CEPD: Directrices 05/2022 sobre el uso de técnicas de reconocimiento facial


Manuel Castilleja Toscano     20/05/2022

Datos biométricos siempre de categoría especial

En 2020 la AEPD a través de su informe jurídico 0036/2020, tras analizar los artículos 4.14 y 9.1 del GDPR (referido y con referencia respectivamente a datos biométricos), y el dictamen 3/2012 del Grupo de Trabajo del Artículo 29 (GT29), ahora Comité Europeo de Protección de Datos (CEPD/EDPB), sobre la evolución de las tecnologías biométricas, consideraba que con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica, es decir saber quién es la persona en cuestión (comparando sus datos biométricos con otros que existen en la base de datos, uno-a-varios) y no en el caso de verificación o autenticación biométrica, comprobar que la persona en cuestión es quien dice ser (comparando sus datos biométricos, con sus propios datos biométricos existentes en la base de datos, uno-a-uno).

Por el contrario la Autoridad Catalana de Protección de Datos (APDCAT), ese mismo año, en su dictamen CNS 21/2020, tras llevar a cabo el análisis de los mismos preceptos del GDPR (4.14 y 9.1) y del mismo dictamen del GT29 (3/2012), y basándose también en otros informes y deliberaciones de otras autoridades de control europeas (CNIL francesa, Garante italiana, e ICO británica), concluye que, de la distinción entre identificación y autenticación biométrica, hecha en un momento, 2012, en que ni unos ni otros datos biométricos tenían la consideración de categoría especial (a partir de la entrada en vigor del GDPR en 2016), no se puede desprender que sólo sean categoría especial de datos los que tienen como objetivo identificar a partir de la correspondencia uno a varios, es decir saber quién es la persona en cuestión, dado que esto se opone claramente a la definición de datos biométricos contenida en el artículo 4.14 del GDPR. Es decir, que los datos biométricos utilizados para autenticar o verificar la identidad de una persona, es decir para comprobar que esa persona es quien dice ser, sí son datos de categoría especial.

El 16/05/2022, el CEPD publicó las "Directrices 05/2022 sobre el uso de técnicas de reconocimiento facial en el ámbito de aplicación de la ley" en las que establece que los datos biométricos siempre serán datos de categoría especial, siguiendo así el mismo criterio que la APDCAT, CNIL, ICO e Il Garante.

El CEPD pese a distinguir en el punto 10 de las directrices (página 7) igualmente dos supuestos en las técnicas biométricas:

Autenticación, con el fin de verificar que una persona es quien dice ser. En este caso, el sistema comparará una plantilla o muestra biométrica pregrabada, como la de una persona que se presente en un puesto de control, para verificar si se trata de una y la misma persona. Por lo tanto, esta funcionalidad se basa en la comparación de dos plantillas, uno a uno.

Identificación, dirigida a encontrar a una persona entre un grupo de individuos, en un área específica, una imagen o una base de datos. En este caso, el sistema debe realizar una prueba en la muestra biométrica capturada para generar una plantilla biométrica y comprobar si coincide con una persona conocida por el sistema. Por lo tanto, esta funcionalidad se basa en comparar una plantilla con una base de datos de plantillas o muestras, uno a varios.

Y en el punto 12 de las directrices (página 8) establece:

Si bien ambas funciones (autenticación e identificación) son distintas, ambas se relacionan con el tratamiento de datos biométricos relacionados con una persona física identificada o identificable y, por lo tanto, constituyen un tratamiento de datos personales y, más específicamente, un tratamiento de categorías especiales de datos personales.