La autoridad de control, como respuesta a la consulta previa presentada por las Fuerzas y Cuerpos de Seguridad del Estado, ha publicado un informe jurídico en el que analiza la adecuación y proporcionalidad del uso de sistemas de autenticación, basados en información biométrica, para controlar los accesos, tanto de trabajadores como de visitantes, a las instalaciones de la Guardia Civil, consideradas esenciales para la seguridad pública (y en las que se puede conservar material clasificado).
La finalidad en la que se fundamenta este sistema es la “identificación y control de personas ajenas, residentes, vehículos que acceden o autorizados a estacionar en el interior”. En este sentido, no nos encontraríamos ante un nuevo tratamiento, sino que la novedad radica en la “implementación de un sistema de biometría para automatizar el acceso de las personas a las zonas y el tiempo definidos en la autorización previa”.
En su informe, la AEPD vuelve a poner de manifiesto que el concepto de dato biométrico (y, por tanto, su consideración como categoría especial cuyo tratamiento se regula en el artículo 9 del RGPD) incluye tanto la identificación (operación 1:N que responde a “una búsqueda activa dentro de un conjunto de identidades preexistentes, lo cual comporta mayores riesgos para los derechos fundamentales”) como la autenticación (operación 1:1 que se “basa en confirmar que una persona es quien dice ser, comparando sus datos biométricos con una plantilla única previamente vinculada a su identidad”).
No obstante, se reconoce en el informe que la autenticación, en función del contexto y las medidas aplicadas, implica un menor riesgo para los derechos de los interesados. En este sentido, se afirma que “No puede obviarse que […] esta distinción entre autenticación e identificación sigue siendo un elemento relevante y distintivo del impacto y riego que se genera y debe protegerse”.
A la vista de lo anterior, se declara por la AEPD que esta distinción entre identificación y autenticación resulta relevante “para determinar la proporcionalidad del tratamiento, la necesidad de realizar una evaluación de impacto y la aplicabilidad de excepciones al tratamiento de datos biométricos”. De este modo, habida cuenta de que no todos los tratamientos de datos tienen el mismo impacto, ni requieren las mismas medidas de seguridad, la identificación suele presentar mayores riesgos por su especial carácter invasivo. Sin embargo, se expone que la autenticación, bien diseñada (y teniendo en cuenta el contexto de la misma), “puede ser en muchos contextos más proporcionada y menos intrusiva”. De hecho, esta diferencia se recoge en diversos textos normativos (como, por ejemplo, el Reglamento sobre IA o la Directiva 2024/2831 en la que, si bien se prohíbe, para determinados fines, la identificación mediante el uso de datos biométricos, se permite la autenticación, siempre que se cumplan determinados requisitos, por cuanto su impacto es diferente).
Así, se concluye por la AEPD lo siguiente:
“aunque desde el plano formal ambos usos pueden estar incluidos en el artículo 9 del RGPD, el impacto real sobre los derechos y la intensidad de las medidas de protección requeridas pueden variar sustancialmente, debiendo valorarse caso por caso en función del contexto, la escala, la tecnología empleada y el control efectivo que conserve el interesado sobre sus datos biométricos.”
Este distinto impacto se traduce también en la diferente intensidad de los requisitos para levantar la prohibición regulada en el citado artículo 9 del RGPD, así como en la necesidad de contar con una base legitimadora adecuada del tratamiento. En este sentido, en el caso objeto del informe (vigilancia y protección de edificios e instalaciones de la Guardia Civil) es posible acudir a la regulación existente citada en el mismo para utilizar este tipo de sistemas biométricos de autenticación. No obstante lo anterior, se expone en el informe que sería más adecuado una acción del legislador para otorgar cobertura legal a este tipo de tratamiento. Así, en dicha legislación se debería regular el contexto específico en el que llevar a cabo este tipo de tratamientos o las garantías concretas aplicables.
En el presente supuesto, se declara por la AEPD que el sistema habilitado por la Guardia Civil supera el juicio de proporcionalidad, por cuanto el mismo es idóneo para la finalidad perseguida (permite verificar con mayor fiabilidad el acceso a las instalaciones); sus desarrollos actuales permiten mostrar que se ha reducido significativamente el impacto sobre los derechos de los afectados (estos sistemas son, cada vez, más seguros y menos intrusivos) y es una medida más eficaz que las alternativas propuestas (el uso de tarjetas, contraseñas o registros manuales son susceptibles de “pérdida, cesión o manipulación”, por lo que la biometría incrementa la eficacia del control de accesos).
Puede acceder al informe de la autoridad de control aquí.
