lopd

Una pregunta que a menudo se hacen nuestros clientes es qué deben hacer en tema de biometría y protección de datos. Casi todos los países tienen, más o menos desarrollada, una política de protección de datos en este sentido. Nos centramos en este artículo en la Ley Orgánica de Protección de Datos (LOPD) de España, por ser una de las más restrictivas a nivel mundial.

La Agencia Española de Protección de Datos (AEPD) ha definido los datos biométricos como:  “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión”, tal y como se desprende de varios de sus informes jurídicos.

En consecuencia, podemos concluir que los rasgos biométricos se consideran datos de carácter personal a todos los efectos legales por lo que su tratamiento se encuentra sometido al cumplimiento de las distintas exigencias de carácter jurídico, técnico, físico y organizativo previstas, principalmente por la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y por su normativa de desarrollo, esto es, por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD (RDLOPD). A ello hay que sumar cierta legislación menor (instrucciones, etc.), informes de la AEPD y algunas resoluciones judiciales.

La LOPD establece una serie de obligaciones y principios de obligado cumplimiento para todas aquellas entidades o empresas, tanto del sector público como privado, que traten datos de carácter personal para el desarrollo de su actividad. A continuación se detallan algunas de los deberes y obligaciones más destacables:

  • Inscribir los ficheros de datos personales en el Registro General de Protección de Datos de la AEPD o bien, tratándose de ficheros de titularidad pública, en el Registro de la Autoridad autonómica competente.
  • Informar a los usuarios afectados en relación con el tratamiento de sus datos personales que se desea llevar a cabo.
  • Solicitar y obtener el consentimiento de los usuarios afectados cuando sea necesario.
  • Facilitar a los usuarios el ejercicio de los derechos de acceso, rectificación, cancelación y oposición (ARCO).
  • Cumplir con el principio de calidad de los datos personales y establecer el denominado “juicio de proporcionalidad”, esto es, determinar en relación con el fin que se pretende alcanzar si la medida en cuestión resulta idónea, necesaria por no existir otra más moderada y guarda el necesario equilibrio por derivarse mayores beneficios.
  • Regular adecuadamente el acceso a los datos biométricos por parte de terceros prestadores de servicios.
  • Implantar las medidas de seguridad exigidas por el RDLOPD, tanto por el responsable del fichero de datos biométricos y, en su caso, por el encargado del tratamiento.

A la vista de todo lo anterior, no cabe duda de que un tratamiento inadecuado puede derivar en una infracción o incumplimiento de la normativa vigente en materia de protección de datos personales, con la consecuente exposición a sanciones dinerarias y el deterioro de la imagen de la entidad. De hecho, las sanciones tipificadas en la LOPD van desde el mero apercibimiento en los casos más leves, hasta multas que pueden alcanzar los 600.000 euros por infracción en los casos más graves, sin olvidar la posible reclamación de daños y perjuicios por parte del sujeto afectado ante la jurisdicción civil.

Por otro lado, en lo que respecta específicamente a las medidas de seguridad a adoptar, a pesar de que estos datos biométricos se han considerado, con carácter general, como “de nivel básico” de conformidad con el RDLOPD, siendo equiparables a una simple dirección o un número de teléfono, siempre es aconsejable tratar estos datos con la máxima cautela y protección posible, ya que en muchos casos el usuario final los percibe como de una alta sensibilidad, precisamente por tratarse de rasgos intrínsecamente ligados a su persona.

Se recomienda consultar el nuevo RGPD que entrará en vigor próximamente, aprobado por el pleno del Parlamento Europeo (PE) y que reemplaza a la obsoleta directiva sobre la misma materia, ratificada en 1995.