DATOS PERSONALES BIOMÉTRICOS DACTILOSCÓPICOS Y DERECHOS FUNDAMENTALES: NUEVOS RETOS PARA EL LEGISLADOR ÍNDICE Introducción 1 I. Delimitación y planteamiento del problema. 1 II. Objeto de la investigación. La sociedad de la información y el tratamiento de los datos biométricos dactiloscópicos: implicaciones jurídicas. 9 III. Metodología de la investigación. 18 IV. Cuestiones previas conexas con la lectura biométrica. 20 PRIMERA PARTE: Base científica del estudio. 25 Capítulo I. Los datos biométricos. 25 1. Concepto de dato biométrico 1.1. Antecedentes históricos de la biometría dactiloscópica. 25 1.2. Distinción entre biometría, sistemas biométricos y datos biométricos. 45 2. Delimitación del estudio. Los datos biométricos dactiloscópicos. 47 2.1. Aproximación al concepto de sistema dactiloscópico español y dato biométrico dactiloscópico. 47 2.2. Diferencias entre el dato genético, el dato de salud y el dato biométrico 49 2.3. Zonas de confluencia de la biometría y la videovigilancia. 62 2.3.1. Exclusión del dato de salud, genético y videovigilancia. 71 2.4. La recopilación de datos biométricos dactiloscópicos en la investigación criminal. El peligro de reutilización. 72 3. Descripción de los sistemas biométricos. 73 3.1. La tecnología biométrica en su doble funcionalidad. 74 3.2. Recogida del dato biométrico. Fase de inscripción o registro. 74 3.2.1. Datos de características físicas, -estáticos-, y datos de comportamiento, -dinámicos 76 3.2.2. Datos brutos y plantillas. El template. 76 3.2.3. Sistemas de identificación y de verificación. 79 3.3. Fase de almacenamiento. 81 3.3.1. Soporte almacenamiento individual. Tarjeta chip. 81 3.3.2. Almacenamiento en base de datos local o regional. 82 3.4. Tratamiento del dato biométrico. Fase de comparación. 83 3.5. El dato dactiloscópico como dato de carácter personal…... 83 4. Referencia a sistemas de reconocimiento biométrico dactiloscópico. 84 4.1. Sistemas basados en datos estáticos características físicas: la huella dactilar y la geometría de la oreja. 84 4.2. Sistemas basados en datos dinámicos de comportamiento. 86 SEGUNDA PARTE: La tecnología biométrica desde la perspectiva jurídica.
Capítulo II. El tratamiento del dato biométrico dactiloscópico y los Derechos Fundamentales. 88 1. Naturaleza jurídica del dato biométrico y la identidad fisiológica del individuo. 88 1.1. El elemento material. 88 1.2. El elemento inmaterial. 91 2. La fase de recogida-captación del dato biométrico dactiloscópico y los Derechos Fundamentales. 92 2.1. El registro o introducción del dato dactiloscópico en el sistema. 92 2.2. Los derechos a la intimidad, a la propia imagen y a la integridad física en la recogida del dato biométrico dactiloscópico. 96 2.2.1. Aproximación a su naturaleza jurídica. 100 2.2.1.1. El papel de la dignidad personal. 101 2.2.1.2. Derechos de la personalidad 114 2.2.2. Formulación actual como Derechos Fundamentales: contenido esencial y garantías de su ejercicio. 115 2.2.3. Derechos al honor y otros derechos. 119 2.2.3.1. Derecho a la integridad. 120 2.2.3.2. Derecho a la intimidad 130 2.2.3.3. Derecho a la propia imagen. 135 2.3. La dignidad humana y el tratamiento de datos biométricos: puntos de conflicto 137 2.3.1. Discapacitados o personas cuyas características físicas no se corresponden con las normas técnicas. 138 2.3.2. Revelación inútil pero inevitable de datos de salud. 139 2.4. La autodeterminación informativa en la captación del dato biométrico dactiloscópico. 140 2.4.1. La formulación constitucional: El artículo 18.4 CE. 140 2.4.2. Evolución legislativa y jurisprudencial: del Derecho a la privacidad y autodeterminación informativa al Derecho a la protección de datos. 152 2.4.2.1. Objeto de la protección. 163 2.4.2.2. Contenido de la protección. El principio de proporcionalidad tratamiento del dato dactiloscópico. 164 2.4.2.3. Derechos del titular de los datos. 183 2.4.3. El dato dactiloscópico como dato de carácter personal. 189 2.4.3.1. Titular del dato: la persona física. 191 2.4.3.1.1. Exclusiones 209 2.4.3.2. Soporte del dato: soporte físico susceptible de tratamiento. El concepto de fichero. 223 2.4.3.3. Inclusiones en el concepto de dato de carácter personal. 236 2.5. Aproximación al concepto de dato biométrico y dato biométrico dactiloscópico. Acomodación del mismo al concepto de dato de carácter personal. 241 2.6. Requisitos en la captación del dato biométrico dactiloscópico. 246 2.6.1. El principio de calidad. 246 2.6.2. El derecho/deber de información. 250 2.6.3. Motivo legítimo para la captación. El consentimieto. 255 2.6.4. Especialidad en la recogida de los datos sensibles. 257 3. La conservación del dato dactiloscópico y la seguridad de los datos 258 4. Mención a la categoría de datos sensibles, especialmente protegidos, como ámbito de protección del dato biométrico-dactiloscópico. 268 5. Breve referencia a los antecedentes legislativos de la regulación de la biometría en Norteamérica y la adaptación al RGPD en la Unión Europea 281 Capítulo III. Algunos ámbitos públicos de aplicación de los sistemas biométricos: la identificación de los individuos por las Administraciones Públicas. 287 1. Los datos biométricos dactiloscópicos recabados y almacenados con fines públicos de control fronterizo. 290 1.1. Servicios públicos. Seguridad pública. El Sistema Eurodac. 290 1.1.1. Cuestiones previas. 290 1.1.2. Creación del sistema Eurodac. 293 1.1.3. Estructura del Reglamento (CE) nº 2725/2000. 297 1.1.4. Finalidad de Eurodac. 297 1.1.5. El nuevo Reglamento Eurodac. 298 1.1.5.1 Definición. 300 1.1.5.2. Arquitectura y legalidad del sistema. 300 1.1.5.3. Regímenes aplicables y protección de datos. 301 1.2. El Sistema de Información sobre los Visados (VIS). Control de la delincuencia internacional. 302 1.3. El denominado Umbrella Agreement 303 2. Breve referencia a la cooperación judicial e investigación penal transfronteriza mediante intercambio de perfiles de ADN. 304 3. La identidad digital y la biometría. 307 3.1. El DNI electrónico biométrico. 310 3.2. Datos biométricos en pasaportes y documentos de viaje. 313 Conclusiones. 320 Fuentes utilizadas. 328 Bibliografía. 338 ANEXOS. 347 I. Objeto de la investigación. La sociedad de la información y el tratamiento de los datos biométricos: implicaciones jurídicas.
Vivimos en la sociedad de la información, concepto que no por ser frecuentemente utilizado debe obviarse la aproximación al mismo. Ya en 1973 el sociólogo estadounidense Daniel Bell introdujo el concepto de “sociedad de la información” . La base fundamental de esta sociedad, en opinión de Bell, será el conocimiento teórico y, a su vez, los servicios sobre el conocimiento serán la base de la nueva economía .
Al hilo de esta última cuestión, se ha afirmado que el sistema económico actual todavía se basa en el capitalismo, aunque ya no industrial sino “informacional”; hoy cabe hablar de una nueva economía donde el conocimiento y la información son la base de la productividad y la competitividad ; desde una perspectiva económica, cabe establecer los tres pilares definitorios de la sociedad de la información extrapolables a otros ámbitos: información y conocimiento que se comparten en redes interconectadas. Esta conectividad de redes ha venido favorecida, sin duda, por el desarrollo de Internet que para el Libro Verde sobre la convergencia de los sectores de las telecomunicaciones “puede considerarse una red de redes interconectadas de forma abierta mediante IP, que normalmente se vale de enlaces de transmisión alquilados a los operadores de telecomunicaciones. […] El carácter abierto, sin pertenencia a un propietario, de las normas de Internet ha hecho posible que las empresas puedan aprovechar y dar continuidad a los avances realizados por otras empresas del sector” . Internet ha propiciado la infraestructura tecnológica para que hoy los lugares y formas de captación de datos, sean éstos personales o no, se hayan multiplicado. Y lo que es aún más relevante, el dato una vez captado, en cualquier punto del planeta, puede ser procesado en cualquier otro punto. Así, esta forma global de procesar los datos en la Red, Internet, ha permitido la irrupción del denominado ubiquitous computing que plantea arduas cuestiones jurídicas, entre otras, respecto a la legislación aplicable a dichos procesos. Los Comisarios de Protección de Datos en la Declaración de Montreux en el año 2005 expresaron abiertamente su preocupación por “los crecientes riesgos de la omnipresente vigilancia de las personas en todo el mundo” y por las dispersiones, disparidades, o incluso ausencia de protección normativa de los datos de carácter personal en algunas partes del mundo, que redunda en una ineficaz protección de datos mundial .
