datos biométricos

This post is also available in: English

Actualmente ya no nos sorprende que las tecnologías permitan localizar y seguir con exactitud los pasos que damos, nuestra ubicación o las actividades a las que nos hemos dedicado en nuestro día a día. Gestos tan cotidianos como entrar en la oficina, pasar por un control de entrada en el transporte público o la mera utilización de los numerosos aparatos portátiles que llevamos encima permiten dicha localización. De hecho, la proliferación de medios conectados, sumada a la creciente sofisticación y reducción de costes para obtener dicha información, han planteado la necesidad de definir los límites de uso de unas tecnologías tan invasivas como peligrosas para nuestra intimidad.

En este sentido, si bien no parece existir discusión respecto de la necesidad de establecer unos límites a esta tecnología de localización, la cuestión se vuelve particularmente difícil cuando nos referimos a usos tendentes a prevenir infracciones legales o a permitir dar aviso respecto a peligros inminentes. En otras palabras, el avance en las tecnologías de seguimiento de las personas ha llegado a plantear cómo deberían utilizarse dichas tecnologías respecto a personas que deban estar alejadas de otras personas o de determinados establecimientos, asegurando idealmente un equilibrio entre la prevención de dichas infracciones o riesgos y la necesaria salvaguarda de los derechos de las personas objeto de dicho seguimiento.  

Esta cuestión se planteó en el Auto núm. 72/2021 de 15 de febrero de la sección penal de la Audiencia Provincial de Barcelona. En dicha decisión se estableció la imposibilidad de utilizar sistemas de captación de datos biométricos con el objetivo de detectar personas que, por resolución judicial, tenían prohibido el acceso a los establecimientos de una famosa cadena de supermercados. En particular, la Audiencia concluyó que no se cumplían las excepciones previstas en el art. 9.2 del Reglamento General de Protección de Datos (“RGPD”) para el tratamiento de categorías de datos especiales y que, en este caso, los intereses privados de la mercantil no debían prevalecer sobre el interés general de los interesados. Seguidamente se incluye un resumen de dicha resolución.

Antecedentes:

En el marco de un proceso penal por la comisión de un delito de robo con violencia en un establecimiento de la cadena de la denunciante, un Juzgado de lo Penal de Barcelona impuso a los dos autores la prohibición de acceso al establecimiento durante un período de dos años, entre otras penas.  

Con el objetivo de asegurar el cumplimiento de esta pena, la mercantil solicitó al Juzgado autorización para utilizar medios electrónicos de reconocimiento facial para detectar la entrada de los penados al establecimiento e impedir así su entrada. Concretamente, el sistema en cuestión capta los rostros de todos los clientes que acceden al establecimiento y, en un período de 0,3 segundos, identifica a aquellas personas cuya entrada al establecimiento está prohibida.

En su escrito, la denunciante argumenta la imposibilidad de garantizar el cumplimiento de la condena a través de medios tradicionales (esto es, identificación por parte de los empleados de la mercantil) y justifica su solicitud en virtud del interés público y su interés legítimo para asegurar el cumplimiento de las resoluciones judiciales en las que es perjudicada.

Inicialmente, el Juzgado de lo Penal nº 24 de Barcelona denegó esta autorización.

Recurso de apelación:

La mercantil interpuso recurso de apelación contra la resolución de denegación de la medida solicitada aduciendo los siguientes argumentos:

  • El hecho de que el RGPD disponga que los “datos biométricos dirigidos a identificar de manera unívoca a una persona física” constituyen categorías de datos especiales no excluye su uso, siempre que se adopten las medidas de seguridad pertinentes.
  • En este caso, la medida de seguridad solicitada no vulnera la protección de datos personales. Aunque se traten datos biométricos de todos los clientes, el sistema detecta instantáneamente aquellos individuos que han sido condenados a la prohibición de acceso al establecimiento y, de esta manera, no se guardan en el sistema datos biométricos de personas no condenadas penalmente.
  • En el marco del RGPD, la finalidad del legislador no es únicamente la protección de los datos personales, sino también la libre circulación de los datos de acuerdo con el progreso tecnológico.
  • La medida es idónea, necesaria y proporcional: (i) es eficaz, dado que consigue identificar a aquellos individuos que tienen prohibido el acceso a los establecimientos por resolución judicial; (ii) es la única medida que afronta y soluciona el problema, dado que las anteriores medidas no han resultado del todo eficaces; y (iii) es proporcional porque aporta más beneficios para el interés público que perjuicios para el individuo afectado, ya que no hay un tratamiento de datos biométricos de los sujetos en términos generales.

