Biometría 2021: La batalla que no cesa

publicado en: AEPD, Biometria, Compliance | 0

Tiempo de lectura: 19 minutos

En mayo de 2019 publiqué en este blog una entrada sobre biometría (accesible en este enlace) . Aprovechando que la AEPD inicia en breve una nueva etapa, con el nombramiento dos altos cargos, presidente y adjunto, además de un Consejo Consultivo, he pedido en voz baja tres deseos (accesibles en este enlace). Uno de ellos se refiere precisamente a la biometría.

Biometría

La biometría tiene una amplia aceptación en el mercado por entidades de todo tipo. Su uso principal sigue siendo el control de acceso a un espacio restringido sin necesidad de portar un objeto identificador (tarjeta, llave) o conocer un código. Casos habituales: empleados en su empresa, socios en su club o lugar de ocio,.. y el rasgo biométrico más extendido, la huella dactilar. La AEPD sancionó en 2018 a dos gimnasios (Murcia y Madrid) a consecuencia de sendas reclamaciones interpuestas por socios que sintieron lesionados sus derechos.

Además, el RGPD instauró (2016) las categorías especiales de datos, entre las cuales figuran los datos biométricos para identificación unívoca de una persona. Su tratamiento está prohibido (RGPD 9.1), aunque esa prohibición se puede levantar invocando alguno de los supuestos de RGPD 9.2. Y ni el acceso al puesto de trabajo ni a un club por parte de los socios, están contemplados en esa casuística. El consentimiento explícito es uno de esos supuestos, pero no es válido en el entorno laboral (entre empleado y empleador) y presenta el gran inconveniente (para la empresa) de que puede ser revocado en cualquier momento. De manera que tanto consiento como no, de un día para otro, y los sistemas de acceso por biometría quedan infrautilizados.

El Comité Europeo de Protección de Datos (su área de divulgación experta se conocía como Grupo de Trabajo del Artículo 29, abreviadamente GT29 o WP29), publicó guías para modular el uso de la biometría (en los años 2003 y 2012). Las recientes directrices del comité sobre el uso de videovigilancia (3/2019 versión 2, 29 enero 2020) dan más indicaciones, la mayor parte restrictivas.

Otros casos

Expongo a continuación otros casos donde se ha usado la biometría. Algunos de ellos han sido motivo de proceso sancionador.

Detección de hurtos mediante biometría y radio frecuencia

Uso de cámaras biométricas en un establecimiento comercial para detectar hurto de productos en estanterías. De amplísima aplicación en Asia, estos sistemas permiten detectar que un visitante de la sala de ventas ha hurtado un producto (desplazándolo de su estantería a una parte de su cuerpo, de forma que el producto se mueve con él, y no tratarse de una cesta). No conozco que se haya instalado en España (probablemente sí); años atrás, alguien desistió de ponerlo en marcha por la expectativa de no superar una hipotética reclamación (del hurtador, invocando injerencia en un derecho fundamental para inutilizar la prueba visual en contra).

Detección de fraude en conexión a canales de televisión mediante proceso de sonido

Uso de audio (y proceso, similar al biométrico aunque no queda claro qué es lo que se procesa) para mejorar la detección de uso fraudulento del canal de televisión de La Liga en bares. Fue en Madrid, 2018, y terminó con una sanción de 250.000€. No conozco que hubiera recurso.

El diseño del sistema era impecable, también su protección de la privacidad; participaron en el diseño dos consultorías especializadas. Pero la AEPD encontró un detalle que, según su criterio, no respetaba plenamente el deber de informar (principio de principios de la Protección de Datos).

Se reprochaban diversos aspectos, entre los cuáles la falta de idoneidad de la medida, porque el sistema terminaba confeccionando un mapa de calor con la densidad de puntos en fraude, de lo cual se deriva que no se identificaba individualmente a los bares implicados.

Reconocimiento facial para detectar a personas determinadas en hipermercado

Uso cámaras biométricas para detectar, mediante reconocimiento facial, personas sobre quienes pesa condena firme de alejamiento de un determinado centro comercial o de una determinada persona (empleada de ese centro comercial) cuando entran al mismo y quebrantan, por tanto, la orden de alejamiento. El sistema había sido acordado con el juzgado y su objetivo era proteger la seguridad de las empleadas en un caso, y de los bienes e instalaciones en el otro. Por consiguiente, la seguridad en general del público y los intereses particulares de la empresa en prevenir hurtos o conflictos.