Ya en 1987 Romeo Casabona expuso que, si bien “la revolución industrial del siglo XIX permitió sustituir de forma sustancial el trabajo físico del hombre por máquinas, en la presente centuria estamos presenciando el diseño de otra gran transformación radical: reemplazar determinadas funciones intelectuales del hombre gracias a estas nuevas tecnologías. Esta situación nos está llevando a los inicios de una nueva era: la de la información y la comunicación, en el seno de lo que se ha venido a denominar la sociedad de la información.” En mayo de 1994, y en el seno de la UE, el ministro de Industria alemán, Martin Bangemann, dirigió un grupo de trabajo cuyo objetivo era sentar las bases para alcanzar la sociedad de la información real para todos los ciudadanos. Este grupo, denominado grupo Bangemann fue el que por primera vez utilizó el término sociedad de la información en el ámbito de la UE, en su informe denominado informe Bangemann .
Más recientemente, un concepto amplio de sociedad de la información se recoge en la exposición de motivos de la Ley española de Servicios de la Sociedad de la Información (Ley 34/2002, de 11 de julio). Este concepto amplio viene determinado “(…) por la extraordinaria expansión de las redes de telecomunicaciones y, en especial, de Internet como vehículo de transmisión e intercambio de todo tipo de información”. Efectivamente, el concepto de sociedad de la información nace y está ineludiblemente unido al concepto de red de telecomunicación, red de telecomunicación que lleva de suyo la presencia de medios informáticos interconectados . Así, la red ha contribuido a debilitar las antiguas barreras de tiempo y espacio que, sin que fueran absolutamente infranqueables, guardaban algunos de nuestros derechos individuales.
Aunque pueda resultar una obviedad, con todo lo que hasta aquí hemos dicho, podemos afirmar que la información es el valor fundamental de la nueva sociedad , y cabría añadir, la información de calidad. El tratamiento de una información no veraz (obsoleta, incompleta) puede acarrear gravísimas consecuencias, entre otras, en la esfera privada, social, económica de individuos y Estados. De este modo, también llegamos a vislumbrar la estrecha relación que, entre sociedad de la información y datos, en general, y los personales, en particular, existe, ya que un elemento esencial de aquélla son éstos.
Podríamos, al menos en una visión parcial del fenómeno, hacer sinónimos sociedad de la información y sociedad-red. Y, sin duda, esta sociedad-red es una sociedad global en la que se produce un efecto de “diluvio de datos” donde la masa de datos personales existente, objeto de tratamiento, aumenta constantemente. Los avances tecnológicos aplicados al crecimiento de los sistemas de información y comunicación y, así mismo, el crecimiento de las personas capaces de interactuar con estos sistemas, favorecen este “diluvio”. El ciberespacio, generado por la extensión de Internet, cruza Estados, fronteras nacionales y ordenamientos jurídicos como el aire que nos envuelve. Con todo ello hemos puesto de manifiesto un aspecto de la sociedad de la información, como sociedad-red global, que incide en el tema central del estudio. Ello es así toda vez que la sociedad global exige identificación , de lo contrario hablaríamos de la sociedad del caos, “la Babel global”, “la Babel electrónica”. Y la identificación exige una unión o correlación segura entre el dato captado y una identidad que, en abstracto, preexiste a dicha captación. Así, adquiere una importancia renovada el derecho a la identificación de cada individuo. La vulneración de este derecho a la identificación puede acarrear consecuencias muy graves para derechos fundamentales de la persona, tales como el derecho a la libertad y a la seguridad o incluso el derecho a la vida. En este punto es trascendental la aportación de Rico Pérez, distinguiendo entre los conceptos de individualización e identificación de la persona humana al afirmar que “[…] la individualización aísla para distinguir, la identificación verifica para comprobar. La individualización actúa en el campo de las relaciones jurídicas privadas (Derecho civil, Derecho Mercantil, Registro del estado civil de las personas, Registros de la Propiedad y Mercantil, etc.), en cambio, la identificación es más propia del Derecho público (Penal. Procesal, policía, orden público, etc) ”. Los dos procesos concatenados en orden secuencial transforman un grupo social informe en un grupo susceptible de ser organizado jurídicamente. En el proceso de individualización mediante la atribución de un nombre, el hombre pasa de ser un elemento indiferenciado de la especie humana a ser, como indica Pliner ,“un individuo determinado”; se pasa de una masa social amorfa al individuo, en el sentido de “individum”, lo no partible, lo que no se puede dividir sin dejar de ser lo que es. Junto al concepto de la individualización, que es un procedimiento que viene “desde fuera”, se puede avanzar un poco más al concepto de la “individuación”, referido, éste último, más que a la persona a la personalidad siendo así más que individualizar; “individualizar es separar personas, individuar significa también calificar comportamientos”. La individuación se alcanzaría con “[…] un nombre único para cada persona, sin homónimos ”. Una vez que se ha dado el primer paso de individualizar a uno del resto, hay que plantear la identificación del individuo en todas las situaciones del devenir de su existencia; para ello, veremos que el método dactiloscópico, aún no siendo el único, sí ha marcado un hito en el reconocimiento de la individualidad previamente determinada. Una vez separada la persona de la masa, atribuyéndola un nombre, y una vez que hayamos arbitrado un método para identificarla, lo que se pretende es verificar que es ella; a lo que se ha de aspirar es a “individuarla”, a determinar lo que la singulariza de forma única y la hace distinta del resto de la humanidad. Cada persona es única en el mundo, todos lo sabemos, pero hay que poder demostrarlo. Para conseguir la singularización, la técnica biométrica y, en concreto, la huella dactilar, puede resultar adecuada.
