La Agencia Española de Protección de Datos (AEPD) ha publicado una nueva guía sobre el uso de la huella dactilar o el reconocimiento facial para identificar a las personas. En este documento, la AEPD cambia de criterio respecto a la normativa anterior y establece unas condiciones más estrictas para el tratamiento de estos datos biométricos.
La guía explica que la huella dactilar o el reconocimiento facial son datos personales que revelan información sensible sobre las personas, como su origen étnico, su estado de salud o sus creencias religiosas. Por eso, su uso debe estar justificado por una necesidad real y proporcionada, y no puede basarse en el consentimiento de los afectados.
La AEPD considera que el consentimiento no es una base jurídica válida para el tratamiento de estos datos, ya que no se puede garantizar que sea libre, específico, informado e inequívoco. Además, el consentimiento puede ser revocado en cualquier momento, lo que dificulta la gestión de estos sistemas.
La guía establece que el uso de la huella dactilar o el reconocimiento facial solo se podrá realizar cuando exista una ley que lo autorice expresamente, cuando sea necesario para proteger intereses vitales de las personas o cuando se trate de fines de interés público. En estos casos, se deberán adoptar medidas de seguridad adecuadas y garantizar los derechos de los afectados.
La AEPD sí permite el uso de estos sistemas biométricos cuando se trate de controlar el acceso a lugares restringidos por motivos de seguridad, como aeropuertos, puertos o instalaciones militares, siempre que se cumplan las garantías legales y técnicas. También se podrá utilizar la huella dactilar o el reconocimiento facial para verificar la identidad de las personas en servicios presenciales, como hoteles, gimnasios o bibliotecas, siempre que se obtenga el consentimiento expreso de la persona y se informe de forma clara y transparente.
La AEPD recomienda a las entidades que utilicen estos sistemas biométricos que realicen una evaluación de impacto previa y que adopten medidas de seguridad adecuadas para proteger los datos personales. Asimismo, recuerda a los ciudadanos que tienen derecho a acceder, rectificar, suprimir y limitar el tratamiento de sus datos biométricos.
La AEPD advierte de que el uso indebido de estos datos puede suponer un riesgo para la privacidad y la dignidad de las personas, y recuerda que su tratamiento está sometido a una evaluación de impacto previa y a la autorización previa de la Agencia. Asimismo, recomienda a los responsables del tratamiento que informen a los afectados sobre el uso de estos sistemas y que les faciliten los medios para ejercer sus derechos.
