Los datos biométricos integran una categoría especial de datos personales a la luz del RGPD, siendo definidos como los datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o comportamentales de una persona física que permitan o confirmen su identificación única.
Conviene entender que estamos ante características intrínsecamente ligadas a la identidad de cada individuo (como huellas dactilares, reconocimiento facial o datos del iris), cuyo uso se ha generalizado en múltiples contextos de la vida cotidiana, desde sistemas de control de accesos y seguridad hasta mecanismos de autenticación en dispositivos electrónicos, como ordenadores y smartphones. Su atractivo reside precisamente en la mayor fiabilidad que ofrecen para la identificación de una persona física.
Es, sin embargo, esa misma fiabilidad la que justifica un nivel de protección reforzado.
El crecimiento del uso de datos biométricos por parte de entidades privadas, a menudo integrado en modelos de negocio innovadores o tecnológicamente intensivos, ha suscitado cuestiones críticas en materia de privacidad, proporcionalidad y seguridad del tratamiento.
Un caso, ampliamente divulgado en la prensa en 2024, ilustró de forma paradigmática estos riesgos: una entidad del sector financiero procedía a la lectura del iris a cambio de criptomonedas. La Comisión Nacional de Protección de Datos (“CNPD”) suspendió, en marzo de 2024, la recogida de estos datos en territorio nacional, con el fin de salvaguardar el derecho fundamental a la protección de datos personales, en particular de menores, y ante la necesidad de esclarecer, entre otros aspectos, la existencia de un consentimiento explícito, informado, específico y libre por parte de los titulares de los datos; la finalidad del tratamiento; el período de conservación de los datos; la información facilitada a los titulares sobre sus derechos y la forma de ejercerlos; así como una eventual transferencia no autorizada de datos a terceros.
En efecto, bajo la lente del RGPD, se trata de una categoría de datos cuya protección se pretende robusta, razón por la cual el tratamiento de datos biométricos exige el cumplimiento de una serie de requisitos, incluyendo la necesidad de que el responsable del tratamiento (i) obtenga el consentimiento explícito de los titulares de los datos, (ii) garantice la seguridad de los datos mediante medidas técnicas y organizativas adecuadas, y (iii) respete los principios de minimización de datos y (iv) la finalidad para la cual fueron obtenidos o recogidos.
En plena era digital, es innegable la importancia de la protección de los datos personales, especialmente porque se han convertido en un recurso presente en muchas de nuestras actividades cotidianas.
Es importante destacar que el cumplimiento de las leyes y reglamentos de protección de datos (mecanismos de compliance) no solo protege los derechos de los individuos, sino que también refuerza la confianza en las entidades que tratan estos datos.
En última instancia, la protección eficaz de los datos biométricos requiere un enfoque holístico que combine tecnología, cumplimiento legal y buenas prácticas de gobernanza, garantizando que la innovación digital no se produzca a costa de la privacidad y la seguridad de los datos personales.
Nuestros Clientes son cada vez más conscientes de la relevancia de la protección de datos personales, apostando por la información clara y transparente que ponen a disposición de los usuarios en sus plataformas digitales (páginas web), así como por el cumplimiento en la obtención del consentimiento informado y la formalización de los necesarios acuerdos de subcontratación.
Belzuz Abogados, S.L.P. cuenta con abogados con amplia experiencia en el ámbito del Derecho de Protección de Datos, Derecho Digital y Regulatorio, que pueden prestar asesoramiento jurídico en esta materia.