Biometría bajo el GDPR: Manténgase cumpliendo las normas
Los datos biométricos pueden ser sensibles y vulnerables a un mal uso. Las leyes como el GDPR nos proporcionan orientación sobre cómo tratar de manera segura los datos biométricos
Los datos biométricos como categoría especial
Los datos biométricos son información recopilada a través de tecnologías biométricas como reconocimiento facial o escáneres de huellas dactilares.
Existen preocupaciones legítimas sobre la privacidad y la protección de datos. El mal uso de rasgos faciales y huellas dactilares suena mucho más ominoso que el mal uso de un número de teléfono celular.
El Reglamento General de Protección de Datos (GDPR) contiene un conjunto de normas para la protección de datos personales dentro y fuera de la UE. El GDPR marca los datos biométricos como una categoría particular. Esto significa que, en principio, no se pueden procesar datos biométricos. Sin embargo, el reglamento permite procesar categorías especiales de datos si el procesamiento se encuentra dentro de una de las razones lícitas para el procesamiento bajo el GDPR, como el consentimiento explícito o el interés público.
Datos biográficos
Este tipo de información puede ser recopilada y almacenada e incluir el nombre, el lugar de residencia y la fecha de nacimiento de la persona.
Consentimiento explícito
El procesamiento de datos solo está permitido si los sujetos han dado su consentimiento explícito para procesar datos biométricos y si se les proporciona una opción que incluya una alternativa.
Interés público
La protección de la salud y seguridad pública y la prevención de daños ambientales se consideran intereses convincentes que van más allá de los intereses comerciales u organizativos.
Vigilancia masiva
Actualmente, hay un aumento en la recolección de datos biométricos. Los datos pueden ser recolectados para fines de vigilancia. A medida que la biometría se vuelve más popular, ciertos países como EE. UU. y Reino Unido han comenzado a utilizar herramientas biométricas para la vigilancia masiva de sus ciudadanos. Se han planteado cuestiones legales y éticas sobre la recolección, procesamiento y almacenamiento de datos biométricos, como imágenes faciales.
Caso de GDPR
La Autoridad Sueca de Protección de Datos sanciona a una escuela por tomar asistencia mediante tecnología de reconocimiento facial en un caso de GDPR”
La Autoridad Sueca de Protección de Datos multó a una escuela por tomar asistencia mediante tecnología de reconocimiento facial. La multa se emitió porque la razón para procesar datos biométricos no se encontraba dentro de las razones permitidas bajo el GDPR.
La escuela obtuvo el consentimiento de los padres para usar la tecnología de reconocimiento facial. Sin embargo, la Autoridad encontró que su consentimiento era defectuoso ya que fue “forzado” debido al desequilibrio de poder entre la escuela y los padres. Además, el GDPR establece que si se puede obtener datos a través de medios menos intrusivos, como firmar una página, se debe optar por ellos.