La medida gozaba del espontáneo aplauso de la empresa externa de seguridad privada. Veían en la tecnología a un aliado que ahorraba escrutar, en lo posible, los centenares de rostros de las personas que accedían al centro comercial a diario. La AEPD no encontró argumento que levantara la prohibición de RGPD 9 (efectivamente, no la hay, ni para ese caso ni para casi ninguno), y añadió infracciones a otros seis artículos, alcanzando finalmente los 3 millones de euros de sanción.

El sistema estaba cuidadosamente diseñado y razonado en todos los aspectos legales (salvo el de la prohibición).

Los artículos mencionados en el procedimiento sancionador (PS-000120-2021 de 27 de julio) son los siguientes:

  • RGPD 5 Principios
  • RGPD 25 Privacidad por diseño y por defecto
  • RGPD 9 Supuestos de desprohibición del tratamiento biométrico
  • RGPD 6 Base de licitud
  • RGPD 12 Transparencia
  • RGPD 13 Información al interesado
  • RGPD 35 Evaluación de impacto

Un caso similar en Italia terminó igualmente en sanción (en esta ocasión de apercibimiento) para otro hipermercado.

Lo anterior nos lleva a ampliar el foco de análisis del tratamiento biométrico para cubrir todas las áreas que han sido objeto de infracción. Así, de principios, desprohibición

Control de acceso en planta industrial. EIPD,¿sí o no?

Recién salida del horno, la resolución PS-00050-2021 sanciona a una empresa por haber implantado un sistema de acceso por huella dactilar sin haber hecho, previamente, una Evaluación de Impacto (EIPD).

La conclusión de si se debe abordar una EIPD o no depende del riesgo inherente del tratamiento. Hay 3 supuestos descritos en RGPD 35.3 que implican la obligatoriedad de la EIPD. Adicionalmente, la AEPD publicó, en 2019, una lista de tratamientos que se consideran aumentadores de riesgo (accesible en este enlace). La EIPD es recomandable cuando el tratamiento que se analiza encaja en al menos dos supuestos de la lista. Y la AEPD concluyó que se daban esos dos supuestos:

4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se refiere el artículo 9.1 del RGPD, ……

5. Tratamientos que impliquen el uso de datos biométricos con el propósito de identificar de manera única a una persona física.

El punto 5 (tratamiento de datos biométricos) está implícito en 4 (porque la biometría es una categoría especial de datos). Si lo que pretendía la agencia era enfatizar el hecho de que el uso de la biometría requiere una EIPD sin que concurra ninguna otra circunstancia, se podría haber redactado de otra manera.

La conclusión es que, si hay biometría, siempre hay que abordar una EIPD. Ello no es garante de que la AEPD, llegado el caso, lo de por lícito. De hecho, las otras sanciones al uso de la biometría son por otras infracciones, incluso si hubiera habido EIPD.

La tecnología en la diana

Es evidente que el tratamiento de datos personales, por liviano que sea, mediante tecnologías novedosas o mediante un uso novedoso de tecnologías existentes, genera dudas en cuanto a su encaje con la normativa en la materia.

En RGPD 9.4 se permite a los Estados Miembros que aporten legislación para complementar (incluso restringiendo su uso) los supuestos que levantan la prohibición de tratar datos de categoría especial. Ni España ni muchos otros países de la Unión han elaborado nada en ese sentido.

Si bien hay usos que despiertan recelo social (el scoring social chino) o institucional (el reconocimiento facial en aeropuertos y fronteras), tomar la huella dactilar para acceder al gimnasio o automatizar la seguridad privada en un recinto de gran afluencia no acarrean ningún impacto en la vida privada de las personas. Se trata de un debate tan jurídico como tecnológico. Y la ley suele estar años por detrás de la tecnología.

Todas estas noticias, negativas para las tecnologías biométricas, no han tenido respuesta (que yo sepa) por parte de los fabricantes e integradores de las mismas. Algo tendrían que decir, supongo. De facto, están vendiendo sistemas, una vez tras otra, son administrativamente sancionables y quedan inutilizados.

Sentencias en sentido favorable

Sin embargo, no todas las opiniones y resoluciones jurídicas son contrarias a la tecnología. Las siguientes validaron su uso.

