Considerando el reciente nombramiento de D. Lorenzo Cotino como presidente de la Agencia Española de Protección de Datos, resulta interesante revisar cuál ha sido su postura sobre la regulación del tratamiento de los datos biométricos para la implementación de sistemas de identificación en distintos artículos publicados recientemente. Se hace constar que estas publicaciones fueron realizadas con anterioridad a la elaboración de la Guía de la AEPD sobre el control de presencia mediante sistemas biométricos.
Así, el Sr. Cotino publicó el artículo titulado “Sistemas de inteligencia artificial con reconocimiento facial y datos biométricos. Mejor regular bien que prohibir mal”, al que puede acceder aquí, en el que concluye que, si bien los sistemas de reconocimiento biométrico (mediante el uso de herramientas de inteligencia artificial) presentan notables ventajas, también tienen riesgos significativos que pueden afectar a los derechos fundamentales de los ciudadanos, por lo que se requiere un debate social que permita alcanzar una regulación que garantice la correcta protección de estos derechos, ya que su prohibición total no debe ser la solución (así se indica por el autor que “el uso de estas tecnologías impacta severamente en el ser humano y la sociedad democrática y afecta a los derechos”).
No obstante, existe una notable complejidad a la hora de abordar la regulación de estos sistemas, por cuanto existen preocupaciones no sólo legales, sino también éticas relacionadas con el uso de estas tecnologías, ya que, como se ha indicado, su uso puede afectar a derechos fundamentales como la dignidad humana, la privacidad o la protección de datos (en este sentido, afirma el autor que “los derechos vinculados a la privacidad, intimidad y protección de datos quedan especialmente atraídos y afectados cuando se utilizan los sistemas biométricos”).
Así, debido a que la tecnología que implementan estos sistemas, así como sus finalidades, puede ser muy variable, “la respuesta jurídica también ha de serlo y de poco o nada vale abordar jurídicamente el tema en términos binarios”.
En este artículo, si bien se afirma que “el tratamiento para la identificación de datos biométricos queda sometido al régimen general de protección de datos y con las singulares garantías de los datos especialmente protegidos”, habida cuenta de que no se analiza la citada guía de la autoridad de control, se indica que “pese a que estos sistemas biométricos inteligentes ciertamente generen escalofríos, lo cierto es que el Derecho actual los regula con menos cautelas y garantías. Cuando no tienen la finalidad de identificación, los datos biométricos no son especialmente protegidos bajo el artículo 9 RGPD.”
No obstante, en relación con esta cuestión, sí se hace una referencia al cambio de opinión emitido por el CEPD. En este sentido, el Sr. Cotino afirma lo siguiente:
- “Estos datos personales biométricos solo se consideran bajo el régimen de los datos especialmente protegidos (art. 9 RGPD) cuando son destinados a la identificación. Y en principio, sólo cuando se trata de la identificación uno a varios (p. ej.: contrastar el patrón de mi cara con una lista de personas buscadas).
- La identificación uno a uno (p. ej.: contrastar el patrón de mi cara para desbloquear mi teléfono móvil sin compartir esa información con nadie) hasta mayo de 2022 no se consideraba bajo el régimen de datos especialmente protegidos. Sin embargo, el CEPD parece que ha cambiado de opinión y habrá que ver sus consecuencias (CEPD, 2022). Como señalaba Santiesteban (2021: 511), la distinción “no se sostiene”.
A pesar de esta referencia, no se entra a analizar el cambio de criterio en mayor profundidad, indicando el Sr. Cotino que “habrá que ver sus consecuencias”.
Asimismo, el autor ha publicado el artículo titulado “Reconocimiento facial automatizado y sistemas de identificación biométrica bajo la regulación superpuesta de inteligencia artificial y protección de datos”, al que puede acceder aquí, en el que se destaca, en un sentido similar al anterior, que los sistemas de identificación biométrica presentan un salto cualitativo en la tecnología, planteando serios desafíos para los derechos fundamentales y la privacidad de las personas. De este modo, dichos sistemas, aunque útiles en ciertos contextos, deben ser regulados con estrictas garantías legales para evitar abusos y proteger los derechos de los ciudadanos, siendo la regulación actual insuficiente, lo que puede llevar a un uso desproporcionado y a la violación de derechos fundamentales.
En relación con el tratamiento de estos datos biométricos con las finalidades de identificación o autenticación, se afirma en el artículo que “tradicionalmente no se ha considerado como tratamiento de datos sensibles bajo el especial régimen del artículo 9 RGPD la “verificación” o “autenticación” biométrica “uno a uno””. De este modo, “se ha venido interpretando como que el uso de datos biométricos sólo quedaba bajo el régimen de datos especialmente protegidos en las identificaciones uno a varios y no las identificaciones uno a uno”. No obstante, el Sr. Cotino vuelve a manifestar, sin realizar un análisis profundo, lo siguiente:
- “Ahora bien, en mayo 2022 el CEPD (2022, nº 11-12, 7) parece haber variado su tradicional posición. Después de distinguir autentificación-verificación de la identificación, afirma que ambos casos “constituyen un tratamiento de datos personales, y más concretamente un tratamiento de categorías especiales de datos personales.” Como señalaba Santiesteban (2021: 511), la distinción “no se sostiene”. No obstante, ciertamente es un cambio bastante drástico que habrá que digerir y proyectar, además de la necesidad de su posible ratificación judicial o en su caso, regulatoria.”
Adicionalmente, se recomienda la implementación de medidas técnicas y organizativas que permitan mitigar los riesgos que presentan estos sistemas, incluyendo evaluaciones de impacto, la supervisión humana de los sistemas automatizados o la aplicación de los estándares de responsabilidad proactiva. El autor pone de manifiesto, asimismo, la importancia de garantizar la transparencia y la información con la finalidad de lograr la protección y el respeto de los derechos fundamentales.
De este modo, el nuevo presidente de la AEPD defiende un enfoque equilibrado que permita el uso de estos sistemas de identificación, pero siempre bajo un marco legal que aporte garantías efectivas para proteger los derechos fundamentales, debiendo ser su regulación clara y precisa de forma que se eviten abusos por parte de terceros, garantizando que la tecnología se utiliza de manera ética y responsable.
Asimismo, se recomienda el acceso a los siguientes blogs en los que el nuevo presidente de la AEPD escribe regularmente:
