Durante el último pleno celebrado, el EDPB ha publicado su informe nº 11/2024 sobre el uso de tecnologías de reconocimiento facial por parte de operadores y compañías aéreas para controlar y agilizar el flujo de pasajeros en los aeropuertos (en concreto, durante los controles de seguridad, la entrega de equipajes, el embarque y el acceso a la sala de pasajeros). En este sentido, es importante proceder al análisis de esta tecnología, por cuanto, como afirma el presidente del organismo europeo, los datos biométricos son datos de categorías especiales (debiendo los responsables realizar una evaluación de impacto previa al tratamiento), pudiendo su tratamiento crear riesgos significativos (ello es así debido a que esta tecnología puede conducir a falsos negativos o a discriminación de terceros e, incluso, si se usa de manera incorrecta, a suplantaciones de identidad).
Habida cuenta de lo anterior, el EDPB recomienda elegir formas menos intrusivas de controlar y agilizar estos flujos de pasajeros, siempre que ello sea posible, debiendo los titulares de los datos biométricos tener el máximo control sobre estos.
Así, en el dictamen (que no incluye un análisis exhaustivo del cumplimiento del RGPD por cada tratamiento) el organismo europeo analiza si el tratamiento resulta compatible con los distintos principios regulados en el RGPD, así como con la protección de datos desde el diseño y por defecto. Adicionalmente, se indica en el informe que, a nivel europeo, no hay ninguna obligación legal que exija a estos responsables que verifiquen que el nombre en la tarjeta de embarque coincida con el del DNI (pudiendo estar sujeto a la legislación nacional). Habida cuenta de ello, “cuando no se requiera la verificación de la identidad de los pasajeros con un documento de identidad oficial, no debe realizarse dicha verificación con el uso de datos biométricos”, ya que sería un tratamiento excesivo de datos.
Asimismo, respecto a los sistemas de almacenamiento y conservación de datos (siendo esto en lo que se centra el informe, analizándose cuatro escenarios específicos), se indica que únicamente sería compatible con los principios citados aquellas soluciones que impliquen que los datos biométricos se conservan localmente por el propio titular en su dispositivo personal o en una base de datos central dentro del aeropuerto, bajo el control del gestor aeroportuario, de forma cifrada, pero “con la clave de cifrado únicamente en sus manos”, siempre que se apliquen medidas de seguridad adecuadas. En cualquier otro supuesto (conservación de las plantillas biométricas sin claves únicas o sin estar cifradas, etc.), dicho sistema no será compatible con los principios recogidos en el RGPD.
Puede acceder al documento elaborado por el organismo europeo aquí.