El informe jurídico de la Agencia Española de Protección de Datos (AEPD) con número 368/2006 aborda la cuestión de la proporcionalidad del tratamiento de la huella dactilar de alumnos en un colegio para gestionar ausencias y retrasos. La consulta plantea si es conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establecer un sistema de control basado en la obtención de la huella dactilar de los estudiantes.
El informe comienza definiendo los datos biométricos como aquellos aspectos físicos que permiten identificar a una persona de manera única, como las huellas dactilares, el iris del ojo o la voz. Según el artículo 3 a) de la Ley Orgánica de Protección de Datos, cualquier información concerniente a personas físicas identificadas o identificables se considera dato de carácter personal. Por lo tanto, el tratamiento de datos biométricos debe ajustarse a dicha ley.
El artículo 4.1 de la Ley Orgánica establece que solo se pueden recoger y tratar datos de carácter personal si son adecuados, pertinentes y no excesivos en relación con las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. En este caso, se evalúa si el tratamiento de la información biométrica de la huella dactilar es excesivo para controlar la entrada y salida de los alumnos, especialmente considerando que se trata de menores de edad.
El Grupo de Trabajo creado por el artículo 29 de la Directiva 95/46/CE, en su Documento de Trabajo sobre biometría, concluye que la obtención de la huella dactilar para identificar a los alumnos es excesiva y desproporcionada. Según el artículo 6 de la Directiva, los datos personales deben ser recogidos con fines determinados, explícitos y legítimos, y no deben ser excesivos en relación con dichos fines. Además, se debe evaluar la proporcionalidad y legitimidad, teniendo en cuenta los riesgos para los derechos y libertades fundamentales de las personas.
El informe destaca que el uso de datos biométricos debe ser adecuado, pertinente y no excesivo, lo que implica una estricta valoración de la necesidad y proporcionalidad de los datos tratados. Ejemplos de decisiones de autoridades de protección de datos en otros países, como Francia y Portugal, muestran que el uso de huellas dactilares ha sido rechazado en contextos similares debido a su carácter intrusivo.
En consecuencia, la AEPD concluye que es desproporcionado y contrario a la Ley Orgánica 15/1999 utilizar la huella dactilar para controlar el acceso de los alumnos al centro escolar. Se sugiere que dicha finalidad puede conseguirse de manera menos intrusiva, respetando mejor los derechos de los alumnos.