Y aquí es donde centraremos, con predominio de la perspectiva jurídica, el objeto de nuestro análisis: en las técnicas de captación de datos personales identificativos del individuo, que, habiendo multiplicado los lugares y métodos de captación, han llegado incluso, en algunos casos, a captar de manera inconsciente dichos datos de su titular. En este escenario de pluralidad de lugares donde los datos de un individuo pueden ser captados, en una sociedad de “riesgo ambiental”, no es solo la legalidad del tratamiento del dato personal, como dato atribuible a una persona identificada o identificable lo que ha de analizarse, sino también el tratamiento del dato anónimo que genera un perfil no personal pero que puede provocar discriminación en el caso concreto. Es en este tratamiento del dato anónimo donde algunos autores han planteado un nuevo problema denominado “gap informativo” , problema que afecta de modo directo al ejercicio del derecho fundamental a la autodeterminación informativa.
La captación del dato biométrico dactiloscópico proporciona un medio de identificación alternativo a otros medios tradicionales (por ejemplo, exhibición de un DNI) que tiene a su vez una virtualidad expansiva en el sentido de poder constituir el extremo del hilo conductor del que desencadenar incluso perfiles personales almacenados en una base de datos. Con todo ello, a lo largo de este trabajo comprobaremos cómo las tecnologías de la información y la comunicación permiten ya un fácil, rápido y masivo acceso a información de todo género, pero en particular, información relativa a los individuos.
La telemática puede constituir “el cauce potencial para una intromisión no deseable en la intimidad individual”; y, a continuación, cabe hacerse una pregunta que adquiere hoy una relevancia innegable: “¿Estamos en camino de pasar a convertirnos en ciudadanos transparentes, a modo de escaparates de uno de los aspectos más preciados de nuestra personalidad? “ . Podría calificarse de premonitoria y de plena actualidad la pregunta y el término de “ciudadanos transparentes”. La tecnología biométrica (software y hardware) puede llegar a extraer, leer, del interior del cuerpo humano lo más oculto y profundo: desde la presión arterial, la frecuencia de latidos del corazón, el fondo de ojo, etc . En esta misma línea argumental es muy ilustrativa la Sentencia del Tribunal Supremo de 11 de noviembre de 2014: “[…], en concreto, del representado por la determinación y el examen del ADN a partir de los restos del material biológico eventualmente dejados por el autor o autores del delito en la víctima o en el escenario del mismo, ha supuesto un cambio de trascendencia ciertamente revolucionaria en los procedimientos de investigación, suscitando, a la vez, interrogantes jurídicos de no pequeño calado. De un lado, porque, en virtud de estas técnicas, el imputado se convierte en objeto pasivo de la averiguación probatoria, llevada a cabo ahora con medios extraordinariamente incisivo en su esfera más personal, en la medida en que están dotados de una capacidad de hacer hablar al cuerpo humano, en su materialidad, con una locuacidad inédita y en términos de una extraordinaria fertilidad informativa, que podría ser eficazmente de cargo”. Sin duda, los avances tecnológicos actuales permiten que el cuerpo humano hable y con una profusión de datos y de tal importancia que su “locuacidad” puede afectar a diversos derechos fundamentales del individuo. Así, presentando o mostrando ordenadamente esos datos, haciendo visible y objeto de tratamiento lo que antes estaba en el claustro de nuestro ser, esta tecnología nos hace, en el sentido más amplio y literal del término, seres, ciudadanos, personas, transparentes para instituciones públicas o privadas. En este mismo sentido, nos viene a la memoria la afirmación que Salmerón Cabañas nos hizo en conversación distendida: “hoy en día las personas estamos en abierto”, en paralelismo con la terminología utilizada para el software de fuente abierta.
