Comité Europeo de Protección de Datos y reconocimiento facial: ¿discrepancia con la AEPD?

Internacional
Las Directrices 5/2022 del CEPD aportan nuevos matices sobre el uso de técnicas de reconocimiento facial
Comité Europeo de Protección de Datos y reconocimiento facial: ¿discrepancia con la AEPD?
6 de octubre de 2022

El Comité Europeo de Protección de Datos (CEPD) publicó en mayo las Directrices 05/2022 sobre el uso de técnicas de reconocimiento facial en el ámbito de la aplicación de la ley. La primera versión, siendo un borrador, estuvo abierta a comentarios hasta el 27 de junio de 2022.

El objetivo de las Directrices consiste en aclarar algunas cuestiones sobre el tratamiento de datos biométricos, materia especialmente controvertida a raíz del impacto de las nuevas tecnologías (como ya hemos comentado en otras ocasiones en el blog). Además de ofrecer un enfoque específico sobre el régimen de protección de datos en investigaciones penales en virtud de la Directiva 2016/680 sobre tratamiento de datos para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, las Directrices aportan también aclaraciones de carácter general.

Contenido de las Directrices 5/2022

Las Directrices consideran diferentes escenarios sobre el uso de técnicas de reconocimiento facial (TRF) y más concretamente abordan el tratamiento de datos personales en relación con la identificación y la autenticación.

Una identificación biométrica se produce cuando los datos biométricos de una persona se comparan con otras personas (comparación uno a varios), mientras que una autenticación biométrica compara los datos de una persona con la información biométrica ya disponible de esa misma persona (comparación uno a uno).

Las Directrices señalan la importancia de velar por la calidad, la fiabilidad y la exactitud de los conjuntos de datos utilizados en los tratamientos de reconocimiento facial, así como el derecho de los interesados a la rectificación de los datos personales inexactos tal como se establece en el art. 16 de la Directiva 2016/680. Si no se cumplen estas garantías es posible que se produzcan sesgos y errores que supongan un riesgo para el interesado.

Según el CEPD, el tratamiento de datos biométricos constituye, en cualquier circunstancia, una intromisión grave en los derechos reconocidos en la Carta de Derechos Fundamentales de la Unión Europea, especialmente en el respeto de la vida privada y familiar (art.7) y en la protección de datos (art. 8). Debe tenerse en cuenta que mientras que otros datos personales, como por ejemplo un número de teléfono, pueden modificarse para mitigar a posteriori los efectos de un acceso indebido, los datos biométricos de cada persona son permanentes. Señala el CEPD que la intromisión en derechos señalados se materializa incluso si, por ejemplo, la plantilla biométrica obtenida del tratamiento se elimina inmediatamente después de realizarse el cotejo con una base de datos policial, con independencia del resultado obtenido tras dicho cotejo (p. ej., una coincidencia positiva o negativa).

No obstante, la injerencia en los derechos fundamentales puede estar justificada en ciertos casos, cuando se cumplan las previsiones de la Carta. Para ello la injerencia deberá estar prevista por una norma con rango de ley que describa la aplicación y las condiciones del uso de estas tecnologías; no deberá menoscabar el contenido esencial del derecho afectado; y deberá superar la prueba de necesidad y proporcionalidad.

Las Directrices reiteran la importancia de distinguir entre las diferentes fases del tratamiento y categorías de datos en función de: (i) su posible utilidad para el fin perseguido; y (ii) la categoría de interesados.

Directiva 2016/680

En el marco específico de la Directiva 2016/680, las Directrices destacan la prohibición de la toma de decisiones automatizadas y de creación de perfiles con base en categorías especiales de datos, si bien recuerdan que caben excepciones, en ciertos casos, a partir de las garantías ofrecidas a los interesados. La intromisión en los derechos del interesado mediante una decisión automatizada que trate datos biométricos sólo estará justificada si existen medidas adecuadas para salvaguardar los derechos y la libertad de los interesados, así como los intereses legítimos de la persona física.

En este marco jurídico específico, las orientaciones sobre los derechos de los interesados se alinean con las Directrices 1/2022 y 3/2019 publicadas por el CEPD en el contexto del Reglamento General de Protección de Datos (RGPD), con la regulación de ciertas limitaciones a estos derechos.

Autenticación o identificación

El apartado 12, página 8 de las Directrices, aborda una de las cuestiones más relevantes.  El CEPD afirma que el uso de TRF para autenticar o identificar ha de ser considerado como un tratamiento de categorías especiales de datos (art. 9.1 RGPD). En consecuencia, solo caben en el marco de las excepciones del art. 9.2 del RGPD. Se observa aquí una discrepancia con la posición mantenida por la Agencia Española de Protección de Datos (AEPD).

En efecto, aunque también distingue entre datos biométricos con un fin de identificación y un fin de autenticación, la AEPD ha considerado que la autenticación no constituye un caso de uso de categorías especiales de datos.

Así, la AEPD ha afirmado que los datos biométricos incluyen ambos fines, pero que los tratamientos de datos biométricos sólo constituirán tratamientos de “categorías especiales de datos” cuando el uso de TRF implique un tratamiento de identificación (véanse al respecto los informes 36/2020, 31/2019 y 47/2021). De todos modos, la AEPD advierte también que, en última instancia, se trata de una cuestión compleja, por lo que pide que se tenga en cuenta: (i) el contexto de cada caso; (ii) el fin que se persigue con el tratamiento; y (iii) la interpretación más favorable para la protección de los derechos de los afectados.

Se aprecia, por tanto, una disparidad entre las posturas de la AEPD y del CEPD en cuanto a si la mera autenticación biométrica implica el tratamiento de una categoría especial de datos en el sentido de artículo 9 RGPD. Como consecuencia, las entidades y empresas que decidan implementar TRF en España se enfrentan a una situación de incertidumbre jurídica. A este respecto, cabe que la AEPD matice su postura, como ya lo hizo en el caso de las cookies, reconciliando su posición con la del CEPD para disminuir la incertidumbre.

Problemas derivados de la nueva perspectiva

Si un tratamiento de datos biométricos que busca simplemente autenticar se considera, como entiende el CEPD, un tratamiento de una categoría especial de datos, las principales excepciones disponibles para salvar la prohibición expresa de su uso (art. 9.1 RGPD) serán: (i) el consentimiento explícito; (ii) la normativa en el ámbito laboral; y (iii) el interés público –apartados a), b) y g) del artículo 9.2 RGPD, respectivamente.

Esta interpretación podría afectar también a la sencillez de operabilidad de los consumidores en los procesos de las aplicaciones o sitios web (p. ej., en el caso de aplicaciones móviles se implementarán más requisitos al efecto de obtener un consentimiento explícito, lo que puede perjudicar la rapidez del proceso de compras u otras acciones comerciales).

Asimismo, si el uso de TRF para autenticar constituye un tratamiento de categorías especiales de datos podrían surgir problemas en cuanto al proceso de autenticación de los empleados (p. ej., aquellas empresas que utilicen un sistema de huella dactilar para el registro horario). Este cambio de interpretación supondría un obstáculo para los empleadores, que actualmente deben cumplir menos requisitos en caso de sólo autenticar a sus empleados. Así, a raíz, de lo expuesto en las Directrices, deberán considerar incorporar más requisitos en dichos tratamientos como, por ejemplo, las evaluaciones de impacto sobre los derechos fundamentales a través de pruebas de proporcionalidad y necesidad.

En conclusión, parece imprescindible que la AEPD clarifique su posición a fin de asegurar un uso adecuado de las TRF y generar un entorno de certidumbre.

6 de octubre de 2022