El uso de biometría y la protección de datos: lecciones de la AEPD que hacen eco en Chile
La Agencia Española de Protección de Datos (en adelante, “AEPD” o “Autoridad”) emitió una resolución con respecto a una reclamación presentada por socios de un centro deportivo acerca del uso obligatorio de un sistema de reconocimiento facial para el ingreso a las instalaciones existiendo medios alternativos menos invasivos y proporcionales a la actividad.
En la resolución analizada, la entidad reclamada alegó que no trataba datos personales, pues únicamente generaba un “algoritmo matemático” o una “plantilla única” que, a su juicio, no permitía identificar a la persona. Bajo esa premisa, el centro deportivo consideraba que no era necesario recabar consentimiento previo ni cumplir con la normativa de protección de datos, incluyendo la realización de una Evaluación de Impacto en la Protección de Datos (en adelante, “EIPD”).
Sin embargo, la AEPD determinó que: (i) el sistema empleado sí implicaba el tratamiento de datos biométricos, y (ii) dicho tratamiento constituye una actividad de alto riesgo que requiere obligatoriamente la realización previa de una EIPD. En esta línea, la resolución concluyó que la empresa incumplió tres obligaciones fundamentales: (i) no se había recogido un consentimiento específico, inequívoco e informado para el tratamiento de datos biométricos, (ii) omitió la realización del análisis de riesgos previo, y (iii) no informó de manera clara y suficiente a los socios sobre el tratamiento y sus finalidades.
A continuación, se presentan algunos de los criterios mencionados en la resolución, que deben considerarse en el tratamiento de datos biométricos:
1. Consentimiento íntegro: La AEPD, de acuerdo con lo establecido en Artículo 9.1 del Reglamento General de Protección de Datos (en adelante, “RGPD”), prohíbe el tratamiento de datos personales biométricos que sean dirigidos a identificar de manera unívoca a una persona física. Sin embargo, determina en el apartado siguiente que esto podrá ser posible en aquellos casos en que el interesado otorgue su consentimiento explícito, por lo que es de vital importancia contar con la competente autorización para llevar a cambio el tratamiento de datos biométricos.
2. Importancia de una correcta evaluación de impacto: De acuerdo con el Artículo 35 del RGPD, cuando un tipo de tratamiento, en particular aquel que incorpora nuevas tecnologías, considerando su naturaleza, alcance, contexto y fines, pueda implicar un alto riesgo para los derechos y libertades de las personas, el responsable deberá realizar, con carácter previo, una evaluación de impacto relativa a las operaciones de tratamiento previstas en materia de protección de datos personales. En este sentido, las evaluaciones de impacto permiten, por un lado, evaluar todos aquellos riesgos a los derechos y libertades de las personas, y por otro, proponer medidas de seguridad y garantías sobre los intereses de los titulares.
Para este caso, la empresa reclamada, debió efectúa dicha evaluación, pues el uso de este tipo de tecnologías requiere por normativa el análisis de riesgos a los derechos de los titulares – desde el diseño - y la implementación de garantías adicionales en caso de requerirse.
3. La innovación tecnológica debe considerar el principio de proporcionalidad. En el Artículo 5.1 letra c) del RGPD recoge el denominado “Principio de minimización de datos personales” y dispone lo siguiente: “1. Los datos personales serán: a) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)”. Así pues, el respeto de este principio deberá ser el punto de partida del inicio de todo tratamiento, debiendo plantearse el responsable si este tratamiento será realmente necesario, idóneo, y proporcional antes de iniciarlo -siendo incluso aconsejable.
¿Cómo se regularán estos asuntos en Chile?
Las modificaciones impuestas por la Ley N°21.719 sobre la Ley N°19.628 (en adelante, “Ley Sobre la Protección de los Datos Personales”) regulan los distintos asuntos mencionados con respecto a la resolución de la AEPD.
En primer lugar, la “Ley Sobre la Protección de los Datos Personales” determina que los datos biométricos estarán comprendidos dentro de la categoría de los datos personales sensibles, por ende, para poder ser tratados, requerirán de un consentimiento expreso otorgado a través de una declaración escrita, verbal o por un medio tecnológico equivalente, según lo establecido en el Artículo 16, 16 bis y 16 ter.. Por ello, es necesario volver a recalcar la importancia de contar con una fuente habilitante ya que la próxima Agencia de Protección de Datos Personales podrá imponer multas sumamente elevadas en caso de incumplimientos.
En segundo lugar, con respecto a las evaluaciones de impacto, el Artículo 15 ter establece al igual que el RGPD que, respecto de aquellos tratamientos que pueden producir un alto riesgo para los derechos del titular, el responsable deberá realizar dicha evaluación con la finalidad de velar por el respeto de los derechos y libertades de los titulares de datos, así como de también considerar medidas adicionales de protección en caso de realizar la actividad.
En tercer lugar, acerca del principio de proporcionalidad, el Artículo 3 letra c) determina que los datos personales que se traten deben ser estrictamente limitados a los que resulten necesarios, adecuados y pertinentes en relación con las finalidades del tratamiento, lo cual sigue el estándar establecido por el RGPD.
Por último, y luego de analizar esta resolución, cabe preguntarse respecto los lineamientos que la Agencia de Protección de Datos en Chile seguirá frente al uso de este tipo de tecnológicas en consideración al principio de proporcionalidad. ¿Debemos adecuar el estándar a lo establecido por la AEPD? ¿Es el avance tecnológico más relevante que los derechos de las personas? ¿Somos realmente conscientes del costo de nuestros datos personales? Sin duda se trata de interrogantes relevantes que aún carecen de una respuesta clara y precisa en la actualidad.
