El tratamiento de datos biométricos supone el uso de categorías especiales de datos y la empresa debe encontrar una base legitimadora y una excepción a la prohibición del tratamiento.
O bien que se pueda evidenciar que se trata de un tratamiento en interés público, según aconseja la Asociación Española de Compliance (Ascom) en su informe sobre la materia.
El informe aconseja que en el caso de uso de datos biométricos se valoren los principios de necesidad, proporcionalidad y minimización. Y señala que es conveniente, como ocurre en la prevención del fraude y del blanqueo de capitales, la creación y revisión continua de políticas y procedimientos internos de gestión que operan como medida para garantizar que el tratamiento de datos biométricos sea idóneo y proporcional.
Mediante procesos claros respecto a las fases de tratamientos de datos (en especial, recogida, uso, conservación y expurgo), velando por la privacidad desde el diseño y por defecto, medidas de seguridad y con cuestiones como la incorporación de medidas de privilegios de acceso. Una serie de medidas que pueden adoptarse para garantizar que el tratamiento de datos biométricos sea idóneo y proporcional.
En primer lugar, las organizaciones deben contar con políticas y normas internas claras que rijan la recogida, el uso y la conservación de los datos biométricos.
Estas políticas y normas deben estar diseñadas para proteger la privacidad de los interesados y garantizar que los datos biométricos sólo se utilizan para fines legítimos. Además, las organizaciones deben obtener el consentimiento de los interesados (o disponer de otra base jurídica aplicable) antes de recoger o utilizar sus datos biométricos.
Y, finalmente, las organizaciones deben tomar medidas para proteger los datos biométricos del acceso, uso o divulgación no autorizados, ya que el tratamiento de datos biométricos es una cuestión compleja que plantea diversos problemas de privacidad.
Sin embargo, si se toman medidas para garantizar que el tratamiento de los datos biométricos sea idóneo y proporcional, las organizaciones pueden ayudar a proteger la privacidad de los interesados y, al mismo tiempo, aprovechar las ventajas de las tecnologías que hagan uso de estos datos.
Algunas buenas prácticas y consejos adicionales que aporta Ascom para proporcionar la información previa consisten en: utilizar un lenguaje sencillo, evitando jerga técnica o acrónimos; ser específico y transparente, la información previa debe ser precisa y honesta; y facilitar que la información se encuentre disponible en diversos formatos e idiomas.
Es importante señalar que la información previa debe facilitarse antes de recoger o utilizar los datos biométricos. Salvo que exista alguna excepción, las organizaciones no pueden recoger o utilizar datos biométricos sin proporcionar primero a los interesados esta información previa.
Los beneficios del tratamiento pueden ser superiores a los problemas de privacidad. Por ejemplo, el uso de datos biométricos para prevenir el terrorismo puede estar justificado. Sin embargo, en otros casos, los problemas de privacidad pueden superar a los beneficios. Por ejemplo, su uso para seguir los movimientos de los empleados puede resultar desproporcionado.
El tratamiento queda amparado por el Reglamento General de Protección de Datos (RGPD) y resto de normativa aplicable como dato de carácter personal.
A diferencia de lo dispuesto en el RGPD, la Ley Orgánica de Protección de Datos (LOPD) no contiene ninguna mención específica o previsión en relación con el tratamiento de datos biométricos.
Tanto el RGPD, como las autoridades de control, exigen que se trate esta categoría de datos a proporcionar a los interesados información previa y específica sobre el tratamiento de sus datos biométricos antes de su recogida y uso.
