A finales de noviembre, la AEPD publicó una guía para tratar los datos biométricos correctamente en controles de presencia. Emplear estos sistemas, como el reconocimiento de iris, los considera de alto riesgo y están prohibidos para la autenticación o identificación de personas. Ante esta posición, no deja de sorprender que surjan ciertas iniciativas, que, como mínimo, nos deben hacer dudar. En Gesprodat, queremos informarte sobre este tipo de prácticas.
¿Qué limitaciones existen para tratar datos biométricos?
A nivel general, el RGPD prohíbe su uso como sistema de control de accesos o para fichar en el trabajo. Si se quiere utilizar los datos biométricos con seguridad, debe existir una circunstancia, contemplada por la ley, que levante dicha prohibición y una condición que lo legitime. En España, esa ley aún no existe, por lo que prevalece la prohibición.
Por otro lado, la AEPD señala que el consentimiento no es suficiente para legitimar el tratamiento de estos datos. Este ha de ser libre, específico, informado y unívoco. Previamente a su formalización, se debe notificar a las personas sobre quién lo efectuará y con qué fin, el nombre del delegado de protección de datos y la base jurídica por la que se recaban. Otros pormenores son:
- El periodo de tiempo por el que se conservarán.
- Si se efectuará una cesión de datos a terceros o fuera de la Unión Europea.
- Cómo puede ejercer el ciudadano sus derechos de acceso, supresión o rectificación.
- Información relativa sobre la forma en la que presentar una reclamación ante la autoridad de control de protección de datos.
- La información ha de procurarse de manera clara y concisa.
¿Es buena idea permitir el reconocimiento de iris a cambio de dinero?
La Autoridad Catalana de Protección de Datos ha emitido un comunicado recientemente donde advertía a la ciudadanía de los peligros de proporcionar el dato biométrico de su iris a cambio de criptomonedas. Esta información está considerada como especialmente sensible, por lo que te recomendamos consultar con una asesoría en protección de datos antes de recabarlo. Al parecer, varios establecimientos comerciales de Cataluña proponen el escaneo del iris a cambio de estas monedas virtuales.
Por su parte, la Unión Europea está investigando si se ajusta al RGPD y se cumplen todos los requisitos que esta ley establece para su almacenamiento.
La AEPD prohíbe a Worldcoin seguir recopilando datos del iris en España
La Agencia Española de Protección de Datos (AEPD) ha ordenado a Tools of Humanity, reconocida por su proyecto Worldcoin, suspender temporalmente sus operaciones en España. A partir del 7 de marzo y por un período de tres meses, la empresa tiene prohibido continuar con la recolección de datos personales mediante el escaneo de iris de los ciudadanos españoles.
Asimismo, se le exige que bloquee toda la información personal ya obtenida, impidiendo su utilización en cualquier contexto. Esta medida también impactará en las criptomonedas de Worldcoin que los usuarios tengan en la aplicación, ya que no podrán verificarse perfiles ni retirar fondos debido a la imposibilidad de acceder a la información personal, según lo indicado por la autoridad correspondiente.
¿Qué riesgos conlleva esta práctica?
En primer lugar, la autoridad competente puede multar a estos establecimientos por recabar un dato personal sensible sin cumplir con los condicionantes legales. Ante la duda, asesórate siempre en una consultoría de protección de datos. En cuanto al ciudadano que accede a proporcionarlo, corre un riesgo de suplantación de identidad, favorece la ciberdelincuencia y el ciberacoso.
Tal vez, exista un déficit didáctico en la ciudadanía sobre los peligros que conlleva tratar datos biométricos y que se preste a ellos sin una profunda reflexión. No solo son datos muy sensibles, sino de consecuencias devastadoras si caen en malas manos. Tenlo en cuenta.
