Primeras sanciones de la AEPD por control biométrico

España. La AEPD aplica los criterios de la guía sobre sobre tratamiento de control de presencia mediante sistemas biométricos.

La Agencia Española de Protección de Datos (AEPD) ha empezado a sancionar por el uso de sistemas de huella dactilar para el control de acceso tras la publicación, en noviembre de 2023, de la Guía de la AEPD sobre tratamiento de control de presencia mediante sistemas biométricos, que ya fue analizada en una entrada anterior, titulada “¿Prohíbe la AEPD tratar datos biométricos para control de acceso?”.

El nuevo criterio de la AEPD establecido en la Guía

La AEPD aplica ya el criterio adoptado en la Guía, por el que se considera que tanto los sistemas de "identificación" como los de "autenticación" biométricos llevan a cabo tratamientos de datos personales de categorías especiales, y, por tanto, se hallan sujetos a una prohibición general de tratamiento salvo que concurra alguna de las excepciones previstas en el artículo 9.2 del RGPD.

Cabe recordar, a modo de recapitulación, que la Guía de la AEPD examina algunas posibles bases jurídicas legitimadoras para la utilización de sistemas de control de presencia que usen datos biométricos:

• Por un lado, si la base jurídica para el tratamiento de datos biométricos es el consentimiento, la AEPD considera que el tratamiento no superaría el juicio de necesidad cuando pueda ofrecerse un sistema alternativo equivalente que no requiera tratar dicha categoría de datos (como sería el caso, por ejemplo, de los sistemas basados en tarjetas nominativas).
• Por otro lado, en caso de querer fundamentar la base jurídica en la existencia de una norma de rango legal que habilite a la empresa a tratar estos datos, la AEPD pone de manifiesto que actualmente no existe en la normativa laboral española una habilitación legal en este sentido y, por lo tanto, no se puede aplicar a estos efectos.

De igual forma, la AEPD señala que el tratamiento de datos biométricos implica un alto riesgo para los derechos y libertades de los interesados, por lo que exige que el responsable del tratamiento adopte las medidas técnicas y organizativas necesarias para garantizar un nivel de seguridad adecuado al riesgo teniendo en cuenta, entre otras cuestiones, el estado de la técnica, los costes de aplicación, la naturaleza, el alcance, el contexto y los fines del tratamiento.

Por último, la AEPD recuerda que el tratamiento de datos biométricos requiere la realización de una evaluación de impacto en la protección de datos (en adelante, “EIPD”) con resultado positivo que, además, analice la necesidad, idoneidad y proporcionalidad del tratamiento.

Sanción de 200.000 euros a un club de fútbol

Una muestra de la aplicación de los criterios de la Guía puede verse en la resolución de la AEPD del pasado 9 de abril de 2024, referida a las denuncias presentadas contra un club de futbol por dos aficionados que se oponían al uso de sistemas biométricos para el control de acceso a las gradas del estadio.

El sistema de control de acceso biométrico en cuestión se basaba en la captura de la huella dactilar en los puestos de atención a los socios, donde se creaba una plantilla biométrica que se almacenaba de forma cifrada. Para acceder a la grada hay una puerta con tres tornos que ofrecen múltiples métodos de acceso, incluyendo la identificación biométrica. Al entrar, el lector biométrico de los tornos enviaba la huella cifrada a un servidor del club, que realizaba una comparación de identificación biométrica (uno-a-varios). Los datos biométricos estaban cifrados en todo momento y, además, la imagen original de la huella se elimina después de crear la plantilla biométrica.

Según la resolución, con el uso de este sistema el club de fútbol infringe la normativa de protección por los siguientes motivos:

• No acreditar la concurrencia de una excepción del artículo 9.2 del RGPD que permitiera levantar la prohibición de tratar datos biométricos hasta el 15 de febrero de 2023, momento en que cambió su base jurídica legitimadora, pasando de la base de cumplimiento de una obligación legal a la de consentimiento expreso del interesado.
• No acreditar haber recabado el consentimiento de los menores de edad para el tratamiento de sus datos biométricos, ni por parte de sus progenitores o tutores para menores de 14 años, ni por parte de los propios menores de edad mayores de 14 años, desde el 15 de febrero de 2023.
• No haber informado a los interesados conforme al artículo 13 del RGPD, antes del 15 de febrero de 2023, y no haber informado correctamente a partir de esa misma fecha, pues en la cláusula informativa no se incluyó la posibilidad del interesado de retirar el consentimiento otorgado.
• No cumplir con el principio de minimización de datos, al no demostrar que el tratamiento de datos biométricos fuera necesario, idóneo y proporcional para la finalidad de controlar el acceso a la grada de su estadio. Según la AEPD, el club implantó este sistema cuando ya contaba con un sistema de identificación-autenticación de la identidad mucho menos intrusivo, con idéntica finalidad.
• No haber realizado una EIPD previa al inicio del tratamiento de datos biométricos. Asimismo, la EIPD aportada, con fecha posterior al inicio del tratamiento de los datos, carece, entre otras cuestiones, de un análisis sobre la aplicación del método biométrico frente a otras alternativas desde el punto de vista de los riesgos y su impacto en los derechos y libertades de los interesados.

El Club de Futbol procedió voluntariamente al pago de 120.000 euros, acogiéndose a las reducciones de reconocimiento de responsabilidad y de pago voluntario, y evitando la sanción de 200.000 que podría haber recaído. De este modo, la AEPD dicta resolución de terminación del procedimiento, y confirma la medida ya adoptada provisionalmente de prohibición del tratamiento biométrico.

Conclusiones

Esta resolución dictada por la AEPD es una clara muestra de la exigencia y complejidad que supone el tratamiento de datos biométricos tras la publicación de la Guía.

Paralelamente, sobre tratamiento de datos biométricos cabe también traer a colación la reciente medida cautelar de suspensión del tratamiento de datos biométricos –consistente en el escaneo de iris ocular– que ordenó la AEPD en el caso Wordlcoin y que nuevamente refleja la importancia que tienen este tipo de tratamientos para la Agencia.

En conclusión, si bien no está directamente prohibido el tratamiento de datos biométricos para el control de presencia, en la práctica resulta muy complicado la posibilidad de utilizarlo, principalmente debido a la dificultad de:

1. justificar una base jurídica que legitime su uso;
2. superar el triple juicio de necesidad, idoneidad y proporcionalidad; y
3. implantar de forma correcta medidas suficientes que garanticen la seguridad de los datos personales tratados mediante estos sistemas biométricos.

Así, es de esperar que en los próximos meses la AEPD inicie nuevos procedimientos sancionadores por este motivo y, consecuentemente, se publiquen nuevos pronunciamientos de la Agencia con base en este nuevo criterio. Estas resoluciones deben servir como advertencia a las empresas que dispongan de sistemas de control de presencia biométrico, especialmente a aquellas que no hayan revisado y actualizado su EIPD tras la publicación de la Guía, para que revisen su legalidad actual y justificación.

Autores: Pablo Tena y Ramon Baradat, con la colaboración de Mireia Sala.

• Por Gonzalez Torres Abogados
• 02/05/2024
• AEPD, sanciones de la AEPD por control biométrico, RGPD