Hoy, de la mano de PymeLegal, consultora especializada en protección de datos y propiedad intelectual, te traemos un tema que últimamente está dando bastante revuelo: los datos biométricos.
En los últimos meses, hemos visto cómo la Agencia Española de Protección de Datos lanzaba la nueva Guía sobre tratamientos de control de presencia mediante sistemas biométricos para restringir el uso de datos biométricos en el control laboral.
Esta nueva normativa ya afectaba a muchas empresas que en pocos meses han tenido que modificar el sistema de registro de la jornada laboral.
Además, hace una semana con el nuevo Reglamento de Inteligencia Artificial que aprobó la UE también ha habido más prohibiciones relacionadas con los datos biométricos.
Este nuevo reglamento prohíbe las aplicaciones de IA que amenacen a los derechos fundamentales de los ciudadanos, como por ejemplo las que usan datos biométricos, ya que son considerados una categoría de datos sensible y pueden manipular el comportamiento humano con ellos.
También prohíben las aplicaciones que extraigan imágenes faciales de Internet o de cámaras de vídeo vigilancia para crear bases de reconocimiento facial.
Además, el reglamento restringe los sistemas de identificación biométrica también en las fuerzas de seguridad para proteger la privacidad. Y solo se permitirá su uso en causas necesarias y siempre con la autorización judicial previa.
¿Los datos biométricos son datos sensibles?
Según el RGPD, en el art. 4. 14, se definen los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Por lo tanto, este tipo de datos determinan la identidad directa o indirectamente de una persona y, por ese motivo, serían considerados como datos sensibles.
Además, la forma de almacenamiento de estos datos, en plantillas o patrones biométricos, permitirían ejecutar acciones de forma automática, perfilar o dar información sobre una persona como pueden ser sus actitudes, comportamientos, etc.
¿Es excesivo tratar datos biométricos?
Uno de los principios del RGPD es el principio de minimización, que determina que los datos serán “adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Y, además, detalla claramente que cualquier dato que no sea necesario para cumplir con una finalidad, no deberá ser tratado.
Teniendo en cuenta esto, podemos confirmar que en la mayoría de casos en los que se tratan datos biométricos se excede la normativa de privacidad.
Ya que, por ejemplo, la finalidad de un tratamiento de control de presencia no es tratar datos biométricos. Por lo que en los procesos de control que se utilizan datos biométricos estaríamos recogiendo más información que la requerida para esta finalidad y vulnerando el principio de minimización.
Además, se deberá tener en cuenta que:
- Si la recogida de datos biométricos se implementa con técnicas de inteligencia artificial, también se deberá tener en cuenta las prohibiciones, limitaciones y exigencias establecidas en la normativa de inteligencia artificial.
- Siempre será obligatorio superar favorablemente una Evaluación de Impacto para la Protección de Datos, que se deberá hacer antes del tratamiento de datos, en la que se documentará la superación del triple análisis de idoneidad, necesidad y proporcionalidad.
En el caso del tratamiento de datos biométricos nos encontramos que no superaría este análisis.
Worldcoin y el uso del iris de los ojos
En este último mes, hemos visto como la empresa de OpenAI (conocida por su herramienta ChatGPT) ha estado por diferentes centros comerciales de Barcelona con su nuevo proyecto Worldcoin, comprando los datos del iris del ojo de miles de personas a cambio de 30 euros en criptomonedas.
El objetivo de este proyecto es crear la identificación digital definitiva y conseguir una forma fiable de autentificar humanos en línea para contrarrestar bots e identidades virtuales falsas.
El iris del ojo se considera un dato biométrico de identificación inequívoca que no cambia durante toda la vida, por lo que es una información personal sensible. Y es por eso que debemos tener mucho cuidado al vender datos como estos.
Hace dos semanas recibíamos la noticia de que la AEPD había bloqueado la actividad de Worldcoin de forma temporal, impidiendo esta recogida y tratamiento de datos biométricos en España.
La AEPD había recibido varias reclamaciones referentes a este proyecto y había rumores de que también estuviesen escaneando el iris de menores de 14 años, algo totalmente prohibido sin el consentimiento de los padres, madres o tutores legales.
Por ese motivo, la AEPD exigía:
- El cese en la recogida y tratamiento de categorías especiales de datos personales.
- El bloqueo de los datos ya recopilados.
- Que se permita la retirada del consentimiento dado.
- La cesión de datos a terceros.
- Salvaguardar el derecho a la protección de datos personales.
Por último, la empresa de OpenAI se ha mostrado en desacuerdo con esta medida asegurando que “la AEPD ha eludido la legislación de la UE con sus acciones, que se limitan a España y no a la UE en general, y ha difundido afirmaciones inexactas y engañosas”. Por eso, ha decidido presentar una demanda en contra de la Agencia.
OpenAI defiende que su proyecto Worldcoin cumple con todas las leyes y regulaciones que rigen la recopilación y transferencia de datos biométricos, incluyendo el RGPD.
Pero la directora de la AEPD no piensa lo mismo, ya que ha afirmado que todas las actividades de esta empresa orientadas a captar datos personales son ilegales.
Tampoco confían los expertos en privacidad, que temen que esos datos recopilados no solo sean para crear una forma de identificación única y segura, sino que también los puedan utilizar de otras formas, como para marketing personalizado. Deberemos estar alerta de todas las novedades relacionadas con datos biométricos, pero el futuro se ve muy claro: primero siempre la privacidad de las personas.