En un ámbito distinto, aunque cercano como es el de la medicina, una reflexión paralela a la que realiza Pera , cabría hacer en relación con la tecnología biométrica: la mirada del médico sobre el cuerpo del paciente, con el avance experimentado en la tecnología médico-hospitalaria, ha traspasado los límites morfológicamente externos de ese cuerpo. Así este autor reflexiona diciendo que: “[…] la mirada médica puede aparecer, en estas circunstancias, como intimidante, hegemónica y motivo de preocupación de la persona (…), aunque en el fondo pretenda ser tranquilizadora o incluso compasiva”. Efectivamente la misma reflexión sobre la mirada del médico sobre el cuerpo enfermo o herido cabe hacer sobre la mirada de un sistema de reconocimiento biométrico sobre el cuerpo en general de cualquier individuo que entra en contacto con dicho sistema. Con la tecnología médica y con la tecnología biométrica el límite, hasta hace unos años, infranqueable de la propia corporeidad del individuo ha desaparecido y todo nuestro ser queda a la vista. De tal manera que podemos afirmar que esta exhibición tecnológica de nuestro cuerpo desencadena, por un lado, una expansión ad intra, de partes del mismo antes encerradas en el claustro de su propio límite morfológico y, por otro, una expansión en el sentido de dispersión ad extra, configurándose un concepto nuevo que Rodotá denomina el “cuerpo electrónico” . Este cuerpo electrónico aparece disperso al existir multitud de lugares de captación y proceso de los datos a él referidos, y sólo se consigue que cada persona recomponga su propio yo y no pierda el control sobre cada uno de sus fragmentos si se garantiza el ejercicio del derecho a la autodeterminación informativa que desempeña así un papel reunificador, siempre que ese derecho tenga un reconocimiento tan amplio como amplia pueda ser la dispersión que pretende controlar .
La Exposición de Motivos de la antigua LORTAD advertía ya que el tiempo y el espacio habían sido barreras que en el pasado preservaron nuestra intimidad y ahora, cabría añadir, que también en el pasado nuestro cuerpo encerraba dentro de sus límites la información que a él le concernía. Hoy la tecnología biométrica traspasa ese límite y hace posible la exposición y manifestación pública de la información de la identidad del individuo.
CONCLUSIONES Primera. El ámbito de este estudio se ha detenido en datos biométricos biológicos con base en la anatomía del individuo y, dentro de esta categoría, han sido los datos biométricos biológicos obtenidos de la huella dactilar el objeto de atención.
Resulta evidente la afección a derechos fundamentales del individuo proveniente de la utilización de sistemas biométricos; una persona puede ver afectados alguno o algunos, o todos, sus derechos fundamentales en la recogida, almacenamiento, tratamiento o cesión posterior de sus datos biométricos dactiloscópicos. La información sobre aspectos físicos de los individuos puede afectar a ámbitos tan críticos como su intimidad y tener un alto potencial discriminatorio, comprometiendo así al principio de igualdad. Sin duda, de entre estos derechos, el de autodeterminación informativa es el que se verá más afectado.
En efecto, con los sistemas biométricos se hace posible obtener un grupo discriminado del conjunto de la población en base únicamente a que dichos individuos presenten determinadas características físicas diferentes o especiales. El sistema es capaz de revelar una información espúrea, pero de alto alcance para los derechos del individuo, no siendo esta la finalidad del tratamiento. No se puede perder nunca la condición de “persona” del individuo. Las técnicas de identificación de personas no deberían derivar en una identificación de pacientes, alumnos, trabajadores, viajeros, etc… que no dejan de ser en ningún momento personas por mucho que en un determinado momento su condición de pacientes o alumnos sea la que prevalezca, o bien, sea con la que el responsable del tratamiento se haya encontrado. Los empleados o trabajadores con la nueva LO ven garantizado su derecho a la intimidad en su lugar de trabajo de forma explícita, ya que ahora este derecho a la intimidad se defiende frente al uso de dispositivos de videovigilancia, de grabación de sonidos, de dispositivos digitales y sistemas de geolocalización. Si estos sistemas se utilizan, el trabajador deberá ser informado de manera expresa, clara e inequívoca. Entendemos incluidos los sistemas de identificación biométrica, puesto que la grabación de sonidos es uno de esos sistemas, desde el momento en que recoge la voz del individuo-trabajador, que, sin duda, es un dato biométrico.
