Jorge Salgueiro-Rodríguez, presidente de Aecra
Tal y como desarrolla la AEPD en su guía ya meritada, a través de este breve articulo introductorio, pretendo poner encima de la mesa determinados cuestiones muy importantes a la hora de comprender la especial protección otorgada a los datos biométricos por nuestra normativa europea de protección de datos, si bien concurre una clara necesidad ante los avances tecnológicos existentes, de hacer conciliar el ejercicio de todos los derechos fundamentales en juego, sin que ello implique la preeminencia de la privacidad sobre otros derechos, cuando existen en diferentes países de la Unión Europea competencias exclusivas que no han sido transferidas a la UE que determinan regulaciones o tratamientos específicos en lo que respecta a los datos biométricos de forma presente o futura en cada Estado.
Primero. Debe tenerse o concretarse de forma clara qué es un dato biométrico. Dicha definición viene contemplada en el RGPD, si bien son los fabricantes quien deben certificar si se están utilizando técnicas biométricas, para que tenga que aplicarse de inicio la prohibición general del artículo 9,1 del RGPD sobre el uso de datos especiales tales como los datos biométricos, genéticos, políticos, convicciones religiosas, datos relativos a la salud, vida u orientación sexual. De hecho el propio articulo 9 del RGPD se titula “Tratamientos de categorías especiales de datos personales”.
El Considerando 51 del RGPD no considera datos biométricos las fotografías, al señalar que “El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación univocas de una persona física”.
Segundo. Que exista dicha prohibición general ab initio en el articulo 9.1 del RGPD, no quiere decir que no puedan tratarse los datos biométricos. Así el propio Considerando 52 del RGPD establece de forma literal:
«Asimismo, deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el derecho de la Unión o de los estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluyendo las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud.. o… con fines de archivo en interés público, finalidades de investigación científica e histórica o finalidades estadísticas. Debe autorizarse también a título excepcional el tratamiento de estos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial«.
Tercero. Cualquier operación de tratamiento de datos biométricos, como datos especiales, implica antes de la adopción o implantación de medidas para su uso, la práctica por el Responsable del tratamiento de dichos datos de un Informe previo de Evaluación de Impacto para valorar si cumple o supera el juicio de proporcionalidad su adopción.
Cuarto. Con el mero valor de opinión o criterio interpretativo sin carácter vinculante debo considerar la afirmación vertida en la Guía de la AEPD respecto a la falta de base jurídica del articulo 6.1 letra a) de la RGPD en relación con el articulo 9.2 letra a) del RGPD del control horario y registro laboral, para no amparar la licitud del tratamiento de datos biométricos en el ámbito laboral por razón del consentimiento condicionado en el ámbito laboral. Sin duda alguna que el consentimiento del trabajador cuando firma su contrato laboral está siempre limitado por razón de la potestad de organización del empresario, y ello de conformidad con el articulo 20.1 y 3 del ET. Nuestros Juzgados y Tribunales reconocen que el consentimiento prestado por el trabajador en su contrato laboral siempre se haya condicionado y no es libre, y por supuesto el trabajador se encuentra siempre en posición de desigualdad frente al Empresario, sin que por ello se ponga en duda la licitud y perfeccionamiento de dichos contratos por la autoridad laboral.
Dicha interpretación emitida por AEPD será matizada por los Juzgados y Tribunales del orden social en el territorio español.
La propia Autoridad de control de protección de Datos del Reino Unido respecto del consentimiento del trabajador consideró recientemente, que si se proporciona un método alternativo para aquellos que deseen optar por no usar datos biométricos, y los trabajadores no están en desventaja con dicha decisión, el consentimiento es la base legal más probable para aplicar al uso de datos biométricos para el control de acceso.
Quinto. En relación al uso en el control de acceso y presencia de datos biométricos, destacar que el consentimiento sigue siendo libre para la persona que de forma expresa así quiera otorgarlo frente al Responsable del tratamiento de dichos datos especiales.
Sexto. Todo la afirmado en el apartado anterior supone que una vez superado el juicio de proporcionalidad del Informe de Evaluación de Impacto, y concurrir las excepciones que levantan la prohibición del articulo 9.2 letra b) y g) del RGPD, coincidiendo con los criterios descritos en la Guía de la AEPD, el responsable del tratamiento debe adoptar especiales medidas de seguridad a través de un Plan de Seguridad, para proteger dichos datos biométricos como datos especiales, que sin duda alguna vienen contemplados tanto en la ISO 27001 como en el ENS, tales como:
Utilizar cifrado para proteger la plantilla biométrica.
Implementar en el sistema la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física o implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
Imposibilitar la interconexión de bases de datos biométricos y la divulgación de datos.