Biometrics under the GDPR: Stay compliant
Los datos biométricos pueden ser sensibles y vulnerables al uso indebido. Leyes como el GDPR nos brindan orientación sobre cómo tratar de manera segura los datos biométricos.
Datos biométricos como una categoría especial
Los datos biométricos son información recopilada a través de tecnologías biométricas como el reconocimiento facial o los escáneres de huellas dactilares.
Existen preocupaciones genuinas sobre la privacidad y la protección de datos. El uso indebido de las características faciales y las huellas dactilares suena considerablemente más ominoso que el uso indebido de un número de teléfono móvil.
El Reglamento General de Protección de Datos contiene un conjunto de normas para la protección de datos personales dentro y fuera de la UE. El RGPD marca los datos biométricos como una categoría particular. Esto significa que, en principio, no se pueden procesar datos biométricos. Sin embargo, el reglamento permite procesar categorías especiales de datos si el procesamiento se encuentra dentro de una de las razones legales para el procesamiento según el RGPD, como el consentimiento explícito o el interés público.
Datos biográficos
Este tipo de información puede ser recopilada y almacenada e incluye el nombre de la persona, lugar de residencia y fecha de nacimiento.
Consentimiento explícito
El procesamiento de datos solo se permite si los sujetos han dado su consentimiento explícito para procesar datos biométricos y si se les ofrece una opción que incluye una alternativa.
Interés público
La protección de la salud pública y la seguridad y la prevención del daño ambiental se consideran intereses imperiosos que van más allá de los intereses comerciales u organizativos.
Vigilancia masiva
Actualmente, hay un aumento en la recolección de datos biométricos. Los datos pueden ser recolectados con fines de vigilancia. A medida que los biométricos se vuelven más populares, ciertos países como EE. UU. y el Reino Unido han comenzado a utilizar herramientas biométricas como vigilancia masiva sobre sus ciudadanos. Se han planteado preguntas legales y éticas sobre la recolección, procesamiento y almacenamiento de datos biométricos como imágenes faciales.
Caso del GDPR
La Autoridad Sueca de Protección de la Privacidad multó a una escuela por tomar la asistencia a través de tecnología de reconocimiento facial. La multa se emitió porque la razón para procesar datos biométricos no se encontraba entre una de las razones permitidas bajo el GDPR.
La escuela obtuvo el consentimiento de los padres para utilizar la tecnología de reconocimiento facial. Sin embargo, la Autoridad consideró que su consentimiento era defectuoso ya que fue ‘forzado’ debido al desequilibrio de poder entre la escuela y los padres. Además, el GDPR establece que si puedes obtener datos a través de medios menos intrusivos, como firmar una página, esto debería ser la opción elegida.
