Hoy – a vueltas con la identificación mediante algún tipo de dato biométrico – vamos a comentar cuáles son las principales indicaciones de la AEPD sobre este extremo.
Primero vamos a tratar de explicar brevemente la diferencia entre do tipos de tratamientos biométricos que si bien no están específicamente detallados en el RGPD sí que son utilizados habitualmente por la AEPD en el marco de sus resoluciones.
Identificación vs verificación
La identificación es el proceso de reconocer a un individuo particular entre un grupo, comparándose los datos del individuo a identificar con los datos de cada individuo en el grupo (uno-a-varios). La verificación o autenticación es el proceso de probar que es cierta la identidad reclamada por un individuo, comparándose los datos del individuo únicamente con los datos asociados a su identidad (uno-a-uno).
Así el primero de los casos sería la identificación de una persona en un colectivo (por ejemplo mediante identificación facial en cámaras enfocadas al público) y el segundo de los casos seguía por ejemplo la identificación biométrica mediante huella dactilar en una empresa.
Se suele entender que el primero de los casos es el específicamente protegido por el artículo 9 del RGPD y que en el segundo no estaríamos hablando de un dato de categoría especial.
Sin embargo la agencia habitualmente matiza este criterio y para hablar de datos de categoría especial analiza otros aspectos tales como la cantidad de información almacenada, el uso que se le da o la capacidad de reconstruir el dato personal a partir (por ejemplo) de los puntos de huella.
Algunas reflexiones sobre los criterios de la AEPD:
Anonimización
Si nos centramos en la identificación biométrica mediante huella dactilar el procedimiento más habitual es que la lectura de huella implica el escaneo de una serie de puntos a partir de los cuales se calcula un hash que se chequea contra una base de datos de huellas previamente registradas.
Es una argumentación habitual en estos casos que dado que estamos hablando de un dato anonimizado y desde el que no es posible reconstruir la huella no estamos hablando de datos personales en sentido estricto.
Si bien esto es cierto debemos tener en cuenta (así lo establece la AEPD) que existe un almacenamiento no anonimizado del dato que está en los repositorios contra los cuales se chequea. ya que de lo contrario sería imposible identificar si esa persona puede ser admitida o no.
Evaluación de impacto
El segundo punto que queremos considerar es el relativo a la evaluación de impacto.
Es habitual ver en las resoluciones de la AEPD al responsable de tratamiento entendiendo que no se encuentra ante un dato de categoría especial y en consecuencia no procede a la realización de evaluación de impacto.
Sobre este punto recordemos siempre la importancia de realizar la evaluación de impacto. La conclusión de que no estemos ante un tratamiento de categoría especial o que esté justificado debe ser siempre el resultado de la evaluación y nunca una conclusión anterior. Así lo establece la agencia de cara al cumplimiento del principio de responsabilidad proactiva
Necesidad
El último punto considerar el de la idoneidad del tratamiento. La AEPD insiste expresamente en la importancia de que las evaluaciones de impacto verifiquen no ya que el tratamiento es idóneo y proporcionado, sino que es imprescindible. Es decir, que no haya una manera razonable de conseguir el mismo objetivo con otro tratamiento menos invasivo o no enfocado a datos de categoría especial.
Del correcto análisis y evaluación de estos tres puntos dependerá el éxito o fracaso del proyecto.