Resolución de la Audiencia Provincial de Barcelona:

La Audiencia Provincial de Barcelona rechazó estos argumentos y confirmó la resolución del Juzgado de lo Penal de Barcelona, manteniendo así la denegación de la medida solicitada por los siguientes motivos:

a) La medida implica el tratamiento de datos biométricos:

En el presente supuesto, el tribunal confirma que el uso de tecnologías de reconocimiento facial en sistemas de videovigilancia utilizados en el ámbito de la seguridad privada implica el tratamiento de un dato biométrico dirigido a identificar de manera unívoca a una persona física.

En este sentido, el tribunal cita el informe 36/2020 de la Agencia Española de Protección de Datos (“AEPD”), donde se establece que, con carácter general, y reconociendo que se trata de una cuestión compleja sujeta a interpretación, “los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno)”. A modo de resumen:

  • La “identificación biométrica” se produce cuando se compara la imagen facial de una persona con muchas otras plantillas almacenadas en una base de datos.
  • La “verificación/autenticación” se da cuando se buscan identidades entre dos plantillas concretas, es decir, se comparan plantillas biométricas que, en principio, corresponden a la misma persona.

En el presente supuesto, el tribunal confirma que estamos ante una identificación en los términos previamente expuestos, y no ante una mera autenticación. De esta manera, este tratamiento se encuentra, en principio, prohibido en virtud del art. 9.1 RGPD y solamente será lícito cuando concurra alguna de las circunstancias previstas en el art. 9.2 RGPD.

b) El tratamiento de datos no cuenta con base legitimadora:

En las circunstancias analizadas, el tribunal entiende que el tratamiento de datos no se encuentra legitimado:

  • Por el momento, la denunciante no está recabando el consentimiento expreso de los interesados para el tratamiento de sus datos biométricos ni tampoco para almacenar imágenes de sus rostros en una base de datos a estos efectos. Además, teniendo en cuenta la diferente capacidad negocial existente entre la mercantil y los clientes, se pone en duda que pueda haber un consentimiento en estas circunstancias.
  • Dado que no se obtiene el consentimiento expreso de los interesados, es necesario que el tratamiento cuente con otra legitimación suficientemente fuerte que lo justifique. Sin embargo, en oposición a lo alegado por la denunciante, el tribunal rechaza la existencia de un “interés público”, dado que la medida que trata de implantar la mercantil está más bien dirigida a la protección de sus intereses privados, como garantizar la seguridad de sus instalaciones.
  • Asimismo, citando a la AEPD, el tribunal manifiesta que, para tratar categorías especiales de datos, la normativa exige que exista un “interés público esencial” recogido en una norma con rango de ley que actualmente no existe en nuestro ordenamiento jurídico. Así, el marco normativo actual es insuficiente para regular este tipo de tratamientos y resulta necesaria la aprobación de una norma que determine cuándo concurre este interés público esencial y regule los requisitos de licitud de los tratamientos de datos biométricos.

En virtud de todo lo expuesto, el tribunal finalmente desestimó el recurso de apelación interpuesto y denegó el tratamiento de datos biométricos en los términos solicitados. La medida no resulta proporcional, necesaria ni idónea y su aplicación vulneraría los derechos y libertades no solo de los condenados particulares, sino del resto de clientes del supermercado.

Autores: Ainhoa Rey y Albert Agustinoy

This post is also available in: English

Autores:

Socio

118 artículos



albert.agustinoy@cuatrecasas.com

Asociada

30 artículos



ainhoa.rey@cuatrecasas.com