Consulta previa: adecuación y proporcionalidad de sistemas biométricos para la autenticación

Desde las Fuerzas y Cuerpos de Seguridad del Estado se ha formulado ante la Agencia Española de Protección de Datos (AEPD) una consulta previa siguiendo el artículo 36 del Reglamento General de Protección de Datos (RGPD). Con la respuesta se orienta al responsable cuando, tras haber realizado una Evaluación de Impacto en la Protección de los Datos (EIPD), el resultado muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo. La consulta afecta a un tratamiento de datos personales que tiene por finalidad el control de acceso basado en información biométrica a unas instalaciones de las Fuerzas y Cuerpos de Seguridad del Estado que incluían diferentes tipologías de instalaciones, bienes y personas.

En la respuesta a la consulta, la AEPD recuerda las Directrices 5/2022 del Comité Europeo de Protección de Datos (CEPD) en la medida que se considera los datos biométricos como categoría especial de datos recogida en el artículo 9 del RGPD, tanto para la autenticación como para la identificación. Ahora bien, la AEPD subraya que el impacto de uno u otro tratamiento no es el mismo. La identificación implica una operación uno-a-varios (1:N), y desde el punto de vista de protección de datos implica una búsqueda activa dentro de un conjunto de identidades preexistentes, lo cual comporta mayores riesgos para los derechos fundamentales, especialmente en contextos de vigilancia masiva, control social o de seguridad. En el caso presentado el tratamiento tenía por fin la autenticación biométrica ‒uno-a uno (1:1)‒, esto es, se basa en confirmar que una persona es quien dice ser, comparando sus datos biométricos con una plantilla única previamente vinculada a su identidad. 

No todos los tratamientos biométricos tienen la misma intensidad de impacto, ni requieren idénticas medidas de protección

Así, sin perjuicio de que -como indica el CEPD- la autenticación y la identificación suponen un tratamiento de datos especialmente protegidos, la AEPD insiste en que no todos los tratamientos biométricos tienen la misma intensidad de impacto, ni requieren idénticas medidas de protección. La autenticación biométrica localizada, bien diseñada y según toda una serie de circunstancias a tener en cuenta en cada caso concreto, puede ser en muchos contextos más proporcionada y menos intrusiva.

En todos los casos, la Evaluación de Impacto en la Protección de Datos es el instrumento imprescindible en el que el responsable puede justificar la necesidad y la proporcionalidad del tratamiento que se pretende poner en marcha

En todos los casos, la Evaluación de Impacto es el instrumento imprescindible en el que el responsable puede justificar la necesidad y la proporcionalidad del tratamiento que se pretende poner en marcha. El sistema biométrico respecto del que se formula la consulta se enmarca en un contexto especialmente sensible como es el de la protección de instalaciones concretas de las Fuerzas y Cuerpos de Seguridad del Estado. Se daba una importante concurrencia de intereses legítimos dignos de protección alrededor de la seguridad pública, así como la protección de infraestructuras o materias clasificadas, todos estos intereses de especial relevancia. En la consulta se afirma igualmente la justificación objetiva y necesidad concreta de la implantación del sistema de autenticación biométrica, ya que permite verificar con mayor fiabilidad que otros mecanismos quién accede a los espacios protegidos, evita suplantaciones de identidad y permite restringir accesos no autorizados. 

El informe de la AEPD tiene muy en cuenta los desarrollos recientes en tecnologías biométricas, como la consultada, por cuanto permiten reducir significativamente el impacto sobre los derechos de los interesados, lo cual tiene especialmente en cuenta en el análisis de la proporcionalidad del tratamiento de autenticación. 

En el caso del que se trataba, había una heterogeneidad de espacios e instalaciones a proteger, lo que exige una valoración diferenciada en el estudio de impacto. No obstante y en todo caso, en el informe de la AEPD se parte de que se trataba de un conjunto homogéneo de instalaciones con una clara necesidad de protección. Sobre esta base, el sistema de control de accesos sobre el que se consulta se considera que está diseñado para ser apropiado al fin perseguido, ya que el tratamiento biométrico permite verificar con mayor fiabilidad que otros mecanismos quién accede a los espacios protegidos, evita suplantaciones de identidad y permite restringir accesos no autorizados. De igual modo, se apunta que el estudio de impacto hubiera de reflejar en qué mejora el sistema de accesos consultado a los sistemas anteriores de seguridad, así como particularizar de modo más concreto las bondades y mejoras que implica el sistema elegido respecto de los anteriores u otras opciones. 

