1. El concepte de "dades biomètriques"
La biometria és l'estudi per al reconeixement inequívoc de persones basat en un o més trets conductuals o físics intrínsecs. En aquest sentit, la biometria serveix per identificar les persones, però, al mateix temps, pot proporcionar informació addicional sobre altres aspectes d'aquestes.
Des del punt de vista normatiu, el Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril, relatiu a la protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes (en endavant, RGPD), defineix a l’article 4.14 les dades biomètriques com “dades personals obtingudes a partir d'un tractament tècnic específic, relatius a les característiques físiques, fisiològiques o conductuals d'una persona física que permetin o confirmin la identificació única d'aquesta persona, com a imatges facials o dades dactiloscòpiques”.
La dada biomètrica ordinàriament està associada a una plantilla i es pot emmagatzemar en un sistema en forma d'una plantilla o patró biomètric, com ara un rostre o una empremta dactilar, de manera que sigui interpretable per una màquina de manera eficient i eficaç per a un propòsit o propòsits determinats. Així, la plantilla biomètrica no està orientada a ser interpretada per una persona, com una fotografia, sinó que està orientada a ser tractada en un procés automatitzat, és a dir, ser eficientment i eficaçment interpretable per una màquina.
Al mateix temps, no es pot obviar que els sistemes biomètrics estan evolucionant d’una manera molt ràpida, com a conseqüència de la incorporació de sistemes d’intel·ligència artificial. Aquesta forma d'emmagatzematge i tractament pot permetre singularitzar un individu i executar accions de manera automàtica, perfilar o inferir informació sobre un subjecte com a actituds o patrons de comportament, etc. Conseqüentment, és possible inferir informació d’una persona de l’anàlisi de les seves dades biomètriques, amb els riscos evidents que se’n deriven per a la seva privacitat, fet que és especialment important, atenent que ens trobem davant de dades especialment protegides, a les quals fa referència l’article 9 del RGPD. Sistemes com l’empremta digital, la signatura biomètrica, el reconeixement facial o l’anàlisi de determinats aspectes físics de la persona, són utilitzats en moltes ocasions com a sistemes d'identificació i autenticació de la persona.
La diferenciació recollida més amunt es determina al considerant 51 del RGPD, que especifica que “el tractament de fotografies no s'ha de considerar sistemàticament tractament de categories especials de dades personals, perquè únicament es troben compreses en la definició de dades biomètriques quan el fet de ser tractades amb mitjans tècnics específics permeti la identificació o l'autenticació unívoques d'una persona física".
Com a conseqüència de la consideració de dades especialment protegides, s’aplicaria el règim general de l’article 9 del RGPD, que suposa la prohibició general del tractament de categories especials de dades de l’article 9.1 del RGPD, i que tan sols pot ser objecte d’excepció quan, si a més d’una base jurídica prevista a l’article 6.1 del RGPD, es dona també alguna de les excepcions establertes a l’article 9.2 del RGPD. Recordem que, com a regla general, l’article 9.1 del RGPD estableix el següent: “1. Queden prohibits el tractament de dades personals que revelin l'origen ètnic o racial, les opinions polítiques, les conviccions religioses o filosòfiques, o l'afiliació sindical, i el tractament de dades genètiques, dades biomètriques dirigides a identificar de manera unívoca una persona física, dades relatives a la salut o dades relatives a la vida sexual o l'orientació sexual d'una persona física.”
2. Unificació de criteris: les dades biomètriques són dades especialment protegides
El tractament de les dades biomètriques ha generat un debat doctrinal intens. Així, l’Agència Espanyola de Protecció de Dades (AEPD), l’any 2020 (Dictamen 36/2020), enmig de la pandèmia i de la problemàtica que es derivava d’haver d’examinar milions d’estudiants en línia, va establir com a criteri que les dades biomètriques utilitzades per identificar una persona no sempre eren dades especialment protegides, sinó que diferenciava quan el tractament de les dades biomètriques per identificar una persona es feia en relació amb una única plantilla prèviament emmagatzemada (“un a un”) o en relació amb diverses plantilles (“un a diversos”), per concloure que tan sols en el segon dels supòsits ens trobàvem amb categories especials de dades.
Aquest no era el criteri de l’Autoritat Catalana de Protecció de Dades (APDCAT), ni d’altres autoritats de control, que consideraven que les dades biomètriques eren sempre dades especialment protegides.
L’APDCAT, per exemple, en el Dictamen emès a la consulta 21/2020, o a l’Informe 1/2022, indicava que l’element clau a l’hora de considerar les dades relatives a les característiques físiques, fisiològiques o conductuals d'una persona física com a dades biomètriques, és que aquestes dades es tractin amb mitjans tècnics específics amb la finalitat d’identificar-ne o d’autenticar-ne de manera unívoca la identitat, i que quan això succeeix ens trobem davant un tractament de categories especials de dades personals.
D’igual manera, l’any 2022, el Comitè Europeu de Protecció de Dades –CEPD– (integrat per totes les autoritats de control nacionals europees) va aprovar les Guidelines 5/2022, sobre l'ús de la tecnologia de reconeixement facial en l'àmbit d'aplicació de la llei, que han estat adoptades en data 26 de maig de 2023, després de la consulta pública, i que a l’apartat 12 diuen: “Tot i que ambdues funcions –autenticació i identificació– són diferents, totes dues es relacionen amb el tractament de dades biomètriques relacionades amb una persona física identificada o identificable i, per tant, constitueixen un tractament de dades personals i, més concretament, un tractament de categories especials de dades personals.”
