El uso de la huella dactilar (y otros datos biométricos) y la LOPD

3664

Los sistemas de seguridad biométrica han ido avanzando como toda tecnología en los últimos años, en especial el uso de la huella dactilar como sistema de identificación y control.

La Agencia Española de Protección de Datos (AEPD) ha definido el concepto de dato biométrico como  aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.

¿Qué dice la AEPD sobre esto?

La AEPD ha emitido varios Informes de su Gabinete Jurídico sobre este asunto valorando diferentes posibilidades de uso de datos bimétricos.

En el Informe 0368/2006 (actualización: este informe ha desaparecido de la base de datos de la AEPD) se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos. La respuesta es:

En consecuencia, entendemos que resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.

En el Informe 0324/2009 se planteaba la posibilidad de implantar un sistema para el control horario de los trabajadores basado en la lectura de la huella digital, y la cesión además del correspondiente fichero a un encargado del tratamiento. La AEPD aclara el nivel de seguridad a aplicar al correspondiente fichero:

En el caso planteado, tratándose del tratamiento de la huella digital, la información contenida en dicho dato no contiene ningún aspecto concreto de la personalidad y tan sólo cuando dicha información se vincula a la identidad de una persona es posible identificarla con toda certeza, de modo que los datos que se recaban no pueden considerarse de mayor trascendencia que los relativos a un número personal, a una ficha que tan solo pueda utilizar una persona o a la combinación de ambos.
(…)
Además, en lo atinente a las medidas de seguridad en el tratamiento, debe señalarse que, teniendo en cuenta lo que se ha indicado en cuanto al dato biométrico de la huella digital, el mismo no puede ser considerado en modo alguno dato especialmente protegido o sensible, por lo que resultarán de aplicación al tratamiento las medidas de seguridad de nivel básico.

Consentimiento de trabajadores

Sobre el consentimiento de los trabajadores:

si bien el artículo 6.1 de la LOPD exige el consentimiento del interesado para el tratamiento automatizado de los datos de carácter personal, el artículo 6.2 prevé que no será preciso el consentimiento cuando los datos “se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento”.
(…)
Ello no obstante, deberá darse cumplimiento a lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, dado que si bien no será preciso el consentimiento del interesado, si deberá advertirse al mismo de los extremos contenidos en ese precepto y, especialmente, de las consecuencias disciplinarias que podría acarrear su negativa a que la huella sea tratada.

Tratamiento de datos por terceros

Acerca del tratamiento por parte de un tercero (véase El contrato de tratamiento de datos):

De modo que la comunidad encargaría el tratamiento del dato de la huella dactilar de sus trabajadores, a la mancomunidad con la finalidad específica de control horario de trabajo, para lo cual, deberán ambas empleadoras suscribir el contrato previsto en el artículo 12 de la Ley Orgánica 15/1999, y en el Capítulo III del Título II del Reglamento que la desarrolla

Similar respuesta se da en otro informe titulado Tratamiento de la huella digital de los trabajadores.

En el Informe 0082/2010 (actualización: este informe ha desaparecido de la base de datos de la AEPD)  la consulta se planteaba acerca de la creación de una base de datos, con la huella dactilar de los clientes, al que se otorga un código alfanumérico. La AEPD dictamina en este caso:

Atendiendo al juicio de proporcionalidad que el Tribunal Constitucional exige en la adopción de este timo de medidas, concluimos que resulta desproporcionado, la necesidad de recabar la huella dactilar para prestar un servicio comercial a los clientes, cuando dicho servicio puede prestarse con otros medios menos intrusivos en los derechos y libertades de los clientes, tales como el uso de las tarjetas de fidelización.

El uso de la huella dactilar (y otros datos biométricos) y la LOPD
4.3 (86.67%) 6 votos
Compartir

2 Comentarios

  1. Gracias por tu artículo. Lo cierto es que la incorporación de estos medios de reconocimiento biométrico en gestiones diarias estan cada vez mas asumidas, y la utilización de la huella dactilar ha dejado de ser ya un debate conviertiéndose en algo asumido por los usuarios.
    No obstante, cada vez que se quiere innovar introduciendo una tecnología más desarrollada pero que no se utiliza habitualmente, genera incertidumbre acerca del posicionamiento de la AEPD, aunque claro queda que su posición tiende a ser restrictiva practicamente siempre.

    Mi planteamiento es si se consideraría proporcional el uso de un medio de reconocimiento facial para el control de accesos a los clientes de unas instalaciones como medio alternativo de control de acceso cuando falla el mecanismo utilizado con la generalidad de los clientes, que es mediante la huella dactilar. Se trata de personas cuya huella presenta “suciedades” que impiden registrarla e identificarla (personas de avanzada edad con la huella muy difuminada…).

    • Hola Sara: como muy bien dices, la innovación en tratamiento de datos siempre genera esa inquietud por la falta de claridad en muchos conceptos por parte de la Agencia (cuando no sus cambios de opinión a lo largo del tiempo). En un caso como el que citas entiendo que estaría justificado ante la falta de precisión de la huella… pero claro, la AEPD podía opinar otra cosa.

Dejar respuesta