CONCLUSIONES DEL CONGRESO INTERNACIONAL BIOMETRÍA, DERECHO ADMINISTRATIVO Y DATOS

Documento de Conclusiones del Congreso Internacional “Biometría, Derecho Administrativo y Datos”, que se ha celebrado en Pamplona los días 7 y 8 de noviembre de 2024

El Grupo de Investigación “Administración Pública” de la Universidad Pública de Navarra organizador del Congreso Internacional “Biometría, Derecho Administrativo y Datos”, que se ha celebrado en Pamplona los días 7 y 8 de noviembre de 2024, formula las siguientes conclusiones a la vista de los trabajos desarrollados en dicho Congreso Internacional:

1ª. Se ha examinado la doble normativa que regula los sistemas biométricos, formada por la referida a la protección de datos personales, compuesta por el Reglamento (UE) 2016/679 (RGPD) y la Directiva 2016/680 en materia de infracciones y sanciones penales, como la relativa a la inteligencia artificial, el Reglamento (UE) 2024/1689 (RIA).

2ª. En ambos casos, el punto de partida es la centralidad de la persona. La IA como avance tecnológico tiene que suponer un paso adelante para la persona, que se puede traducir en un aumento de sus derechos y libertades o una mejoría de su calidad de vida, siendo la IA siempre una ayuda o una herramienta para las personas que debe tener como objetivo aumentar el bienestar humano.

3ª. El RIA efectúa una clasificación de los sistemas de IA en función del riesgo, en una pirámide que encierra cuatro categorías. En relación con los sistemas biométricos, sólo algunos de ellos son considerados de riesgo inaceptable y, por tanto, su práctica estará prohibida, salvo un caso que prevé una excepción muy limitada (art. 5). Algunos otros son considerados sistemas de alto riesgo, que se pueden utilizar con el cumplimiento de los requisitos y obligaciones impuestas por el RIA (art. 6 y anexo III). La mayor parte de sistemas de IA con datos biométricos y, en particular, los sistemas biométricos de identificación y de verificación de la identidad con participación del interesado son de bajo o nulo riesgo.

4ª El RGPD contempla las bases jurídicas para el tratamiento de los datos biométricos en su art. 9, que requiere o bien que el tratamiento sea necesario para determinados fines o bien que cuente con el consentimiento del interesado que sea explícito, inequívoco, libre, informado y para fines determinados.

5ª. La “Guía sobre tratamientos de control de presencia mediante sistemas biométricos” publicada por la Agencia Española de Protección de Datos con fecha 23 de noviembre de 2023, no se ajusta a Derecho ni por su forma de elaboración y aprobación, ni tampoco por su contenido al no tener en cuenta las disposiciones del RIA y no ajustarse a lo establecido en el RGPD en cuanto a su habilitación del consentimiento como base jurídica para el tratamiento de datos biométricos.

6ª. La citada Guía niega que el consentimiento libre de los interesados para el tratamiento de sus datos biométricos sea una base legitimadora de su uso. Ello supone, además de una contradicción con el artículo 9 del RGPD, vulnerar el contenido del derecho fundamental a la protección de datos que, según la doctrina del TC, incluye “el poder de disposición y de control sobre los datos personales que faculta a la persona para decidir cuáles de esos datos proporciona a un tercero”.

7ª. El rechazo al consentimiento como base legitimadora para el tratamiento de los propios datos biométricos también vulnera el derecho a la identidad de las personas y el derecho “a la verificación segura de la identidad en el entorno digital” (Carta de los Derechos Digitales II, 3).

8ª. La negación de la posibilidad de usar los datos biométricos supone debilitar la protección de los ciudadanos al privarles de una herramienta eficaz y segura para evitar la vulneración de otros derechos (suplantación de la identidad, uso indebido de datos personales, derecho de sufragio, etc.) cuando se usan medios de identificación no biométricos.

9ª Los sistemas biométricos de identificación y verificación aportan otros beneficios para la garantía de otros principios y derechos constitucionales: evitan la brecha digital, garantizan la accesibilidad universal y la vida autónoma de las personas con discapacidad, protección de los menores de edad, prevención de ludopatías, etc. Las tecnologías biométricas actuales han evitado los sesgos y los riesgos que podían afectar a determinados colectivos vulnerables (personas mayores, personas con discapacidad, menores de edad) y pueden servir para otorgarles una protección reforzada.

10. Resulta esencial que los reguladores, las Administraciones públicas y todos los operadores jurídicos estén al día en el desarrollo científico y tecnológico en relación con los sistemas de identificación y verificación biométrica. La Guía de la AEPD y otras resoluciones en la materia siguen atribuyendo a dichos sistemas características y riesgos que son propios de las plantillas basadas en las Biometric references (BRs) que han sido superados por las Renewable biometric references (RBRs). Estas han sido descritas la ISO/IEC 24745, versión 2022, como sistemas que aseguran la privacidad por defecto y desde el diseño al utilizar plantillas con las siguientes características: multiplicidad, irreversibilidad, no interoperabilidad, revocabilidad y no permanencia

11. Los sistemas de verificación e identificación biométrica son sistemas permitidos por la legislación europea (RIA y RGPD). Su sometimiento a las evaluaciones de impacto y otras condiciones previstas en dicha legislación permiten la utilización de estos sistemas que garantizan la identidad cierta (y no presunta) de las personas y que aseguran la privacidad por defecto y desde el diseño.

12ª El uso de sistemas biométricos para el acceso pueden servir tanto para el sector privado como para el sector público. Los usos de la IA en el ámbito público y a menudo la acreditación de identidad de la ciudadanía va a requerir de datos biométricos que deberán contar con la base jurídica prevista en el art. 9 RGPD y cumplir lo dispuesto en el RIA.  En este aspecto cobra importancia la transparencia, el control y la supervisión, así como el cumplimiento de la normativa sobre ciberseguridad.

13ª. Las autoridades de protección de datos y las nuevas autoridades del RIA deben adoptar una posición proactiva de fomento de la innovación y al uso de sistemas biométricos, con garantía de los derechos de la ciudadanía, en el marco de lo dispuesto en las normas antes citadas y teniendo en cuenta los avances de la ciencia.