Por: Carlos Galán, Doctor en Informática y Abogado especialista en Derecho de las TIC. Asesor de Addalia
El pasado mes de julio la AEPD hizo público un Informe Jurídico en el que matizaba y precisaba el uso de procedimientos biométricos, en relación con mecanismos que involucren reconocimiento facial, sobre un supuesto presentado en el que se alegaba deber de cumplimiento de la legislación en materia de Prevención del Blanqueo de Capitales y Financiación del Terrorismo (singularmente, la Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo (LPBCFT, en adelante), su Reglamento de desarrollo, operado por Real Decreto 304/2014, de 5 de mayo y, por extensión, la normativa emanada del Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias (SEPBLAC), en relación con la verificación de la identidad de personas físicas usando los denominados mecanismos de telepersonación.
En base al antedicho Informe Jurídico, diversas fuentes han publicado noticias que, en algún caso, han podido llevar la confusión a sus destinatarios, dando a entender que tales procedimientos, incluyendo los regulados por el SEPBLAC, no son válidos para los propósitos y finalidades para los que se desarrollaron.
Nada más lejos de la realidad, y para tratar de aclarar la cuestión, estos breves párrafos explicativos.
La utilización de los denominados procedimientos de telepersonación, cuando se corresponden con las finalidades genéricamente descritas en la LPBCFT y su normativa de desarrollo o derivada, tienen por objeto asegurar que la persona que interactúa con el sujeto obligado -entidades financieras y resto de sujetos comprendidos en el ámbito de aplicación de la citada Ley- es quien dice ser, por comparación de sus rasgos biométricos, tomados en tiempo real, con los consignados en los documentos de identificación admitidos en Derecho (singularmente, el DNI) y que el interactuante exhibe en el propio proceso.
No se trata pues de una identificación para determinar la identidad de un sujeto frente a una multiplicidad de ellos, sino, por el contrario, confirmar (o no) la identidad de la persona que exhibe su documentación de identidad y afirma ser tal.
Naturalmente, en ambos casos, “Identificación” y “Verificación/autenticación”, se están tratando datos personales, por lo que resultan de aplicación las cautelas previstas en la normativa de protección de datos (RGPD y Ley Orgánica 3/2018, de 5 de diciembre),
El propio Informe de la AEPD deja claro este extremo cuando señala la diferencia entre “Identificación biométrica” (la identificación de un individuo por un sistema biométrico es normalmente el proceso de comparar sus datos biométricos (adquiridos en el momento de la identificación) con una serie de plantillas biométricas almacenadas en una base de datos (es decir, un proceso de búsqueda de correspondencias uno-a-varios), de la “Verificación/autenticación biométrica” (la verificación de un individuo por un sistema biométrico es normalmente el proceso de comparación entre sus datos biométricos (adquiridos en el momento de la verificación) con una única plantilla biométrica almacenada en un dispositivo (es decir, un proceso de búsqueda de correspondencias uno-a-uno).
Sigue el Informe de la AEPD, añadiendo (el subrayado es nuestro): “Atendiendo a la citada distinción, puede interpretarse que, de acuerdo con el artículo 4 del RGPD, el concepto de dato biométrico incluiría ambos supuestos, tanto la identificación como la verificación/autenticación. Sin embargo, y con carácter general, los datos biométricos únicamente tendrán la consideración de categoría especial de datos en los supuestos en que se sometan a tratamiento técnico dirigido a la identificación biométrica (uno-a-varios) y no en el caso de verificación/autenticación biométrica (uno-a-uno).”
En resumen: en ambos casos, “Identificación” y “Verificación/autenticación”, se están tratando datos personales, por lo que resultan de aplicación las cautelas previstas en la normativa de protección de datos (RGPD y Ley Orgánica 3/2018, de 5 de diciembre), pero solo en el primero de ellos (“Identificación” uno-a-varios) los datos personales tratados pueden considerarse categoría especial de datos, por lo que, en el segundo caso (“verificación/autenticación” uno-a-uno) siempre es posible dicho tratamiento si se dispone de la correspondiente base legitimadora y se respetan los principios generales de protección datos (licitud, transparencia y lealtad, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad).
Naturalmente, como recuerda la AEPD, siempre existen procedimientos alternativos al uso de datos biométricos para la identificación personal, entre ellos, el uso de certificados digitales -con especial mención a los expedidos por los Prestadores de Servicios de Confianza cualificados, con el DNI electrónico a la cabeza-, mecanismos que ofrecen, ex lege, las máximas garantías jurídicas.