Arran d'aquest posicionament inicial del CEPD, l’AEPD, a l'Informe 98/2022, ja va avançar que, si es confirmava el criteri que anunciava la versió originalment publicada de les Guidelines 5/2022, hauria de canviar de criteri: "Per tant, si aquest criteri es manté quan s'adopti definitivament, caldrà revisar el nostre criteri per adequar-lo al que manté el Comitè Europeu de Protecció de Dades, entenent que el tractament de dades biomètriques, tant en els supòsits d'autenticació/verificació com d'identificació, implica un tractament de categories especials de dades, sotmès al règim de prohibició general i excepcions de l'article 9 del RGPD."
Com hem indicat, amb l’aprovació definitiva aquest criteri no ha canviat i, conseqüentment, les dades biomètriques són sempre dades especialment protegides.
En la pràctica, el problema és que, a hores d’ara, no existeix una base jurídica legal expressa que habiliti el tractament de les dades biomètriques als efectes d’identificació i autenticació, el que fa que s’hagi d’examinar si ens trobaríem amb la possibilitat d’aplicar algunes de les excepcions de l’apartat 2 de l’article 9 del RGPD, que habilitaria el tractament de les dades biomètriques. Però que no existeixi una base jurídica suficient no vol dir que no pugui existir, així, el considerant 52 del RPGD indica el següent:
"Així mateix, s'han d'autoritzar excepcions a la prohibició de tractar categories especials de dades personals quan ho estableixi el dret de la Unió o dels estats membres i sempre que es donin les garanties apropiades, a fi de protegir dades personals i altres drets fonamentals, quan sigui en interès públic, en particular el tractament de dades personals en l'àmbit de la legislació laboral, la legislació sobre protecció social, incloent-hi les pensions i amb finalitats de seguretat, supervisió i alerta sanitària, la prevenció o control de malalties transmissibles i altres amenaces greus per a la salut. Tal excepció és possible per a finalitats en l'àmbit de la salut, incloses la sanitat pública i la gestió dels serveis d'assistència sanitària, especialment amb la finalitat de garantir la qualitat i la rendibilitat dels procediments utilitzats per resoldre les reclamacions de prestacions i de serveis en el règim de l'assegurança de malaltia, o amb finalitats d'arxiu en interès públic, finalitats de recerca científica i històrica o finalitats estadístiques. S'ha d'autoritzar també a títol excepcional el tractament d'aquestes dades personals quan sigui necessari per a la formulació, l'exercici o la defensa de reclamacions, ja sigui per un procediment judicial o un procediment administratiu o extrajudicial."
No entrarem ara a valorar si el consentiment explícit pot servir per al tractament de les dades biomètriques, quan es pugui oferir o no una alternativa, si el consentiment és o no lliure (especialment quan es dona en l’àmbit d’una relació de desigualtat, com passa en l’àmbit laboral o en la relació Administració-ciutadà), o si la utilització de les dades biomètriques superaria el judici de proporcionalitat, extrems tots aquests que mereixen un nou apunt, atenent l'anàlisi que requereixen.
3. El problema pràctic quant al control horari: no existeix una base jurídica habilitadora
El problema pràctic actual és que, ordinàriament i de manera massiva, en l’àmbit laboral estan incorporats mecanismes d’identificació biomètrica per al control horari (l’empremta digital com a sistema per fitxar i verificar l’assistència). Arran del canvi de criteri de l’AEPD esmentat, s’acaba de publicar al novembre de 2023 la guia de l'AEPD "Tratamientos de control de presencia mediante sistemas biométricos" que, en relació amb aquesta qüestió, ha recollit el canvi de criteri esmentat: "De la mateixa manera, la interpretació que d'aquests tipus de tractaments feia l'AEPD en el seu Informe jurídic 036/2020, basant-se, entre altres documents, en el Dictamen 3/2012 del Grup de Treball de l'Article 29 (GT29), sobre l'evolució de les tecnologies biomètriques -publicat en un moment, el 2012, en què ni unes dades biomètriques ni les altres tenien la consideració de categoria especial (només a partir de l'entrada en vigor del GDPR el 2016)-, s'ha de considerar igualment superada per la nova posició del CEPD, exposada en aquestes Directrius 05/2022."
Com a conseqüència d’aquest canvi de criteri, en el cas de registre de jornada i control d'accés amb fins laborals, entén l’AEPD que no existiria base jurídica habilitadora, ja que si l'aixecament de la prohibició es basa en l'article 9.2.b del RGPD, el responsable ha de comptar amb una norma amb rang de llei que autoritzi específicament utilitzar dades biomètriques per a aquesta finalitat (que a hores d’ara no existeix). De la mateixa manera, considera que, en el marc d'aquests tractaments, el consentiment no pot aixecar la prohibició o ser una base per determinar-ne la licitud, ja que hi ha un desequilibri entre la persona a qui se sotmet al tractament i qui l'està portant a terme, i no superaria el judici de proporcionalitat.
Això en la pràctica ha comportat que, mentre no s’articuli una base legal expressa, concreta i previsible, moltes empreses hagin deixat d’aplicar els sistemes biomètrics com mecanismes de control horari i estiguin implantant altres sistemes, com els de geolocalització.
En qualsevol cas, en pròxims apunts parlarem de l’aplicabilitat o no de les excepcions de l’article 9.2 del RGPD al tractament de dades biomètriques i, en especial, en relació amb el consentiment.
