El informe jurídico de la Agencia Española de Protección de Datos (AEPD) analiza la legalidad del tratamiento de datos biométricos, específicamente datos de reconocimiento facial, en el contexto de la prevención del blanqueo de capitales y la financiación del terrorismo (PBC/FT). A continuación, se presenta un resumen de los puntos clave del informe:
El proyecto en cuestión propone el uso de datos de reconocimiento facial para verificar la identidad de los clientes en el momento del alta, ya sea en la oficina o a través de canales online. La finalidad es cumplir con las obligaciones legales establecidas en la Ley 10/2010 de prevención del blanqueo de capitales y la financiación del terrorismo, así como para el control del fraude.
La AEPD destaca que el consentimiento no puede ser una base jurídica adecuada para el tratamiento de datos biométricos, ya que estos son categorías especiales de datos. El consentimiento obligatorio no sería lícito, ya que condicionaría la prestación de servicios al otorgamiento del consentimiento, lo que no garantizaría su libertad.
Se propone como alternativa considerar el cumplimiento de una misión de interés público como base jurídica para el tratamiento de datos sin consentimiento. Sin embargo, esta base jurídica debe estar limitada exclusivamente a los fines indicados y no a fines comerciales o de cualquier otro tipo distinto del control del fraude o de la PBC/FT.
El Reglamento General de Protección de Datos (RGPD) define los datos biométricos como aquellos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona. El artículo 9 del RGPD establece una prohibición general del tratamiento de categorías especiales de datos, incluyendo los datos biométricos.
La AEPD analiza la distinción entre identificación biométrica (uno-a-varios) y verificación/autenticación biométrica (uno-a-uno). Aunque ambos supuestos pueden incluir datos biométricos, solo la identificación biométrica se considera una categoría especial de datos. La AEPD subraya la complejidad de deslindar estos conceptos y la necesidad de otorgar la máxima protección a los derechos de los afectados.
El artículo 9.2 del RGPD establece excepciones a la prohibición general del tratamiento de categorías especiales de datos, incluyendo el tratamiento necesario por razones de un interés público esencial. Sin embargo, la AEPD concluye que la normativa vigente no cumple con los requisitos establecidos en el artículo 9.2.g) del RGPD, ya que no se ha previsto el uso de datos biométricos como una medida proporcional para la identificación de las personas físicas, ni se han establecido las garantías específicas y adecuadas que se derivan de los mayores riesgos que implica el tratamiento de dichos datos.
La AEPD también analiza la base jurídica del artículo 6.1 del RGPD, concluyendo que el interés público no legitima cualquier tipo de tratamiento de datos personales. La normativa vigente no atribuye competencias a las entidades financieras para el tratamiento de datos biométricos, y las justificaciones aportadas por la promotora del proyecto no se refieren específicamente al interés público perseguido por la normativa sobre PBC/FT.
Finalmente, la AEPD subraya la importancia de respetar los principios del artículo 5 del RGPD, especialmente los de limitación de la finalidad y minimización de datos. El tratamiento masivo de datos biométricos propuesto sería desproporcionado y contrario a estos principios, ya que implicaría un tratamiento indiscriminado de categorías especiales de datos sin las garantías adecuadas.
En conclusión, la AEPD emite un informe desfavorable a la tramitación del proyecto, considerando que el tratamiento de datos biométricos basado en el reconocimiento facial no está autorizado de acuerdo con el artículo 9.2.g) del RGPD, carece de base de legitimación al amparo del artículo 6.1 del mismo y es contrario a los principios de necesidad, proporcionalidad y minimización.