La AEPD considera que los sistemas biométricos pueden ser legales si se respetan los principios de necesidad, proporcionalidad y salvaguardas técnicas.
Diferencia entre identificación (uno-a-varios) y autenticación (uno-a-uno), esta última con menor riesgo.
El informe recomienda una regulación específica para el uso biométrico en contextos de seguridad pública.
La Agencia advierte que puede actuar contra tecnologías de IA prohibidas que vulneren derechos fundamentales.
Una consulta clave sobre el uso de biometría en instalaciones sensibles
La Agencia Española de Protección de Datos (AEPD) ha emitido un informe en respuesta a una consulta presentada por las Fuerzas y Cuerpos de Seguridad del Estado sobre la implantación de sistemas biométricos para controlar el acceso a instalaciones especialmente protegidas. La consulta se enmarca en el artículo 36 del Reglamento General de Protección de Datos (RGPD), y se apoya en una Evaluación de Impacto en la Protección de los Datos (EIPD), que alertaba de riesgos elevados si no se adoptaban garantías adecuadas.
La AEPD concluye que el tratamiento de datos biométricos puede ser legal y proporcionado, siempre que se implementen suficientes garantías técnicas y jurídicas que minimicen los riesgos para los derechos de las personas afectadas.
Identificación vs. autenticación: riesgos diferenciados
En su análisis, la AEPD remite a las Directrices 5/2022 del Comité Europeo de Protección de Datos (CEPD), subrayando que los datos biométricos están protegidos como categoría especial según el artículo 9 del RGPD. Sin embargo, distingue entre dos usos posibles:
Identificación biométrica (uno-a-varios): comparaciones en bases de datos, con un riesgo alto para los derechos individuales.
Autenticación biométrica (uno-a-uno): verifica si una persona es quien dice ser, con menor riesgo y un enfoque más garantista.
El sistema evaluado en esta consulta se basa en la autenticación, lo que refuerza su adecuación legal, especialmente por tratarse de un entorno de seguridad como instalaciones policiales o gubernamentales.
Proporcionalidad, garantías técnicas y minimización de impacto
Uno de los elementos centrales del informe es la necesidad de justificar tanto la proporcionalidad del tratamiento como la idoneidad de la tecnología. La AEPD reconoce el valor de este tipo de sistemas en contextos donde el interés público es elevado, como la protección de infraestructuras críticas o la prevención de accesos no autorizados.
El informe valora positivamente aspectos como:
El procesamiento local de los datos, sin transferencias innecesarias.
El almacenamiento cifrado y la eliminación automática tras el uso.
El diseño centrado en reducir al mínimo el impacto sobre los derechos de los usuarios.
Asimismo, se menciona el Dictamen 11/2024 del CEPD como referencia para aplicar condiciones similares en contextos como aeropuertos.
Recomendaciones legales y petición de regulación específica
A pesar de validar la legalidad del tratamiento conforme a la Ley Orgánica 7/2021 y la Ley Orgánica 2/1986, la AEPD recalca la necesidad de una normativa específica que regule con precisión el uso de sistemas biométricos en el ámbito de la seguridad pública.
La Agencia propone:
Definir legalmente los contextos en los que puede aplicarse esta tecnología.
Establecer límites claros y salvaguardas obligatorias.
Exigir que siempre se opte por la alternativa menos intrusiva cuando existan opciones igual de eficaces.
Estas recomendaciones se alinean con lo previsto en el anteproyecto de transposición de la Directiva (UE) 2022/2557, relativa a la resiliencia de entidades críticas.
Supervisión frente a usos abusivos de IA
La AEPD recuerda que ya tiene capacidad para actuar contra sistemas de inteligencia artificial prohibidos que procesen datos personales de forma contraria al RGPD o vulneren derechos fundamentales. Ejemplo de ello es su reciente decisión de prohibir el uso de reconocimiento facial en exámenes online, al no existir una regulación específica que lo avale ni garantías suficientes para proteger a los usuarios.
El mensaje final de la Agencia es claro: el uso de tecnología biométrica puede ser compatible con los derechos fundamentales, pero solo si se justifica adecuadamente, se minimiza su impacto y se apoya en un marco legal robusto.
