Los datos biométricos son aquellos que permiten identificar a una persona de acuerdo con sus características fisiológicas o sus conductas. En este sentido, desde noviembre de 2023, la AEPD, ha cambiado sustancialmente el criterio legal a aplicar a los datos biométricos para uso de identificación o acceso, ya que los mismos, hasta ese momento, eran considerados como categorías especiales de datos y, por tanto, debían tener una protección especial.
Sin embargo, los datos biométricos para autenticación no pertenecían a dicha categoría, lo que abría la puerta a su uso en diversos ámbitos, como, por ejemplo, a los sistemas para el registro de la jornada laboral de los trabajadores, como así venía siendo recogido de manera habitual por la jurisprudencia, quien reconocía dicho uso, como un uso adecuado y legal de los mismos.
No obstante, ello, desde dicha fecha, la AEPD ha modificado su criterio, principalmente en la necesidad de adaptar su doctrina a los nuevos criterios del CEPD (Comité Europeo de Protección de Datos), por lo que el uso de los mismos con dicha finalidad, es decir, tanto para la identificación biométrica como para la autenticación biométrica, pasan a ser considerados como un tratamiento basado en categorías especiales de datos, de manera que son de aplicación siempre las obligaciones establecidas en el RGPD para esta categoría de datos.
En el momento presente, el tratamiento de datos biométricos con fines de identificación o autenticación convierte a esta tipología de datos personales, en datos con una especial protección teniendo en consideración, las consecuencias que se derivan de la utilización de los mismos
De este modo, la AEPD de acuerdo con el contenido del artículo 9 del RGPD ahora considera que el tratamiento de datos biométricos, tanto con fines de identificación como para la autenticación, con carácter general, constituye un tratamiento de alto riesgo.
Adicionalmente a ello, en el apartado 2º de dicho artículo 9º, se determinan algunos casos en los que el tratamiento llevado a cabo con datos biométricos se encuentra autorizado, indicando que "el levantamiento de la prohibición se basa en el artículo 9.2.b) del RGPD, el responsable debe contar con una norma con rango de ley que autorice específicamente utilizar datos biométricos para dicha finalidad ".
Asimismo, se debe tenerse presente la Disposición Final Undécima de la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos y garantía de derechos digitales, en la que de manera análoga al RGPD se regula el uso de los datos biométricos, con la inclusión, de una serie de condicionantes para poder utilizarlos, teniendo en cuenta, precisamente, que ello parte de la prohibición general poder utilizarlos.
En este sentido, señala dicho precepto lo siguientes: "[…] el acceso solo se podrá autorizar en caso de que se cuente con el consentimiento expreso del afectado o si aquel estuviera amparado por una norma con rango de ley".
Por lo tanto, según lo recogido en el Reglamento General (UE) 2016/679 de Protección de Datos Personales (RGPD), para poder tratar esta categoría de datos personales es necesario:
a). Que, exista una circunstancia que levante la prohibición del tratamiento de categorías especiales de datos.
b). Y, además, una condición que lo legitime.
Consecuentemente con ello, la AEPD, señala en su Guía sobre tratamientos de control de presencia mediante sistemas biométricos el tratamiento de dichos datos biométricos (noviembre de 2023), que en el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el 9.2.b), el responsable debe contar con una norma con rango de ley que concrete la posibilidad de utilizar datos biométricos para dicha finalidad, que en la actualidad no es fácil encontrarla en la actual normativa legal española en este ámbito de actuación.
Es por ello por lo que, como se puede apreciar, la AEPD a través de su Guía pone en entredicho la utilización de estas tecnologías, apartándose del criterio que de manera tradicional mantenía hasta ahora, de que su uso no implica una medida excesiva.
Adicionalmente a ello, por parte de la AEPD se ha señalado que para el caso del control de acceso fuera del ámbito laboral, la ejecución de un contrato no es una circunstancia que levanta la prohibición según el art.9.2 del RGPD.
Y el consentimiento, tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo.
Todo ello conduce a la situación de que con la nueva interpretación de la AEPD, debe sustituirse, por ejemplo, un sistema de registro biométrico por otro sistema, en el que mediante la intervención humana se controle y se verifique el acceso o cualquier otro sistema de que no implique el uso de sus datos biométricos y se debería tener en cuenta la utilización de otras alternativas menos intrusivas con la privacidad de las personas, a los efectos de poder cumplir con estos fines de control de accesos (como por ejemplo podrían ser la utilización de tarjetas inteligentes, certificados digitales, etc.).
Finalmente, debe tenerse presente que la aplicación de esta modificación de criterio es de aplicación inmediata, por lo que cualquier empresa que utilice este sistema de reconocimiento biométrico puede ser sancionada por la AEPD, sin importar que cuando se instalara dicho sistema, el mismo fuera legal.
Magistrado y letrado del Tribunal Constitucional en excedencia. Socio director de Puyol Abogados