La identificación biométrica utilizada al margen de las normas de protección de datos de carácter personal puede convertir a las personas en elementos identificados susceptibles de tomar decisiones sobre ellos en los ámbitos más variopintos de la vida.
Segunda. El dato biométrico puede considerarse dato identificativo y ésta es una característica que lo distingue, por ejemplo, del dato de salud. No obstante, hay puntos de confluencia entre dato biométrico y de salud; es el caso de que aquél revele una enfermedad. En este supuesto entra en juego la normativa y doctrina de datos personales relativos a la salud, bien entendido que no podemos considerar como sinónimos uno y otro dato.
Tercera. La fractura o desequilibrio en la base de la estructura de la sociedad de la información como organización social puede producirse si el individuo desconoce que sus datos de huella dactilar han sido captados y son objeto de tratamiento. La simetría entre dato y tratamiento debe ser perfecta para permitir al individuo el ejercicio de su derecho fundamental a la autodeterminación informativa. Si la vía de conexión, en el sentido de conocimiento, entre dato y tratamiento del dato está quebrada, el ejercicio del derecho de autodeterminación se hace inviable y el efecto reequilibrador de poderes se rompe, produciendo una asimetría de poder en favor del responsable de ese tratamiento. Al ser un tratamiento desconocido para el titular, éste no puede neutralizar jurídicamente, con el ejercicio del derecho de autodeterminación, la asimetría de poder que dicho tratamiento produce. La pérdida de conocimiento conduce a una pérdida de control y la pérdida de control a una pérdida de libertad para el individuo. Los ciudadanos tienen derecho, con arreglo a la nueva LO 3/2018, a conocer el registro de actividades de tratamiento (RAT) de sus datos personales por los organismos públicos. Este derecho se concreta en tres grupos de información: 1. Quién trata sus datos personales. 2. Con qué finalidad y 3. Qué base jurídica legitima este tratamiento.
Cuarta. La plantilla es la medida biométrica registrada de un individuo. Por tanto, el rasgo biométrico permanece en la persona y solo cuando el sistema lo extrae, para elaborar la plantilla, hay tratamiento porque hay estructura y registro y posibilidad de almacenamiento. De este modo, el dato biométrico dactiloscópico será dato personal si, una vez extraído de la persona en su versión digital, en forma de plantilla, utilizando un conjunto de medios razonables, es posible atribuirlo a una persona identificada o identificable.
Quinta. El elemento material del dato biométrico dactiloscópico encuentra su ámbito jurídico de protección en los derechos de la personalidad y fundamentales de intimidad, propia imagen e integridad física y el elemento inmaterial, en el sentido de la información extraída, en el derecho de autodeterminación informativa.
Sexta. Si realmente el dato biométrico no contiene ninguna información adicional del individuo efectivamente, sin negarle su carácter de dato personal, su análisis podría quedar circunscrito al cumplimiento del principio de calidad de los datos, recogido, con anterioridad en el artículo 4.1 LOPD -y, actualmente, recogido, en cierto modo, como principio de exactitud en el LO 3/2018-, en el sentido de que solo podrá ser recogido para su tratamiento cuando sea adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades para las que se haya obtenido. Pero, a nuestro entender, esta es una visión parcial del tema porque el dato biométrico, o algunos datos biométricos y, entre ellos, la huella dactilar, puede contener información adicional y de tan alta sensibilidad como la relativa a la salud de su titular. En este sentido, el nuevo RGPD es así como considera a los datos biométricos: como datos merecedores de especial protección; entendemos que lo regula de este modo, precisamente porque contienen datos adicionales de la persona.
Séptima. Las Nuevas Tecnologías de la Información y la Comunicación han alcanzado una virtualidad práctica, real, de recoger, tratar, almacenar y reproducir elementos intrínsecos al propio cuerpo humano. Estos elementos, ya no son sólo datos o informaciones sobre un individuo, sino que son “el individuo en sí mismo”, pudiendo quedar comprometidos o afectados los derechos del mismo a que hace referencia el art. 18.4 CE.
Octava. Es difícil considerar que se pueda producir una intromisión en la integridad moral del individuo en la recogida del dato, ya que en la captación no hay finalidad de humillarle o envilecerle de ninguna manera. Pero un caso especial lo representarían todos aquellos individuos que, por una malformación congénita, accidente, edad etc. presenten una alteración de sus dedos o de sus huellas o carezcan de ellas. El mero hecho de no poder someterse al sistema de captación o presentar dificultades o imposibilidad mecánica para la captación, ya podría representar una humillación y, por ende, una intromisión en su “integridad moral”.
