Criterios jurídicos AEPD: adecuación y proporcionalidad de sistemas biométricos para la autenticación

Desde las Fuerzas y Cuerpos de Seguridad del Estado se ha formulado ante la Agencia Española de Protección de Datos (AEPD) una consulta previa siguiendo el artículo 36 del Reglamento General de Protección de Datos (RGPD). Con la respuesta se orienta al responsable cuando, tras haber realizado una Evaluación de Impacto en la Protección de los Datos (EIPD), el resultado muestre que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo. La consulta afecta a un tratamiento de datos personales que tiene por finalidad el control de acceso basado en información biométrica a unas instalaciones de las Fuerzas y Cuerpos de Seguridad del Estado que incluían diferentes tipologías de instalaciones, bienes y personas.

En la respuesta a la consulta, la AEPD recuerda las Directrices 5/2022 del Comité Europeo de Protección de Datos (CEPD) en la medida que se considera los datos biométricos como categoría especial de datos recogida en el artículo 9 del RGPD, tanto para la autenticación como para la identificación. Ahora bien, la AEPD subraya que el impacto de uno u otro tratamiento no es el mismo. La identificación implica una operación uno-a-varios (1:N), y desde el punto de vista de protección de datos implica una búsqueda activa dentro de un conjunto de identidades preexistentes, lo cual comporta mayores riesgos para los derechos fundamentales, especialmente en contextos de vigilancia masiva, control social o de seguridad. En el caso presentado el tratamiento tenía por fin la autenticación biométrica ‒uno-a uno (1:1)‒, esto es, se basa en confirmar que una persona es quien dice ser, comparando sus datos biométricos con una plantilla única previamente vinculada a su identidad. 

Leer la el criterio jurídico completo en la pagina web de la AEPD.