Es probable que la mayoría de los ciudadanos no le concedan importancia al uso de la huella dactilar. Se ha utilizado, en múltiples ocasiones, cada vez que se ha accedido al puesto de trabajo, sobre todo tras la entrada en vigor de la Ley 8/2019 de control horario. El mero hecho de colocar el dedo en un lector que le indica a la empresa que hemos entrado o salido del puesto de trabajo es una de las trampas de la biometría.

¿Por qué? Porque podemos pensar que la biometría consiste en identificar, siguiendo el ejemplo anterior, huellas dactilares de una persona sin mayor trascendencia; pero es un tratamiento de información más complejo que debería ser objeto de análisis y ponderación de forma más exhaustiva por todas las organizaciones que lo utilizan.

Una de las finalidades principales de la biometría es la seguridad informática. Hoy en día estamos bastante acostumbrados a tener que memorizar múltiples contraseñas, almacenarlas en los equipos o incluso en los casos más imprudentes, utilizar una secuencia de números o letras fácilmente identificables para generarlas. La biometría utiliza medidas biológicas o características físicas que, combinados o no con claves alfanuméricas, mejoran extraordinariamente las condiciones de seguridad para el acceso a los sistemas de la información, cuestión que incluso afectará más pronto que tarde al ámbito doméstico y no sólo a los centros de trabajo.

En el ámbito de la salud o en el de la seguridad ciudadana, la biometría está teniendo aplicaciones importantes como el caso de la próxima incorporación en España de un sistema de identificación y verificación biométrica en los procesos de expedición del documento nacional de identidad electrónico y del pasaporte electrónico basado en la identificación a través de las características biométricas faciales y no sólo dactilares.

Relacionado con todo lo antedicho, es importante tener en cuenta que el volumen de identificadores tiende a aumentarse, es decir, cualquier elemento de nuestro cuerpo que permita prácticamente identificar a un sujeto sin intervención humana (por ejemplo, la conformación facial de una franja de nuestro rostro, el iris, los datos de ADN no codificante, la huella plantar en recién nacidos…) se constituye como elemento mensurable de nuestro cuerpo que proporciona una marca biométrica susceptible de ser utilizada.

Y una vez que tenemos claro qué entendemos por datos biométricos, ¿en qué contexto se pueden utilizar?, ¿a qué colectivos se aplican, a todos los ciudadanos?, ¿con qué base legitimadora?

De entrada es importante indicar que la Agencia Española de Protección de Datos (AEPD) tiene un criterio altamente restrictivo con colectivos especialmente vulnerables, como podría ser el caso de los menores de edad, lo que implica la necesidad de efectuar un juicio de ponderación en relación con el tratamiento de datos de este público objetivo, tanto a modo de ejemplo desde el punto de vista del alcance (a gran escala) como de la relación de los mismos con otros tratamientos complementarios como analítica y el Big Data.

La dificultad reside en la necesidad de delimitar riesgos y establecer los límites aplicables a cada tratamiento efectuado.

El elemento fundamental sobre el que se sustenta el citado juicio de proporcionalidad es la transparencia. El Reglamento General de Protección de Datos personales (RGPD) atribuye un valor esencial a la transparencia como garantía de los derechos fundamentales de los afectados, lo que otorga especial relevancia a la información en la recogida de datos de carácter personal, resultando fundamental delimitar el contexto de la recogida. A modo de ejemplo, en el ámbito de los datos genéticos, se produce una esfera de intervención invasiva en relación con la intimidad de un sujeto ya que es preciso tomar una muestra que tendrá carácter voluntario, salvo que pueda englobarse en el marco de la investigación policial de un delito y cuando medie autorización judicial. Otro ejemplo sería el ámbito laboral, en el que es preciso delimitar de forma exhaustiva cómo operará la captación de la huella digital posterior a un contrato de trabajo, debiendo informarse adecuadamente a los afectados y determinar en qué momentos y a través de qué medios se facilitará dicha información.

Asimismo, realizar una correcta definición de la finalidad para la que se tratará la información biométrica va a ser algo estratégico, debido al potencial uso de la información biométrica para finalidades complementarias.

Otro de los temas fundamentales a definir es la delimitación de los tiempos de conservación, custodia y expurgo de estos datos, ya que éste es uno de los aspectos más relevantes a la hora de determinar la afectación a los derechos de ese sujeto, siendo especialmente escrupulosos en el caso de que estemos tratando datos de colectivos especialmente vulnerables, en cuyo supuesto es preciso delimitar cuál es el interés superior de este colectivo.

Este carácter restrictivo sigue el hilo argumental de la Junta Europea de Protección de datos (JEPD) y el Supervisor Europeo de Protección de Datos (SEPD), los cuales ha solicitado recientemente que el proyecto de reglamento de la UE sobre el uso de tecnologías de inteligencia artificial prohíba el uso de sistemas biométricos en campo abierto, tal como ha secundado también la AEPD el pasado mes de julio en su sanción contra un supermercado por la utilización de sistemas de reconocimiento facial en 40 de sus establecimientos (https://www.aepd.es/es/documento/ps-00120-2021.pdf).

¿Cuál es por tanto la clave de este asunto?

La función fundamental de cualquier persona física o jurídica que pretenda efectuar tratamientos de información biométrica es determinar a qué riesgos se enfrentan al utilizar las tecnologías asociadas a este tipo de información, sirviendo como línea roja exclusivamente la fórmula de la necesidad, idoneidad y proporcionalidad a través de la correspondiente evaluación de impacto de cada actividad de tratamiento derivada de la misma, y la asociación de principios legitimadores y medidas o controles de seguridad que garanticen el cumplimiento de la normativa tanto soft law (recomendaciones no vinculantes) como hard law (derecho puro) que resulte de aplicación.

Indexar a toda la población en cualquier contexto supone un riesgo jurídico y reputacional inasumible por parte de cualquier sujeto u organización.

De este modo, lo más importante es solicitar asesoramiento profesional en esta materia de forma que se garantice el cumplimiento del principio de privacidad por defecto y desde el diseño, siendo preciso un desglose de medidas, en muchos casos contrafactuales, al tratarse de prácticas generalizadas en todas las entidades del sector o en las que incluso el sujeto pasivo muestra su interés por resultar identificable mediante la aplicación de estas técnicas. Véase por ejemplo el caso de Suecia, donde miles de personas en la nación nórdica se han implantado microchips bajo la piel con objeto de realizar pagos sin efectivo ni tarjeta (https://www.bbc.com/mundo/noticias-46372725).

Por tanto, el mayor riesgo de cualquier organización es normalizar el tratamiento de datos biométricos y valorarlo como insustancial, sin tener en consideración la doctrina, jurisprudencia y normativa que los reguladores aplican y seguirán aplicando, atribuyendo a la biometría la categoría de dato especialmente protegido y suponiendo, en caso de incumplimiento, la aplicación de importantes consecuencias a nivel sancionador y reputacional tal como comentaba antes.

Por todo ello, resulta imprescindible enfocar de forma adecuada el análisis de riesgos tanto en privacidad como en seguridad, valiéndose de las estrategias y herramientas necesarias que nos permitan establecer las vulnerabilidades, probabilidades e impactos derivados del uso de estas tecnologías que han llegado para quedarse.

Jara B. Llanos, Consultor Senior S21sec & Compliance Officer.