La aparición de tecnologías para criptoactivos que utilizan datos biométricos abre de nuevo el debate de la protección de datos.
El Reglamento General de Protección de Datos (“RGPD”) establece en su artículo 9 los datos biométricos como una categoría especial de datos personales, quedando su tratamiento prohibido salvo que concurra alguna de las circunstancias previstas el mismo artículo.
Estos datos permiten o confirman la identificación única de una persona. Sus aplicaciones prácticas hoy en día pueden verse tanto en tareas cotidianas, como desbloquear una aplicación del teléfono móvil, como en otras más complejas, como el uso de tecnología de reconocimiento facial en cámaras de videovigilancia de un aeropuerto.
La Agencia Española de Protección de Datos (“AEPD”) ya ha señalado la importancia de tener presente, en tratamientos que empleen datos biométricos, el grado de intrusión e impacto en la privacidad de los individuos, que puede variar según las circunstancias, la técnica empleada y las finalidades perseguidas (publicación de la AEPD disponible aquí). En un sentido similar se ha pronunciado el Comité Europeo de Protección de Datos; una de las últimas ocasiones en que lo hizo fue con la publicación de sus Directrices 05/2022 sobre el uso de técnicas de reconocimiento facial (analizadas en esta entrada del blog).
Riesgos para los interesados
Tanto la AEPD, como las autoridades de protección de datos europeas, han puesto de manifiesto la importancia de velar por la calidad, fiabilidad y exactitud de los conjuntos de datos utilizados en estos tratamientos de datos biométricos, para evitar riesgos que afecten al interesado de forma grave.
Por ejemplo, entre los principales riesgos identificados se encuentra el de una posible brecha de seguridad y los efectos asociados a la misma, que podría conllevar consecuencias como el filtrado de los datos biométricos a terceros cuyo acceso no está autorizado, con el posterior uso de estos datos en fines distintos para los que fueron recogidos y, como es de suponer, en perjuicio del interesado –problemas de discriminación, usurpación de identidad o fraude, pérdidas financieras, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, reversión no autorizada de la seudonimización o cualquier otro perjuicio económico o social significativo–.
Además, el hecho de que los datos biométricos sean únicos agrava todavía más los efectos y consecuencias que el acceso no autorizado tiene para los interesados, dado que en la gran mayoría de casos son datos irreversibles, es decir, muy difícilmente serán modificables porque pertenecen a características físicas, fisiológicas o conductuales del propio interesado.
Caso de estudio: Worldcoin
El debate respecto al uso de datos biométricos se ha visto nuevamente sacudido durante los últimos meses con el caso Worldcoin, empresa que plantea el uso de esta categoría de datos para su proyecto de “criptomoneda biométrica”, con la que pretende crear un sistema global de identidad digital. A grandes rasgos, el objetivo perseguido por Worldcoin es el de crear una nueva moneda digital de propiedad colectiva que sea distribuida de manera justa entre tantas personas como sea posible.
Para lograrlo, la empresa pretende que los usuarios dispongan de un pasaporte digital (denominado “World ID”) que contrarreste a los bots e identidades virtuales falsas, lo que plantea dudas en relación con la protección de la privacidad y el incumplimiento de la normativa de protección de datos. Pero todavía más controvertido ha resultado el uso del “Orb”, la herramienta utilizada por Worldcoin para registrar a usuarios con sus datos biométricos a través de un escaneado del iris. Estos datos biométricos, se almacenan por Worldcoin mediante el uso de criptografía.
Ante un escenario como este, que puede comportar tantos riesgos para sus usuarios, Worldcoin deberá procurar cuestiones tan relevantes como proporcionar una información transparente, así como adoptar medidas técnicas y organizativas adecuadas al nivel del riesgo de los tratamientos que la empresa lleve a cabo. Trasladándolo a nivel europeo, será necesario el cumplimiento de los principios del RGPD, así como la realización de una evaluación de impacto de las operaciones biométricas, entre otras cuestiones.
Casos como este ponen de manifiesto la importancia de realizar un análisis del cumplimiento normativo, de la necesidad y la proporcionalidad del tratamiento, valorando sobre todo los beneficios que obtienen los interesados en contraposición a los riesgos a los que pueden verse expuestos, y deben tomarse como un aviso a navegantes en empresas del sector financiero o tecnológico que valoren el uso de categorías especiales de datos para prestar sus servicios.
Ramon Baradat, con la colaboración de Alexandra Martín
