamada por un individuo es cierta comparando sus datos con los datos asociados a su identidad) de una persona, supone un tratamiento de alto riesgo, y por tanto, le son de aplicación las máximas garantías previstas por la normativa de aplicación.
Para poner un poco de contexto normativo, el artículo 4.14) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (RGPD) define datos biométricos como aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativas a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de esta persona, como imágenes faciales o datos dactiloscópicos.
Cuando el tratamiento de estos datos biométricos tenga como finalidad identificar de manera unívoca a una persona física, estas tendrán la consideración de “categorías especiales de datos personales” y por tanto, sujetas al cumplimiento de las máximas garantías establecidas por los legisladores.
Estas medidas se traducen en el siguiente: en primer lugar y por defecto, en una prohibición general del tratamiento de estos datos; complementada eso sí por una serie de excepciones que permiten levantar la mencionada prohibición. En estas excepciones la normativa contempla el consentimiento del titular, el cumplimiento de obligaciones y el ejercicio de derechos en el ámbito del derecho laboral, seguridad y protección social, la protección los intereses vitales del interesado o de un tercero, o por la razones de interés público, entre otros.
Pues bien, como hemos visto, a nivel estatal la AEPD especifica que en el marco de una relación laboral el consentimiento del titular por el tratamiento de datos biométricos con fines de control de presencia o acceso no cumple con los requisitos legales establecidos debido al desequilibrio de poder entre las dos partes. Tampoco existe por ahora una norma con rango de ley que habilite el tratamiento de estos datos por estas finalidades.
Es importante destacar que la AEPD establece que la misma consideración tiene que tener el tratamiento que se pueda hacer de estos datos a partir de una plantilla biométrica, es decir, aunque no se pueda reconstruir el dato original (una huella dactilar, el iris, la cara, etc.), el simple hecho de disponer de un identificador único que singulariza el individuo unívocamente ya es suficiente para considerarse una categoría especial de datos.
Si volvemos al presunto tratamiento del iris de una persona, hay que recordar que, en el marco de un estudio científico o tecnológico, a día de hoy el consentimiento sigue siendo válido para acreditar la licitud del tratamiento, siempre y cuando se cumplan todos los requisitos formales para que se considere que se han dado las condiciones necesarias por su formación, entre otros, cumplir con los deberes de información y transparencia regulados al RPGD. Complementariamente, la normativa obliga al responsable del tratamiento a llevar a cabo una evaluación de impacto en protección de datos atendido el alto impacto que este puede tener en los derechos y libertades de las personas, especialmente si se vincula su aplicación a tecnologías de reconocimiento facial.
Y es en este último punto donde consideramos que es esencial una mayor concienciación de la sociedad en general, desde todos los ámbitos, públicos y privados, y en especial al sector educativo, sobre el impacto que el uso, el tratamiento y la cesión a terceros de los datos biométricos de una persona puede llegar a tener en su día a día.
Hablamos del riesgo a la suplantación de la identidad en métodos de identificación y autenticación para acceder a los dispositivos portátiles (smartphones, tabletes, etc.), para abrir la puerta de un vehículo, acceder a instalaciones restringidas, abanica de datos a terceros, etc.
Volviendo a la noticia sobre la presunta cesión de datos biométricos a una empresa privada mediante el escaneo del iris de las personas voluntarias que se prestaron, únicamente una reflexión final: ¿dejaríamos hacer una copia de nuestras claves de casa y de los códigos de nuestras tarjetas de crédito a un tercero, aunque supuestamente nos garantice que únicamente se usarán por un estudio poblacional? Y, antes de contestar la pregunta, recordar que cuando hablamos en términos de un dato biométrico, la cerradura de la puerta de casa y el código PIN de las tarjetas siempre será el mismo, nunca se podrá modificar ni sustituir por otro de nuevo, y por tanto, en caso pérdida o robo, no se podrá nunca poner una cerradura nueva ni cambiar el número PIN, por ahora..
Por último, mencionar que dependerá de la evolución del texto final que se acabe aprobando de la actual Propuesta de Reglamento del Parlamento Europeo y del Consejo, por el cual se establecen normas armonizadas en materia de inteligencia artificial para conocer realmente el ámbito de protección de nuestros datos biométricos durante los próximas décadas.