Novena. La lectura/captación de huellas dactilares o imagen de la mano, por una parte, entraría en la primera categoría de inspección o registro que en absoluto supone una lesión corporal o menoscabo de la integridad física y, por otra, no afectaría al recato o pudor de la persona, no afectando así a su intimidad corporal. Ahora bien, igual que hemos llamado la atención sobre una posible afección a la integridad moral, si en la recogida de la huella se produce una humillación o envilecimiento de la persona, también puede verse afectada la “intimidad corporal” de la persona que sufriendo una alteración física de una parte de su cuerpo se ve obligada por el sistema de captación a su exposición pública. Puede plantearse una situación en la que la captación de la huella de un dedo o dedos o palma de una mano alteradas físicamente, afecte al pudor de la persona. Estamos planteando la posibilidad de que, en determinados casos, personas con alteraciones físicas o edad avanzada se vean humilladas o envilecidas o afectado su pudor, al tener que exponer en un dispositivo de captación del dato biométrico su mano o dedo distinto del resto. La humillación, envilecimiento de la persona está directamente relacionado con su integridad moral. Y el pudor con su intimidad corporal. Determinados colectivos, niños, ancianos, personas con discapacidad física… son grupos de riesgo al tener unos contornos del concepto de humillación y pudor distintos al conjunto general de la población.
Décima. El tratamiento de datos biométricos, y en concreto dactiloscópicos, por la parte del cuerpo a la que afectan, sobre la que no cabe apreciar un especial recato en su exhibición, no permite deducir una vulneración del derecho a la “integridad” corporal, ni a la “intimidad” corporal, con las salvedades apuntadas en relación con determinados grupos de riesgo, personas que por sus características físicas especiales, o bien, quedan por ello fuera del sistema, o el simple hecho de incorporarse al sistema afecta a su integridad moral y/o intimidad corporal.
Décimo primera. Es indudable que existe una estrecha relación entre la tecnología de la videovigilancia y la captación de datos biométricos, pero a la vez una clara diferencia, puesto que la captación de imágenes por sistemas de videovigilancia sirve de base a la captación de datos biométricos, pero no necesariamente y en todos los casos. Asimismo, la fotografía de un individuo es dato de carácter personal biométrico y especialmente protegido, únicamente si permite la identificación de ese individuo, de esa persona física concreta. Asimismo, no cabe confundir los ámbitos de protección de la imagen y los datos biométricos dactiloscópicos, puesto que éstos no permiten la identificación directa de un individuo, cosa que sí permite la imagen. La normativa sobre videovigilancia no es aplicable a la protección de dato biométrico.
Décimo segunda. El principal debate jurídico que suscita el tratamiento de datos biométricos, y en particular el de los datos dactiloscópicos, es en relación con el derecho fundamental a la protección de datos. Es decir, la legitimidad de algunos tratamientos de datos biométricos se debe estudiar a la luz de principios como los de finalidad y proporcionalidad, puesto que sólo respetando estos principios cabe aceptar la limitación al derecho fundamental a la protección de datos que el tratamiento de datos biométricos puede suponer o entrañar. Para todo ello, deberemos analizar: 1º cómo el tratamiento de datos biométricos es un tratamiento de datos personales y supone una limitación al derecho fundamental aludido y, 2º la legitimidad del tratamiento depende de si la vulneración al derecho fundamental es ajustada a los principios y derechos de la protección de datos y, en especial, a los principios apuntados de finalidad y proporcionalidad.
Décimo tercera. En cuanto a los principios de protección de datos, no hacemos rigurosamente sinónimos los conceptos de exactitud y actualización, aunque estén íntimamente relacionados, ya que un dato no actualizado es imposible que sea un dato exacto. Ahora bien, no todos los datos actualizados por el mero hecho de estar actualizados, son exactos. Estos conceptos de exactitud y actualización llenaban de contenido al antiguo principio de calidad de los datos de la LOPD. Debemos precisar, por último, en relación con este principio de exactitud que, como dispone el RGPD, la inexactitud de los datos ha de ser suprimida o rectificada, no siendo imputable al responsable del tratamiento, siempre que éste haya adoptado todas las medidas razonables que estén a su alcance. El derecho de cancelación de los contenidos ilícitos se ha visto reforzado con la configuración del nuevo derecho al olvido. En definitiva, el RGPD utiliza otra terminología, pero hace referencia a los mismos conceptos.
Décimo cuarta. Entendemos que, teniendo en cuenta el “hermanamiento”, al incluirse en la misma categoría de datos, según el artículo 9.1 del RGPD, los datos biométricos dirigidos a identificar de manera unívoca a una persona física y los datos relativos a la salud, las consideraciones relativas al consentimiento efectuadas respecto a las muestras biológicas son plenamente aplicables a los datos objeto de nuestro estudio.
