Datos biométricos
Home » Biometría » Exposición y pautas paso a paso » Definiciones » Datos biométricos

El término “datos biométricos” se define en el artículo 4.14 del RGPD. En consecuencia, los datos biométricos son “datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física, que permiten o confirman la identificación única de dicha persona física”. La definición sugiere que para que los datos personales se consideren “biométricos” deben cumplir cuatro criterios[1].

En primer lugar, tienen que ser “datos personales”, definidos en el artículo 4.1 del RGPD como “información relativa a una persona física identificada o identificable”. En segundo lugar, requieren un “tratamiento técnico específico” para extraer la información de la fuente de datos en bruto (por ejemplo, extraer los rasgos faciales de una fotografía para medirlos). El considerando 51 del RGPD establece que “el tratamiento de fotografías no debe considerarse sistemáticamente como tratamiento de categorías especiales de datos personales, ya que sólo se incluyen en la definición de datos biométricos cuando se tratan a través de un medio técnico específico que permite la identificación o autenticación única de una persona física”. Así pues, los datos biométricos que no sean objeto de un “tratamiento técnico específico” no son datos biométricos en el contexto del RGPD[2]. Sin embargo, incluso cuando los datos no son datos biométricos en una fase determinada, pueden formar parte de un tratamiento de datos que los convierta en datos biométricos en una fase posterior. Por ejemplo, una base de datos puede albergar imágenes que se utilizarán para llevar a cabo la identificación biométrica mediante un tratamiento técnico específico en una fase posterior (por lo que todavía no son datos biométricos). Imagínese un escenario en el que dicha base de datos esté directamente vinculada al sistema que realiza la identificación biométrica (véase también la sección “Sistema biométrico”). En este caso, las partes no autorizadas podrían explotar este enlace para acceder a los datos biométricos. Por ejemplo, podrían exfiltrar las imágenes (no biométricas) alojadas en la base de datos y, tras haber violado el sistema que realiza la identificación biométrica, podrían pasar la imagen por él y realizar la identificación biométrica, obteniendo así acceso a los datos biométricos. En este escenario, una seguridad débil garantiza que partes externas puedan obtener los datos biométricos, incluso si estos datos biométricos aún no existen. Los responsables del tratamiento de datos deben abordar esta cuestión desde la perspectiva de la gestión de riesgos. Si no pueden garantizar una mitigación adecuada de los riesgos para los datos no biométricos (es decir, los riesgos de explotación), estos conjuntos de datos deberían considerarse biométricos y estar sujetos a todos los requisitos legales, aunque no cumplan -por sí mismos- los criterios para ser considerados datos biométricos.

Escenario de datos biométricos 1

Escenario de datos biométricos 2

El tercer criterio se refiere a las características de los interesados que se captan mediante el tratamiento técnico específico mencionado anteriormente. Estas características pueden ser “físicas”, “fisiológicas” o “de comportamiento”, y son diferentes de las cualidades accidentales como la dirección del interesado, su ubicación en un momento dado, los datos de empleo, etc. El cuarto y último criterio establece que para que los datos personales se consideren biométricos deben permitir o confirmar la identificación única de una persona física. De hecho, los datos biométricos no identifican necesariamente de forma única a las personas en sí. Por ejemplo, los datos biométricos podrían utilizarse para distinguir entre humanos y animales, o entre hombres y mujeres[3]. Sin embargo, a diferencia de otros identificadores como los nombres o los códigos de identificación, el tratamiento de los datos biométricos no devuelve una identificación clara. Más bien permite la identificación de individuos con un cierto grado de probabilidad. Según una opinión establecida, los datos deben considerarse biométricos “incluso si los patrones utilizados en la práctica para medirlos técnicamente implican un cierto grado de probabilidad”[4].

 

 

  1. Sobre el análisis de la definición prevista en el RGPD, véase C. Jasserand, ‘Legal Nature of Biometric Data: From “Generic” Personal Data to Sensitive Data’, European Data Protection Law Review 2, no. 3 (2016): 297–311, https://doi.org/10.21552/EDPL/2016/3/6.
  2. Los académicos debaten si esto debería aplicarse también a los procesos técnicos que son un requisito previo para la identificación, como el mero almacenamiento en bases de datos. Véase, por ejemplo,Kindt, Having yes, using no? About the new legal regime for biometric data, Computer Law and Security Review, 34, 2018, pp. 523-538. Para un análisis de las cuestiones en torno al formato distinto de las fotografías, véase Andras Nautschet al., Preservingprivacy in speaker and speechcharacterization, ComputerSpeech&Language, 58, 2018, p. 445.
  3. Véase, porejemplo‘14 Misunderstandings with Regard to Identification and Authentication’ (Agenciaespanolaprotecciondatos, European Data Protection Supervisor, June 2020), 3.
  4. Grupo de Trabajo del Artículo 29, ‘Opinion 4/2007 onthe Concept of Personal Data’, 2007, 8.Véase también Article 29 Data Protection Working Party, ‘Opinion 3/2012 on Developments in Biometric Technologies’, 2012, 6.

 

Ir al contenido