Desde el 25 de mayo de 2018, fecha de aplicación del Reglamento General de Protección de Datos (en adelante, el “RGPD”)¹, se han escrito numerosos artículos sobre el tema de la protección de los datos personales.
Cabe recordar que una dato personal se define como “toda información sobre una persona física identificada o identificable»; se considerarápersona física identificable»toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.² Es una definición especialmente extensiva.
Sin embargo, existen pocos artículos sobre los datos biométricos. Se trata de una categoría específica de datos personales que permiten identificar automáticamente a un individuo a partir de sus características físicas, biológicas o comportamentales. Los datos biométricos son datos particularmente sensibles que se utilizan para identificar a una persona de forma única a partir de elementos tales como su cara, sus huellas digitales o su voz. El RGPD los define como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.³
El artículo 9.1 los califica como datos sensibles. Así, el tratamiento de datos biométricos está sometido a un principio de prohibición. En otros términos, contrariamente a los datos personales “clásicos”, el responsable del tratamiento no está autorizado a tratar datos biométricos, salvo si concurre una de las circunstancias siguientes enumeradas en el artículo 9.2 del RGPD:
- el interesado dio su consentimiento explícito para el tratamiento de sus datos personales con uno o más de los fines especificados;
- el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del derecho laboral, en la medida en que resulte de una obligación legal y que se establezcan garantías adecuadas;
- el tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;
- el tratamiento es efectuado por una asociación o por cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros de tales organismos o a personas que mantengan contactos regulares con ellos;
- el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos.
La antigua Ley Orgánica de Protección de Datos de Carácter Personal no preveía ninguna disposición específica respecto a los datos biométricos. Es decir, era necesario referirse a la definición genérica de los datos personales: “Cualquier información concerniente a personas físicas identificadas o identificables”.⁴
Desde el 7 de diciembre de 2018, fecha de la entrada en vigor de la nueva Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales⁵ (artículo «Entrada en vigor de la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales«), los datos biométricos se encuentran especialmente regulados en el nuevo artículo 9 de dicha Ley relativo a las categorías especiales de datos:
“1. A los efectos del artículo 9.2.a) del Reglamento (UE) 2016/679, a fin de evitar situaciones discriminatorias, el solo consentimiento del afectado no bastará para levantar la prohibición del tratamiento de datos cuya finalidad principal sea identificar su ideología, afiliación sindical, religión, orientación sexual, creencias u origen racial o étnico.Lo dispuesto en el párrafo anterior no impedirá el tratamiento de dichos datos al amparo de los restantes supuestos contemplados en el artículo 9.2 del Reglamento (UE) 2016/679, cuando así proceda.
2. Los tratamientos de datos contemplados en las letras g), h) e i) del artículo 9.2 del Reglamento (UE) 2016/679 fundados en el Derecho español deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.
En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte”.⁶
Por lo tanto, resulta expresamente de dicho artículo que de conformidad con lo dispuesto en el RGPD, los datos biométricos benefician de una especial protección, de tal manera que, en principio, su tratamiento está prohibido, salvo si se cumple una de las circunstancias mencionadas en el artículo 9.2 del RGPD.
Por último, mencionar que los datos biométricos no entran en el ámbito de aplicación del artículo 9.1 de la nueva Ley Orgánica, por lo que podemos intuir que bastará con el consentimiento del afectado será suficiente para levantar la prohibición del tratamiento de sus datos biométricos.
M&B Abogados
¹ Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
² Artículo 4.1 del Reglamento General de Protección de Datos.
³ Artículo 4.14 del Reglamento General de Protección de Datos.
⁴ Artículo 3 de la Ley Orgánica 15/1999 del 13 de diciembre de 1999, de Protección de datos de carácter personal
⁵ Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
⁶ Artículo 9 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Deje su comentario