La AEPD ha publicado una guía sobre el tratamiento de datos biométricos para ayudar a los responsables del tratamiento a cumplir con el RGPD.
Los datos biométricos pueden implicar un alto grado de intrusión para la privacidad de los sujetos y, si no se tratan de manera óptima, también pueden suponer grandes riesgos para los derechos y libertades de los interesados. Conforme a la AEPD, elementos como las técnicas empleadas, la definición del tratamiento en sí misma, su naturaleza, el ámbito o alcance del tratamiento, su contexto y, en particular, las finalidades perseguidas, deberían tenerse en cuenta cuando se evalúe el impacto de esta tecnología. Con el objetivo de apoyar a los responsables en cuanto al tratamiento de estas categorías especiales de datos personales, la AEPD ha publicado una guía donde ofrece consejo en torno a los criterios utilizados para clasificar las operaciones con datos biométricos. Cuando se precisa una Evaluación de Impacto de Protección de Datos (DPIA), dicho criterio también puede ser relevante a dichos efectos y para demostrar la adecuación de la actividad de tratamiento al RGPD.
¿Qué son los datos biométricos y cómo lo define el RGPD?
El RGPD define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos” y los incluye en el artículo 9 como categorías especiales de datos personales, lo que implica que se precisan una serie de condiciones específicas para poder tratarlos y además se tendrán que aplicar medidas de seguridad adicionales para que el tratamiento sea legítimo.
Dado que las operaciones de datos biométricos pueden suponer un alto riesgo para los derechos y libertades de los individuos, normalmente se necesita llevar a cabo una DPIA para confirmar si el tratamiento es factible y, en case de que lo sea, identificar las medidas de mitigación.
Las técnicas de tratamiento de datos biométricos deberían evaluarse caso por caso.
Mientras que algunos métodos de datos biométricos requieren la cooperación de los interesados, existen también técnicas conforme a las cuales es posible capturar datos biométricos de forma remota, sin necesidad de participación por parte de los sujetos y, muchas veces, sin que ellos sean si quiera conscientes. Estas últimas son mucho más intrusivas y conllevan un mayor riesgo para la privacidad. En consecuencia, las medidas de seguridad aplicadas en estos escenarios deberían reforzarse y se tendrán que ofrecer garantías adicionales, sobre todo en términos de transparencia, minimización de datos y protección de datos por diseño y por defecto.
La AEPD recomienda que cada una de las técnicas de datos biométricos se evalúe de manera separada con relación a su adecuación, proporcionalidad, necesidad, finalidad, impacto en los derechos y libertades de las personas físicas y los riesgos vinculados, tanto para el individuo como para la sociedad. Con este objetivo, la AEPD considera que es apropiado utilizar un criterio de clasificación para las operaciones de datos biométricos desde un punto de vista de protección de datos y ofrece una lista que puede ser útil para clasificarlas en este sentido.
La AEPD señala una serie de criterios que pueden ser útiles para tipificar las operaciones biométricas.
La AEPD proporciona una lista no exhaustiva de criterios que pueden ser útiles para clasificar las operaciones de datos biométricos y llevar a cabo un análisis de cumplimiento, necesidad y proporcionalidad del tratamiento, incluidos:
- Las finalidades de tratamiento;
- El marco legal;
- Ámbito de tratamiento;
- Intervención humana;
- Tipos de datos tratados;
- Transparencia;
- Grado de elección del usuario;
- Grado de control del usuario;
- Adecuación de la operación de tratamiento;
- Minimización de datos;
- Idoneidad y necesidad de la operación;
- Efectos colaterales implícitos;
- Potencial impacto de una brecha de seguridad;
- Control del responsable sobre la implementación;
- Contexto.
Llevar a cabo dicho análisis respaldará la gestión de riesgos del responsable de tratamiento y le permitirá cumplir con sus obligaciones bajo el RGPD y la normativa nacional.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.