Parcialmente fundadas en la protección de datos

TSJ Murcia, 25 de enero de 2010. Valida los principios del acceso por huella dactilar

TSJ Comunidad Valenciana, 8 febrero de 2017. No hay vulneración del derecho a la protección de datos en el fichaje mediante huella dactilar.

TSJ de Canarias, 29 mayo de 2012. El control horario mediante lectura de la mano por infrarrojos no lesiona el derecho a la intimidad.

Plenamente orientadas a la protección de datos

La Audiencia Nacional vino a matizar una parte de las argumentaciones en contra de la biometría (en concreto, las derivadas de las guías WP29 de 2003 y 2012). Así, en su Sentencia 3675/2019, de 19 de septiembre de 2019 (accesible en este enlace), anuló la sanción (1500€) que la AEPD había impuesto a uno de los gimnasios antes citados (el de Murcia) . El marco jurídico de aquel momento era la LOPD de 1999 que, en general, imponía los mismos principios y bases jurídicas que el RGPD de 2016.

De manera que la Audiencia Nacional valida el uso de la biometría para el caso tratado (acceso de socio a su club por medio de huella dactilar sin portar ningún objeto identificativo y sin necesidad de prestar su consentimiento). Declara el tratamiento ajustado a principios (actual RGPD 5). Implícitamente podríamos deducir que la la base jurídica hubiera sido el interés legítimo (actual RGPD 6.1.f y 5.1.f de la directiva 95/46, de la cual la LOPD 1999 era su transposición).

Hoy, cuando el RGPD ya lleva 3 años largos de aplicabilidad, la biometría debería enfrentarse, pues, a una única barrera (la prohibición de RGPD 9), usando la anterior sentencia como argumento legitimador de la base jurídica y los principios. Un paso adelante, sin duda.

Esa sentencia (hasta donde llega mi poco frecuente consulta a procedimientos sancionadores ) no ha sido nunca utilizada por la AEPD. Queda, pues, para uso de instancias judiciales, cuando llegue el día. Porque, tras una sanción de la agencia, a pocos les quedan ganas de recurrir.

El desprohibidor que la desprohiba

Incluso en aquellos casos en que el uso de biometría fuera el único posible para permitir el acceso a un recinto, encontraríamos dificultades para levantar la prohibición.

Hay casos en que las personas son muy parecidas a alguno de sus familiares (pongamos unos primos). De tal forma que el encargado de la empresa no es capaz de distinguirlos, ni presencialmente ni por la foto del DNI. El tono de voz de ambos también es parecido, y sólo una persona avezada a su acento podría diferenciar a uno de otro. Una sustitución fraudulenta en el puesto de trabajo es un riesgo para la empresa, más en caso de accidente laboral.

Únicamente mediante un rasgo biométrico se puede identificar correctamente. En este caso, la voz. Mediante una llamada desde un teléfono móvil (por ejemplo, de la empresa), el empleado llama a un sistema automático de registro, dice algunas palabras pre-establecidas y el sistema lo reconoce o no, comunicándolo por mensaje o por app al móvil del encargado.

Es un ejemplo ilustrativo, real, de que la tecnología aporta valor.

En el entorno laboral el convenio colectivo debería permitir la desprohibición en el control de acceso, independientemente de si el rasgo utilizado es la voz u otro, de si es la única forma o no (en términos más habituales, de si es necesario o no).

Por otra parte, en el caso de acceso de socios, no se ve tan claro que haya un supuesto de desprohibición, salvo el consentimiento explícito e individual, con el gran inconveniente de que puede ser revocado en cualquier momento. Nada más. Lo cual implica que la biometría no puede ser usada por simple decisión de la empresa. El derecho fundamental a la libre empresa, presumiblemente, no es suficiente para salvar la prohibición del RGPD 9. O, en todo caso, no sin la sentencia de un tribunal superior.

Informe jurídico 36/2020

La AEPD, en su informe jurídico 36/2020 opina que puede haber una diferencia en la consideración jurídica del RGPD respecto a los dos escenarios clásicos de uso de la biometría para singularizar a una persona: la identificación y la autenticación.

La AEPD deduce que en la identificación se tratan datos de categoría especial (sujetos a RGPD 9), y en la autenticación, no (y por tanto, la autenticación no estaría sujeta a la prohibición del RGPD 9).

