La AEPD restringe el tratamiento de los datos biométricos por los bancos

por Maialen de Pedro

publicado el 7 julio 2021

Categorías: Agencia Proteccion Datos / Biometría / General / Protección de Datos / Tecnología

El deseo de emplear sistemas que tratan datos biométricos ha incrementado entre las empresas. Tienen consideración de datos biométricos los datos personales adquiridos mediante un tratamiento técnico específico, concernientes a las características físicas que permitan la identificación única de una persona o confirmen la misma. Los datos biométricos se encuentran dentro de las categorías especiales de datos, quedando así bajo una prohibición general de su tratamiento. Estos datos pueden ser utilizados para identificar a una persona (comparando sus datos biométricos con una serie de plantillas biométricas almacenadas en una base de datos) o para verificar o autentificar la identidad de un individuo (comparando sus datos biométricos con una única plantilla biométrica almacenada en un dispositivo), 

Una entidad bancaria presentó un proyecto para tratar datos de reconocimiento facial en el momento del alta de clientes en la oficina o a través de un canal online con el objetivo de verificar su identidad y así realizar las verificaciones oportunas previstas en la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (PBC/FT), así como del control del fraude. 

Ante la tramitación de este proyecto, la Agencia Española de Protección de Datos (AEPD) emitió un informe desfavorable. Según indica, la propuesta no está autorizada de acuerdo con el artículo 9.2.g del Reglamento General de Protección de Datos (RGPD), carece de base de legitimación al amparo del artículo 6.1 del mismo y es contraria a los principios de necesidad, proporcionalidad y minimización. 

En lo que respecta a la proporcionalidad, aunque puede considerarse idóneo para la finalidad establecida, no puede considerarse indispensable al existir medidas alternativas menos intrusivas. Sobre el principio de minimización de datos, se requiere que sean “adecuados, pertinentes y limitados a la necesidad en relación con los fines para los que son tratados” (art.5.1.c RGPD). Por ello, la AEPD estipula que aunque los bancos sí pueden ofrecer este servicio, la emisión de los datos será voluntaria y no podrán ser solicitados para dar de alta a un cliente . 

Otro caso relativo a tratamiento de datos biométricos se recoge en el Auto 72/2021 de la Sección Novena de la Audiencia Provincial de Barcelona de 15 de febrero de 2021, en el que se impide que Mercadona S.A. emplee datos biométricos para impedir la entrada en sus establecimientos a personas. El Tribunal entendía que no se pretendía proteger el interés público sino más bien, los intereses privados o particulares de la empresa en cuestión.

Varias autoridades se han pronunciado en diversas ocasiones sobre los sistemas de reconocimiento automático y de los requisitos establecidos en el artículo 9.2.g del RGPD para proteger los tratamientos de datos personales fundamentados en el reconocimiento facial. El aumento de propuestas demuestra el interés creciente de emplear este tipo de sistemas. Asunto que preocupa a la AEPD, al ser estos sistemas de identificación muy intrusivos para los derechos y libertades fundamentales de las personas físicas.