Décimo quinta. En relación con el consentimiento del titular de los datos, que ha sido la piedra angular sobre la que se basaba el tratamiento de los mismos, hoy ha cambiado en parte esta situación, ya que el RGPD y la nueva LO 3/2018 establecen varias bases jurídicas legitimadoras del tratamiento, por parte de las organizaciones privadas. En concreto, una relación contractual previa o un interés legítimo que prevalezca sobre el derecho de las personas constituyen esta base a lo que nos referimos. Si no existe otra base legitimadora, evidentemente el consentimiento del afectado sigue siendo suficiente para el tratamiento, ahora bien, entendiéndolo como una declaración clara o una acción afirmativa, no admitiendo, por tanto, un consentimiento tácito o implícito. Todo ello, sin duda, aplicable al tratamiento de datos dactiloscópicos.
Décimo sexta. En relación con los datos de las personas fallecidas, hoy pueden ser conocidos, rectificados y/o suprimidos por sus herederos, familiares o personas vinculadas con el fallecido por vías de hecho. Con la nueva LO 3/2018 en la mano, no cabe que las empresas, entidades u organismos públicos o privados nieguen las solicitudes de borrado de datos, incluidos los dactiloscópicos, por el hecho de que su titular esté fallecido.
Decimo séptima. Si realmente el dato biométrico no contiene ninguna información adicional del individuo efectivamente, sin negarle su carácter de dato personal, su análisis podría quedar circunscrito al cumplimiento del principio de calidad de los datos que se recogía en el artículo 4.1 de la LOPD (no especificado en la nueva Ley como tal, sino a través del principio de exactitud), en el sentido de que solo podrá ser recogido para su tratamiento cuando sea adecuado, pertinente y no excesivo en relación con el ámbito y las finalidades para las que se haya obtenido. Pero a nuestro entender, esta es una visión parcial del tema porque el dato biométrico, o algunos datos biométricos y entre ellos la huella dactilar, puede contener información adicional y de tan alta sensibilidad como la relativa a la salud de su titular. El análisis del dato biométrico, y en concreto el dato biométrico dactiloscópico, se ha abordado distinguiendo un elemento material y un elemento inmaterial. El elemento material, fuente del dato biométrico, bien sea el conjunto de surcos y valles de la huella, o las características del óvalo facial, o del iris de un individuo es distinto de la información contenida en ese conjunto de surcos y valles que incluso puede revelar información sobre los hábitos ocupacionales o profesionales de la persona si se aprecian corrosiones o desgastes anormales o, incluso proporcionar información sobre la salud, o revelar deformidades congénitas. Por consiguiente, entendemos que el elemento inmaterial, la información inmanente en el soporte material-físico propiamente dicho, sí puede revelar nuevas características referentes a la intimidad y privacidad del individuo; asimismo, puede contener aspectos concretos de su personalidad, no limitándose su funcionalidad a identificar a un sujeto.
Por lo demás, consideramos que la huella digital puede contener aspectos concretos de la personalidad del individuo incluso datos de salud que hacen que estos datos pasen a la categoría de datos sensibles.
Décimo octava. Actualmente las Administraciones públicas en España permiten la identificación de los administrados a través de medios digitales, reconociendo la identidad digital de aquéllos; en dicha identidad juegan un papel muy relevante, entre otros datos biométricos, los dactiloscópicos, ya que la conforman. Coincidiendo con un sector importante de la doctrina científica, la construcción de una identidad digital en la red exige una correcta y eficaz gestión de aquélla.
Décimo novena. Una vez más, se observa que la tecnología va por delante del Derecho y, en este sentido, la UE está haciendo frente al reto de la identificación digital del individuo partiendo de un documento transcendetal como es el RGPD, cuya entrada en vigor ha obligado a incorporar en todas las legislaciones internas de los países miembros la nueva normativa europea. Nuestra LOPD no ha sufrido grandes cambios, como así ha puesto de manifiesto la doctrina científica, si bien, se echan en falta en el nuevo Reglamento y, por ende, en la LO 3/2018, ciertas concreciones o especificaciones que contemplaba la LOPD, dejando ahora un margen para la interpretación, lo que siempre puede ser delicado. Por último, fuera del ámbito europeo la regulación recogida en la LOPD y el RLOPD podrá, por el momento, sevir de referente para los obligados a aplicar la normativa de protección de datos; pero con la nueva Ley española (y el resto de desarrollos legislativos en la UE) se facilitará la mejor convivencia entre las legislaciones nacionales y la europea.
© 2001-2024 Fundación Dialnet · Todos los derechos reservados