Calatayud se convertirá los próximos 16 y 17 de abril en la capital nacional de la protección de datos. La ciudad reunirá a profesionales de la seguridad en la red en las III Jornadas Aragonesas de Protección de Datos, Transparencia y Ciberseguridad organizadas por la AADPD. El Reglamento de la Inteligencia Artificial, las cookies, el móvil en las aulas o el tratamiento de los datos biométricos, entre otros, serán los temas principales a los que darán respuesta los distintos expertos.
Ainize Iriondo, letrada de la Agencia Vasca de Protección de Datos, intervendrá en la segunda jornada para abordar diferentes cuestiones sobre los tratamientos de datos biométricos, así como los requisitos que deben tener en cuenta los responsables que los usan desde la perspectiva de la protección de datos.
PREGUNTA.- Participa en las III Jornadas de Protección de Datos, Transparencia y Ciberseguridad con una ponencia que aborda la Biometría.
RESPUESTA.- En mi ponencia hablaré sobre la definición y tipos de tratamientos de datos biométricos. Además, abordaremos los aspectos y conclusiones más importantes de las Directrices 05/2022 adoptadas por el Comité Europeo de protección de datos, así como la Guía de la Agencia Española de Protección de Datos sobre Tratamientos de control de presencia mediante sistemas biométricos.
Respecto a este tipo de tratamientos, explicaremos también noticias y casos relevantes, así como el proyecto de Reglamento de IA en relación con el tratamiento de los datos personales.
P.- Recientemente la AEPD ha publicado una guía sobre la utilización de datos biométricos para el control de presencia y acceso, ¿qué criterios hay que tener en cuenta para cumplir con la normativa establecida?
R.- En esta guía se exponen los requisitos que deben cumplirse para poder llevar a cabo tratamientos de datos biométricos en este ámbito. Además de los requisitos a cumplir, también se señalan las cuestiones que deben tener en cuenta los responsables de estos tratamientos desde la perspectiva de la protección de datos.
P.- La utilización de datos biométricos es común tanto en el ámbito laboral como fuera de él, por ejemplo, en las entidades financieras, ¿es posible mantener un equilibrio entre la seguridad y la accesibilidad?
R.- Todo tratamiento de datos personales, y en especial los datos de categorías especiales, como son los biométricos, deberán contar con una base de legitimación que permita cohonestar el respeto al derecho fundamental con otros bienes jurídicos. Es necesaria una norma con rango de ley que determine las condiciones del tratamiento.
P.- Los nuevos sistemas permiten recoger información sin la cooperación de la persona. Como letrada de la Agencia Vasca de Protección de Datos, ¿qué condición debe darse para que se legitime este tratamiento?
R.- La normativa de protección de datos contempla diversas bases de legitimación para llevar a cabo el tratamiento. No siempre será necesario el consentimiento como tal. No obstante, esta normativa exige que la persona cuyos datos se tratarán, deberá obtener información respecto al mismo.
Al tratarse de un tratamiento tan intrusivo, no basta cualquier bien jurídico. Debe ser un bien jurídico muy cualificado para que prevalezca sobre la privacidad.
P.- Utilizamos de forma habitual medidas biológicas como el reconocimiento facial o el acceso de huellas dactilares, incluso para acceder a nuestro teléfono móvil, ¿cree que somos conscientes de que realmente estamos facilitando datos biométricos?
R.- Creo que en parte no somos conscientes del alto riesgo que conlleva este tipo de tratamientos. No nos preguntamos qué hay más allá. Por ejemplo, dónde se almacenan, con qué garantías y los riesgos que existen.
P.- Los escáneres biométricos se están volviendo cada vez más sofisticados, ¿es fácil vulnerar su seguridad?
R.- Hay que partir de que se puede vulnerar esa seguridad. El principio de seguridad es un principio de medios, y no de resultados. Siempre va a existir un riesgo.
Depende también del responsable de estos tratamientos, en base a los medios adoptados por este. Las medidas de seguridad adoptadas y cómo realiza este la gestión de los datos personales.
P.- En Europa este tema está más controlado, pero en otros países no tienen tanto problema en utilizar, por ejemplo, cámaras de detención biométrica, ¿este tipo de seguridad va en detrimento de la privacidad de la persona?
R.- Sí. La habitualidad, la costumbre va calando y generando una apariencia de normalidad o incluso de legalidad del tratamiento, cuando no es así.
Existen técnicas de tratamiento de datos biométricos que pueden comprometer la privacidad de las personas. Es verdad que en otros países la regulación en relación con la protección de datos personales no es tan garantista.
