Tratamientos de Datos Biométricos

Los datos biométricos se definen como aquellos:

“datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”

 

Entre sus características singulares destacan:

  • Son datos producidos por el propio cuerpo, no sobre la persona. No son fácilmente modificables por voluntad del individuo.

  • Se definen como datos personales de categorías especiales, y su tratamiento en general está prohibido debido a los importantes riesgos que representa para los derechos y libertades de las personas físicas.

 

Como regla general no podrán tratarse datos biométricos en el ámbito educativo.

 

Podrían existir circunstancias específicas legitimadoras del tratamiento de tales datos que deben ser estudiadas detenidamente en cada caso.

 

Para analizar si pudieran darse circunstancias específicas que legitimasen un tratamiento de datos biométricos en el ámbito educativo, deberán tenerse en cuenta los siguientes criterios:

  • Identificar claramente la finalidad perseguida (ej: acceso a instalaciones, control horario, etc.).

  • Identificar la base legitimadora de acuerdo con el artículo 6.1. RGPD, así como la circunstancia concreta de las establecidas en el articulo 9.2. RGPD que permitiría exceptuar la prohibición general de tratar datos biométricos.

  • Justificar que el tratamiento es idóneo para responder a la finalidad perseguida y que esta no puede alcanzarse por otros medios menos intrusivos.

  • Evaluar si el tratamiento es proporcionado por derivarse del mismo más beneficios que el perjuicio que supone la pérdida de intimidad.

  • Realizar en todo caso, una evaluación de impacto relativa a datos personales, siendo imprescindible para ello el asesoramiento del DPD.

  • Implantar medidas de seguridad adecuadas a los riesgos identificados.

  • Si el tratamiento se realizase mediante un sistema de IA, evitar el uso de sistemas prohibidos (sistemas de categorización biométrica que clasifiquen individualmente a las personas físicas sobre la base de sus datos biométricos para deducir o inferir su raza, opiniones políticas, afiliación sindical, convicciones religiosas o filosóficas, vida sexual u orientación sexual;) y cumplir con los requisitos y obligaciones de sistemas IA de alto riesgo establecidos en el Reglamento de Inteligencia Artificial.

 

Para el uso concreto de control horario del personal docente mediante datos biométricos puede consultarse el Dictamen 1/2023, de 28 de julio de este Consejo, relativo “al tratamiento de categorías especiales de datos biométricos mediante el uso de dispositivos de reconocimiento facial y/o huella dactilar para el control horario del personal de un Ayuntamiento, de conformidad con la normativa de protección de datos”.