España. La AEPD aplica los criterios de la guía sobre sobre tratamiento de control de presencia mediante sistemas biométricos.
La Agencia Española de Protección de Datos (AEPD) ha empezado a sancionar por el uso de sistemas de huella dactilar para el control de acceso tras la publicación, en noviembre de 2023, de la Guía de la AEPD sobre tratamiento de control de presencia mediante sistemas biométricos, que ya fue analizada en una entrada anterior, titulada “¿Prohíbe la AEPD tratar datos biométricos para control de acceso?”.
La AEPD aplica ya el criterio adoptado en la Guía, por el que se considera que tanto los sistemas de "identificación" como los de "autenticación" biométricos llevan a cabo tratamientos de datos personales de categorías especiales, y, por tanto, se hallan sujetos a una prohibición general de tratamiento salvo que concurra alguna de las excepciones previstas en el artículo 9.2 del RGPD.
Cabe recordar, a modo de recapitulación, que la Guía de la AEPD examina algunas posibles bases jurídicas legitimadoras para la utilización de sistemas de control de presencia que usen datos biométricos:
De igual forma, la AEPD señala que el tratamiento de datos biométricos implica un alto riesgo para los derechos y libertades de los interesados, por lo que exige que el responsable del tratamiento adopte las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo teniendo en cuenta, entre otras cuestiones, el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento.
Por último, la AEPD recuerda que el tratamiento de datos biométricos requiere la realización de una evaluación de impacto en la protección de datos (en adelante, “EIPD”) con resultado positivo que, además, analice la necesidad, idoneidad y proporcionalidad del tratamiento.
Una muestra de la aplicación de los criterios de la Guía puede verse en la resolución de la AEPD del pasado 9 de abril de 2024, referida a las denuncias presentadas contra un club de futbol por dos aficionados que se oponían al uso de sistemas biométricos para el control de acceso a las gradas del estadio.
El sistema de control de acceso biométrico en cuestión se basaba en la captura de la huella dactilar en los puestos de atención a los socios, donde se creaba una plantilla biométrica que se almacenaba de forma cifrada. Para acceder a la grada hay una puerta con tres tornos que ofrecen múltiples métodos de acceso, incluyendo la identificación biométrica. Al entrar, el lector biométrico de los tornos enviaba la huella cifrada a un servidor del club, que realizaba una comparación de identificación biométrica (uno-a-varios). Los datos biométricos estaban cifrados en todo momento y, además, la imagen original de la huella se elimina después de crear la plantilla biométrica.
Según la resolución, con el uso de este sistema el club de fútbol infringe la normativa de protección por los siguientes motivos:
El Club de Futbol procedió voluntariamente al pago de 120.000 euros, acogiéndose a las reducciones de reconocimiento de responsabilidad y de pago voluntario, y evitando la sanción de 200.000 que podría haber recaído. De este modo, la AEPD dicta resolución de terminación del procedimiento, y confirma la medida ya adoptada provisionalmente de prohibición del tratamiento biométrico.
Esta resolución dictada por la AEPD es una clara muestra de la exigencia y complejidad que supone el tratamiento de datos biométricos tras la publicación de la Guía.
Paralelamente, sobre tratamiento de datos biométricos cabe también traer a colación la reciente medida cautelar de suspensión del tratamiento de datos biométricos –consistente en el escaneo de iris ocular– que ordenó la AEPD en el caso Wordlcoin y que nuevamente refleja la importancia que tienen este tipo de tratamientos para la Agencia.
En conclusión, si bien no está directamente prohibido el tratamiento de datos biométricos para el control de presencia, en la práctica resulta muy complicado la posibilidad de utilizarlo, principalmente debido a la dificultad de:
Así, es de esperar que en los próximos meses la AEPD inicie nuevos procedimientos sancionadores por este motivo y, consecuentemente, se publiquen nuevos pronunciamientos de la Agencia con base en este nuevo criterio. Estas resoluciones deben servir como advertencia a las empresas que dispongan de sistemas de control de presencia biométrico, especialmente a aquellas que no hayan revisado y actualizado su EIPD tras la publicación de la Guía, para que revisen su legalidad actual y justificación.
Autores: Pablo Tena y Ramon Baradat, con la colaboración de Mireia Sala.