El RGPD ha definido en el art. 4.14 el dato biométrico como aquel dato personal obtenido a partir de un tratamiento técnico específico, relativo a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;
Sin embargo, el RGPD no ha considerado a todo tratamiento de datos biométricos como tratamiento de categorías especiales de datos: “solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico específico dirigido a identificar de manera unívoca a una persona física.” Así resulta del Informe del Gabinete Jurídico AEPD 0036/2020.
La AEPD en este mismo informe jurídico, al objeto de aclarar las dudas interpretativas que surgen respecto a la consideración de los datos biométricos como categorías especiales de datos remite a la distinción entre identificación biométrica y verificación/autenticación biométrica que establecía el Grupo del Artículo 29 en su Dictamen 3/2012 sobre la evolución de las tecnologías biométricas:
Identificación biométrica: la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios).
Verificación/autenticación biométrica: la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias unoa-uno).
Este matiz resulta de gran importancia a la hora de tener que enfrentarse a una EIPD, entre otras razones, porque entre los tratamientos que requieren su realización se encuentran los siguientes:
- 4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o de solvencia patrimonial o deducir información sobre las personas relacionada con categorías especiales de datos.
- 5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.
Hasta ahora aclarar cuando estamos ante una función de identificación o de autentificación ha sido determinante para evitar una sanción por parte de la AEPD. Que se lo cuenten a SERVICIOS LOGÍSTICOS MARTORELL SIGLO XXI, S.L entidad a la que la AEPD en el Expediente Nº: PS/00050/2021 le propuso una multa de 20.000€ por una infracción del artículo 35 del RGPD, propuesta que quedó reducida a 16.000€. Casi nada.
Pues bien, parece que estas dificultades van a desaparecer con la publicación de la Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement Version 1.0 Adopted on 12 May 2022 pues al parecer el EDPB opta por considerar a todos los datos biométricos como Datos especialmente protegidos.
12. “While both functions – authentication and identification – are distinct, they both relate to the processing of biometric data related to an identified or identifiable natural person and therefore constitute a processing of personal data, and more specifically a processing of special categories of personal data.”
12. Si bien ambas funciones -autenticación e identificación- son distintas, ambas se refieren al tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de datos personales.
Estaremos muy pendientes para ver en que queda todo al final.