La evaluación de impacto de transferencias internacionales (Parte...
Una vez que tenemos claro a dónde van los datos personales de nuestra responsabilidad, y...
0A partir del Informe Jurídico 36/2020 de la Agencia Española de Protección de Datos (AEPD), en el que, entre otros, se trata el uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación on-line, podemos obtener una respuesta a esta cuestión.
Por una parte, el artículo 4.14 RGPD define como «datos biométricos» aquellos “datos personales obtenidos a partir de un tratamiento técnico especifico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”. Y, por otra parte, el artículo 9.1 RGPD, incluye entre los datos de categoría especial “datos biométricos dirigidos a identificar de manera univoca a una persona física”.
Según la AEPD, “en una interpretación conjunta de ambos preceptos parece dar a entender que los datos biométricos solo constituirían una categoría especial de datos en el caso de que se sometan a un tratamiento técnico especifico dirigido a identificar de manera univoca a una persona física” y, en este sentido, igualmente se pronuncia el Considerando 51.
Al objeto de aclarar las dudas interpretativas, la AEPD atiende al Dictamen 3/2012 sobre la evolución de las tecnologías biométricas del Grupo del Artículo 29, en el que se distingue:
Identificación biométrica uno-a-varios de huella dactilar en escenario crimen por Fuerzas y Cuerpos de Seguridad
Verificación/Autenticación uno-a-uno en control de acceso por huella dactilar al puesto de trabajo
Atendiendo a la citada distinción, la AEPD entiende que el concepto de dato biométrico incluye ambos supuestos. Sin embargo, y con carácter general, únicamente tendrán la consideración de categoría especial en los supuestos de identificación biométrica (uno-a varios).
No obstante, la AEPD considera que “se trata de una cuestión compleja, sometida a interpretación, respecto de la cual no se pueden extraer conclusiones generales, debiendo atenderse al caso concreto”. Y nos termina diciendo que, “en tanto en cuanto no se pronuncia al respecto el Comité Europeo de Protección de Datos o los órganos jurisdiccionales, adoptarse, en caso de duda, la interpretación más favorable para la protección de los derechos de los afectados”.
Equipo de Govertis