Cuando se aprobó el Reglamento General de Protección de Datos (UE) 2016/679, de 27 de abril («RGPD»), se establecieron una serie de categorías especiales de datos (artículo 9.1), entre los que se incluyeron los datos biométricos. Esta nueva categoría se definió en el artículo 4, apartado 14), como los «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;(…).»
Este tipo de datos son una información muy valiosa, ya que mediante las nuevas tecnologías que se están desarrollando es posible la identificación de personas mediante el reconocimiento facial, dactilar, de iris, firma, escritura, voz, forma de andar… Así, no es de extrañar que muchas compañías estén siendo investigadas por el uso de este tipo de herramientas, puesto que pueden llegar a vulnerar la privacidad más básica de un ciudadano. Es más, algunas instituciones públicas ya están haciendo uso de este tipo de instrumentos (por ejemplo, el Estado chino utiliza el reconocimiento facial para ejercer un mayor control sobre la actividad de su población).
Europa no es un territorio ajeno a este tipo de tecnologías. Recientemente, la Agencia de Protección de Datos sueca ha impuesto una multa de 20.000€ a un ayuntamiento por ser el responsable de un colegio que utilizaba el reconocimiento facial para el control de asistencia de sus alumnos. Esta herramienta se había utilizado durante un control de cámaras a lo largo de tres semanas, y había afectado a 22 alumnos.
Curiosamente, estos alumnos habían prestado su consentimiento, pero la Agencia sueca entiende que se trata de datos especialmente sensibles en los que el colegio no avisó correctamente del impacto que supone el tratamiento de los mismos. Se argumenta, además, que existe un claro desequilibrio entre la entidad que recopila los datos y los alumnos, que son dependientes de la dirección del centro.
Asimismo, se hace hincapié en que el responsable de esta medida debió consultar la situación con la Agencia de Protección de Datos, pues se habría evaluado con mayor precisión dicho tratamiento (deber de informar, límites…), así como las medidas de seguridad y organizativas oportunas.
La Unión Europea está trabajando en una regulación más estricta para evitar el uso indiscriminado de la tecnología de reconocimiento facial. Fortalecer los derechos de los ciudadanos y protegerlos de la vigilancia pública, así como del uso abusivo de la vigilancia privada, son los retos más inmediatos de las autoridades europeas ante la rápida evolución de este tipo de dispositivos. Es por ello, que la colaboración entre Agencias europeas es cada vez más estrecha en un escenario en el que los servicios profesionales de privacidad tienen un papel crucial en el asesoramiento de empresas y particulares.
Legislación vigente:
– RGPD [Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)].