Esta opinión ha sido cuestionada por la Autoridad Catalana de Protección de Datos (APDCAT), ya que de la lectura del RGPD no se deriva que los datos biométricos tengan consideración distinta si son procesados de una u otra forma (identificación o autenticación). A su vez, tampoco discrimina el RGPD la biometría según la técnica (huella dactilar, forma de la mano o de la oreja, iris del ojo, reconocimiento facial, forma de andar, de teclear, voz hablada,…).

Conclusiones

El andamiaje que se ha construido alrededor de la práctica biométrica no permite muchas vías para su utilización. De hecho, sólo las que pueden encajar en los supuestos de desprohibición de RGPD 9.2 que son, realmente, pocos y específicos. Y a continuación, validar con esmero los otros seis artículos comentados anteriormente.

De especial sensibilidad son los casos en que se tratan datos biométricos que conducen a pocas identificaciones (se busca a determinadas personas de entre muchas, como el caso del hipermercado, o de los bares con televisión no contratada. Pero la definición de dato biométrico incluye, precisamente, la identificación de una persona. ¿Se está tratando un dato biométrico (y por tanto, de categoría especial) cuándo no se identifica a una persona?. En esa línea, ¿podría yo intentar entrar en un gimnasio del cual no soy socio con mi huella , y a continuación presentar una reclamación a la AEPD por que el gimnasio ha tratado mis datos biométricos habiendo infringido 7 artículos del RGPD?

Disposiciones legales a considerar

Lo anterior obliga a replantearse la forma en que se define un tratamiento biométrico, intentando cubrir todos los frentes que han aparecido en este artículo.

Antonio March | amc@datium.eu
Noviembre 2021
Imagen: Julius Silver – Roma -Pexels

Apéndice

Rasgos biométricos

  • Huella dactilar
  • Palma de la mano
  • Geometría de la mano
  • Geometría de las venas en la mano, el dedo o la retina
  • Reconocimiento facial
  • Termografía facial
  • Geometría de la oreja
  • Reconocimiento del iris
  • Andares
  • Reconocimiento olfativo
  • Reconocimiento de voz
  • Dinámica del tecleado
  • Dinámica de la firma manuscrita

Futuros rasgos biométricos en estudio

  • Línea base del encefalograma
  • Línea base del electrocardiograma
  • Huella y geometría del pie, efecto de la pisada
  • Geometría y estructura de la lengua

Los siete pilares de la biometría

  • Universalidad
  • Singularidad
  • Permanencia
  • Capacidad de adquisición
  • Calidad
  • Aceptabilidad
  • Fiabilidad

Identificación y autenticación

Estos dos términos describen los escenarios más habituales de determinar quién es una persona a partir de un rasgo biométrico. En realidad, el término más bien describe un proceso que una tecnología (porque es la misma).

En ambos casos se termina comparando el resultado de computar una imagen (tomada por una cámara fotográfica, sea de la huella dactilar, la cara, la oreja, …) y obtener una cadena de caracteres (también conocida como variable alfanumérica, variable binaria, cadena de caracteres, código, clave, hash,…), que se compara con otra (cadena de caracteres) para determinar si hay igualdad o equivalencia o no la hay.

Identificación

La comparación se hace contra todas las imágenes computadas previamente (los socios del gimnasio, los empleados de una empresa, los habitantes de un país), residentes en un servidor local o remoto al que se conecta el sistema de acceso. Cuando se encuentre una coincidencia, se deduce que la persona es la que está registrada con esa imagen computada.

Autenticación

La comparación se efectúa contra una sola imagen computada que la persona lleva consigo, en un objeto físico portable (un chip integrado en una tarjeta, por ejemplo). Si no lleva ese objeto o está deteriorado no no hay autenticación posible. El objeto portable lleva grabados, además de la imagen computada, algunos datos identificadores.

El proceso implica dos operaciones por parte de la persona: presentar el objeto físico portable en un lector adecuado (por ejemplo, de tarjetas) para leer los datos identificadores y la imagen computada. Así, la persona está diciendo quién es. A continuación presenta su rasgo biométrico (dedo, cara,…) en un lector específico (distinto del anterior). El sistema compara ambas imágenes computadas para determinar si hay igualdad o equivalencia.