La proporcionalidad también exige que, cuando existen varias medidas igualmente eficaces, se opte por la menos gravosa. El informe tiene muy en cuenta la técnica elegida, las garantías y medidas

En el informe se recuerda que la proporcionalidad también exige que, cuando existen varias medidas igualmente eficaces a partir del conocimiento del responsable del tratamiento, se opte por la menos gravosa. En este punto se tiene muy en cuenta la técnica elegida, las garantías y medidas de diseño orientadas a evitar riesgos para los derechos y libertades de las personas físicas. Estas características descritas técnicamente en la documentación aportada refuerzan la evaluación positiva del sistema desde la perspectiva de proporcionalidad.

Con relación a la utilización de sistemas biométricos en tratamientos, cabe recordar que en el Dictamen 11/2024 del CEPD se analiza el uso del reconocimiento facial para agilizar el paso de pasajeros en aeropuertos, concluyendo que puede ser compatible con los artículos 5.1.e) y f), 25 y 32 del RGPD en dos escenarios: uno en el que la plantilla biométrica se almacena en un dispositivo del propio pasajero y otro en el que hay almacenamiento centralizado, dentro del aeropuerto, de una plantilla biométrica de forma encriptada con una clave/secreto únicamente en poder del pasajero. En ambos casos, el tratamiento puede considerarse necesario si no existen alternativas menos intrusivas igual de eficaces y se aplican garantías descritas en dicho Dictamen. Entre estas garantías cabe destacar la existencia de alternativas viables o soluciones de respaldo; que el punto de control requerirá una acción positiva antes de iniciar la captura de fotos o vídeos; la prohibición de acceso externo a la identificación y a los datos biométricos; garantizar que el tratamiento se realice localmente en las fases de inscripción, transmisión y emparejamiento; aislar los puntos de control (único punto donde evaluar la coincidencia biométrica) de la red cuando estén en funcionamiento, conservar los datos biométricos en el punto de inscripción y en el punto de control solo durante un período muy breve y eliminarlos tan pronto se haya pasado por el punto de control, etc.

Existe una legalidad suficiente para el tratamiento concreto. La finalidad esencial es la prevención de delitos o amenazas contra la seguridad pública, por lo que se acude a la Ley Orgánica 7/2021, haciendo referencia como ley específica a la Ley Orgánica 2/1986

El informe también entiende que en este supuesto existe una legalidad suficiente para el tratamiento consultado. Las diferencias que implica la autenticación y la identificación también se reflejan respecto de la exigencia e intensidad de la legalidad respecto del levantamiento de la prohibición general de tratamiento de datos biométricos establecida en el artículo 9 del RGPD, así como base jurídica adecuada conforme al artículo 6 RGPD y las exigencias constitucionales. En el caso concreto es determinante que la finalidad esencial sea la prevención de delitos o amenazas contra la seguridad pública, por lo que se acude al artículo 13 Ley Orgánica 7/2021 de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales. Este artículo es relativo al tratamiento de categorías especiales de datos y hace referencia a la necesidad de ley específica. Esta ley es en concreto el artículo 11 Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad que hace referencia a “Vigilar y proteger los edificios e instalaciones públicos que lo requieran” y “prevenir la comisión de actos delictivos.”

Sin perjuicio de que para el caso concreto se considere que hay una legalidad suficiente, el informe indica que “sin duda alguna, sería más que adecuada una acción del legislador” para ampliar la cobertura legal y las garantías con la densidad normativa exigible en razón del impacto efectivo

En cualquier caso, el informe tiene presente fórmulas como las del anteproyecto de transposición de la Directiva UE 2022/2557, en su disposición adicional 7ª (“instalación de sistemas de reconocimiento biométrico”), que regula específicamente el uso de sistemas biométricos. Sin perjuicio de que para el caso concreto consultado en el contexto de la seguridad pública se considere que hay una legalidad suficiente, la AEPD indica que “sin duda alguna, sería más que adecuada una acción del legislador” para ampliar la cobertura legal y las garantías con la densidad normativa exigible en razón del impacto efectivo. De hecho, el informe incluye un elenco de recomendaciones de regulación y cautelas específicas que podrían ser incorporadas por el legislador y habrían de tenerse en cuenta para la regulación legal de las garantías para estos tratamientos.

El informe completo puede consultarse en este enlace.