¿Está permitido el uso de biometría para el control de accesos? Nuevo informe jurídico de la Agencia Española de Protección de Datos.
El pasado 18 de julio se emitió un informe jurídico por parte de la Agencia Española de Protección de Datos (en adelante, “AEPD” o “Autoridad”), en su rol de autoridad de control, con respecto a una consulta previa acerca del uso de sistemas biométricos para el control de accesos a las instalaciones de la Guardia Civil. Esta resolución es de gran importancia ya que marca un importante punto de inflexión con respecto al criterio utilizado por la AEPD en el uso de datos biométricos para dicha finalidad.
De acuerdo con los lineamientos atendidos en las resoluciones y guías publicadas anteriores a este informe, la AEPD consideraba que el uso de sistemas biométricos, para el control de accesos, era altamente intrusivo y desproporcional al fin que perseguían, existiendo medios alternativos menos invasivos y que cumplían íntegramente con la misma finalidad, como las tarjetas de acceso.
Si bien no podemos obviar que este nuevo criterio jurídico se refiere al uso de estos sistemas en contextos específicos y siempre que se apliquen determinadas garantías técnicas y organizativas, se abre la posibilidad de considerar este tratamiento como una opción viable y adecuada para el control de acceso a ciertas instalaciones.
Lo que debes saber del nuevo criterio jurídico de la Autoridad:
1. Consentimiento como base de legitimación válida: La AEPD anteriormente ponía en duda la suficiencia de esta base de licitud para este tipo de tratamientos, pues se consideraba un tratamiento de alto riesgo que no superaba el requisito de necesidad. Esta nueva interpretación podría sugerir el uso de estos sistemas para control de acceso en entornos no regulados, siempre que se cumplan con ciertas garantías y se supere el test de proporcionalidad.
2. Determinación del contexto y realización de una evaluación de impacto: La AEPD reconoce que el control de accesos mediante biometría es más eficaz que otros métodos, como tarjetas o contraseñas, ya que permite una verificación más fiable de la identidad y evita accesos no autorizados. Además, y considerando que el tratamiento de datos biométricos involucra alto riesgo para los derechos del interesado, siempre que el responsable desee implementar este tipo de sistemas, debe realizar una evaluación de impacto que permita analizar la idoneidad, necesidad y proporcionalidad del tratamiento. En esta línea, la AEPD señala que debe definirse el perímetro y tipo de sistema biométrico a implementar, ya que su uso en instalaciones críticas no es equiparable al de entornos menos sensibles, debido a las diferencias en riesgos y garantías requeridas.
3. Diferencia entre la identificación y la autenticación: La AEPD recalca que el nivel de riesgo también está determinado en el sistema de identificación biométrica que se utiliza. En otras palabras, si existe autentificación o verificación unívoca (1:1), que permite determinar si la persona es quién dice ser, comparando sus datos con una plantilla única vinculada a su identidad, es menos riesgoso que si la identificación es (1: N), es decir, aquella identificación que responde a la pregunta ¿quién eres tú entre todos los posibles? En razón de esto, determina que la primera de ellas genera menores riesgos que la última al realizar un tratamiento más limitado.
4. Proporcionalidad y adopción de medidas técnicas y organizativas acordes: Por último, la AEPD determina que, considerando la finalidad del tratamiento, las medidas de mitigación implementadas son proporcionales y que no existen alternativas igualmente eficaces con respecto a la finalidad perseguida, es decir, la seguridad de las instalaciones de la Guardia Civil. Junto a ello, recalca que el diseño desarrollado es apropiado ya que hay ausencia de almacenamiento centralizado y existe una limitación estricta a la finalidad de autenticación, lo cual reduce el riesgo de tratamientos accidentales o masivos.
¿Qué sucede en Chile respecto a estas materias?
En primer lugar, recordemos que el pasado mayo, se publicó la ley N° 21.734 que modifica el artículo 5 del Decreto Ley 2.460 que regula la Policía de Investigaciones de Chile (“PDI”). En ella se establece que el personal de PDI podrá utilizar dispositivos o medios tecnológicos idóneos, incluyendo el tratamiento de datos biométricos, para verificar la identidad de las personas que ingresen, salen o se trasladan dentro del país, debiendo observarse en todo caso lo dispuesto en la Ley N° 19.628, Sobre Protección de la Vida Privada.
Por otro lado, el pasado 22 de julio se emitió un oficio por parte de la Contraloría General de la República (“Contraloría”) en el que se imparten instrucciones respecto los sistemas de control de asistencia en los servicios y órganos de la administración estatal.
Respecto a éste, la Contraloría recalca la necesidad de modernizar los mecanismos de control de asistencia ya que los sistemas basados en libros físicos o en formato papel, pueden generar múltiples errores u omisiones. De esa forma, determina que actualmente existen herramientas tecnológicas que entregan una certeza y confiabilidad idónea para modernizar el control de asistencia, mencionando entre ellas, aquellas que utilizan sistemas biométricos por medio de huella digital o reconocimiento facial.
Si bien este oficio de la Contraloría, a diferencia de la resolución de la AEPD, entrega lineamientos respecto del control de asistencia, cuestión en que también se ha pronunciado la Dirección del Trabajo para el ámbito privado, nos orienta en la visión que están adoptando las autoridades locales respecto del uso de estos sistemas. Además, pone en evidencia que no se ha procurado realizar una correcta evaluación del impacto asociado a este tipo de tratamiento.
¿Serán lineamientos que prosperarán una vez que comience a operar la Agencia de Protección de Datos Personales en Chile?
Sin duda que esta entidad tendrá un desafío interesante con respecto a la conciliación de la modernización del Estado, los intereses particulares, y la protección de los derechos fundamentales de los titulares.