Bena als ulls
El tractament de dades personals obtingudes a partir de sistemes biomètrics està evolucionant de manera vertiginosa i, a vegades, la persona no és conscient de la informació que pot ser objecte de divulgació a la xarxa. A més, el desenvolupament de la intel·ligència artificial permet que aquesta informació –no oblidem que són categories de dades especials– s’utilitzi de forma transversal.
Els sistemes de processament de dades biomètriques recullen i processen dades personals relatives a les característiques físiques, fisiològiques o conductuals de les persones, mitjançant dispositius o sensors, creant plantilles biomètriques (també denominades signatures o patrons) que possibiliten la identificació, el seguiment o el perfilat d’aquestes persones. En aquest sentit, la Llei 29/2021, del 28 d’octubre, qualificada de protecció de dades personals defineix les dades biomètriques com les dades personals obtingudes a partir d’un tractament tècnic específic, relatives a les característiques físiques, fisiològiques o conductuals d’una persona, que permeten o confirmen la identificació única d’aquesta, com imatges facials, dades dactiloscòpiques o patrons d’iris. Les dades biomètriques es categoritzen com especialment sensibles i, per tant, compten amb una protecció especial d’acord amb la normativa de protecció de dades, atès l’elevat risc que comporta el seu tractament per als drets i llibertats de les persones i els nombrosos perjudicis que se’n podrien derivar d’un mal ús.
Recentment, ha estat objecte de denúncia una pràctica consistent en la recollida i el tractament de categories especials de dades personals –escaneig o reconeixement d’iris i retina que captura la imatge i estableix patrons–. Les denúncies presentades es fonamenten en una informació insuficient, en la captació de dades de menors o en què no es permet la retirada del consentiment. Com a mesura cautelar, l’Agència Espanyola de Protecció de Dades va ordenar, el passat dimecres 6 de març, el cessament en la recollida i el tractament de dades personals que s’estava realitzant a Espanya i el bloqueig de les dades ja recopilades.
En aquesta línia, cal recordar que el tractament d’aquestes dades requereix una base jurídica per a dur-lo a terme –com el consentiment explícit, que implica que la persona que l’atorga ha de ser plenament conscient de les conseqüències que es poden derivar del tractament de la seva informació-. Però, a més d’aquest consentiment, es requereix facilitar informació sobre el responsable del tractament i la seva finalitat, les dades de contacte del delegat de protecció de dades, la base jurídica del tractament –en base a la proporcionalitat d'aquest tipus de sistemes per tal de garantir el principi de minimització de dades (utilitzar les dades mínimes per a la finalitat perseguida)–, el temps de conservació, la informació sobre els drets d’accés, rectificació, supressió o oposició i limitació del tractament, el dret a presentar una reclamació davant l’autoritat de control de protecció de dades, si les dades es cediran o comunicaran a tercers, o fins i tot si es realitzaran transferències internacionals de dades.
Així doncs, podem dir que la implementació efectiva d’aquestes mesures és un repte, especialment en un món on la tecnologia avança ràpidament i les amenaces sobre la privacitat són cada vegada més sofisticades. A diferència d’una contrasenya que es pot canviar ràpidament, les dades biomètriques –com l’escaneig d’iris– són inherentment úniques, permanents i es mantenen inalterables. Per tant, cal prendre consciència del seu valor–a més de la seva vulnerabilitat- i dels riscos associats a compartir-les i cedir-les sense un control, com és el cas de la suplantació d’identitat, la ciberdelinqüència, el ciberassetjament, o condicionar el present i futur professional de la persona afectada.