Locations
El pasado 4 de octubre de 2024, la Comisión de Protección de Datos de Irlanda (en adelante, “DPC” por sus siglas en inglés) anunció el inicio de una investigación contra una de las principales aerolíneas low cost europeas, centrada en el tratamiento de datos biométricos que realiza la aerolínea sobre una parte de su clientela. Concretamente, esta compañía exige la verificación de identidad mediante tecnologías biométricas a aquellas personas que reservan sus vuelos a través de sitios de terceros ajenos a ella, es decir, aquellas personas que no utilizan su página web o aplicación, sino que reservan a través de agencias de viajes sin acuerdos comerciales vigentes con la aerolínea.
Esta investigación surge tras varias reclamaciones presentadas por personas usuarias de los servicios de la aerolínea, residentes en diversos países de la Unión Europea/Espacio Económico Europeo, quienes se han visto obligadas a pasar por un proceso de verificación biométrica de identidad. En consecuencia, la investigación tiene carácter transfronterizo por la naturaleza propia del tratamiento y examinará el cumplimiento de diversas obligaciones en materia de protección de datos, tales como la legalidad y la transparencia en el tratamiento de datos personales.
Este artículo examina los aspectos legales más destacables de la mencionada investigación, su relevancia en el contexto del Reglamento (UE) 2016/679 General de Protección de Datos (en adelante, “RGPD”) y cómo otras entidades han sido sancionadas en España y Europa por el tratamiento irregular de datos biométricos.
Contexto de la investigación y aspectos clave
Dado que la investigación se centra en el posible incumplimiento del RGPD al realizar tratamientos de datos biométricos, es necesario recordar la definición establecida en la propia norma:
“«datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
De acuerdo con el artículo 9 del RGPD, el tratamiento de datos biométricos destinados a identificar de manera unívoca a una persona física está prohibido salvo en circunstancias excepcionales. En ese sentido, la DPC deberá determinar si el tratamiento realizado por esta aerolínea cumple con las mencionadas circunstancias excepcionales o si, por el contrario, dicho tratamiento se ha realizado en incumplimiento de la normativa en esta materia.
En definitiva, la DPC deberá analizar distintos aspectos clave durante su investigación, tales como las distintas bases legales que podrían legitimar el tratamiento, la información facilitada a las personas interesadas, la proporcionalidad del tratamiento y su necesidad, así como el grado de cumplimiento del principio de minimización de datos.
Precedentes y sanciones recientes en Europa y España por el tratamiento indebido de datos biométricos
La Autoridad Neerlandesa de Protección de Datos impuso en mayo de este año una sanción de más de 30 millones de euros a una empresa estadounidense por la creación y comercialización de una base de datos ilegal con miles de millones de fotografías de caras de personas. Esta empresa convertía las fotografías de su base de datos en códigos biométricos únicos que permitían la identificación de seres humanos mediante el cotejo de dicha base de datos y códigos biométricos con imágenes subidas por quienes usan sus servicios.
Por su parte, la Agencia Española de Protección de Datos (en adelante, “AEPD”) ha abordado varios casos relacionados con el uso de datos biométricos durante los últimos años. Por ejemplo, la AEPD impuso una sanción de 3,15 millones de euros a una reconocida cadena de supermercados por la implementación de un sistema de reconocimiento facial en algunos de sus establecimientos sin contar con una base legitimadora válida, así como impuso una sanción de 200.000 euros a un club deportivo por instalar sistemas de acceso mediante el uso tecnologías de reconocimiento biométrico (huella dactilar).
Implicaciones y expectativas de la investigación
En caso de que la DPC determine que la aerolínea en cuestión ha vulnerado el RGPD, las implicaciones podrían ser notables, ya que además de afrontar posibles sanciones pecuniarias, podría verse obligada a modificar o incluso eliminar el uso de datos biométricos en su proceso de verificación de identidad, así como a mejorar la transparencia de la información facilitada a quienes interactúan con estos servicios o a implementar más medidas de seguridad.
Por otro lado, esta investigación y su resolución podrían influir enormemente en la manera en que otras aerolíneas y empresas tratan los datos biométricos en el presente y el futuro, especialmente aquellas que requieren o planean implementar la verificación biométrica de identidad para acceder a sus servicios. Como resultado, las conclusiones de esta investigación no solo afectarán a la compañía investigada, sino que también podrían sentar un precedente regulatorio sobre el uso de la biometría en el sector de las aerolíneas y en otros sectores que dependen de la recopilación de datos biométricos para la verificación de identidad, como el sector asegurador o bancario.
En ese sentido, si las empresas, organizaciones e instituciones desean seguir utilizando tecnologías biométricas en su operativa habitual, deberán adoptar un enfoque proactivo para cumplir con el RGPD. Lo anterior incluirá evaluar y proponer alternativas menos invasivas que sean viables, con el riesgo de que las autoridades de protección de datos consideren que dicho tratamiento deja de ser necesario. Además, deberán garantizar que los datos recolectados sean estrictamente imprescindibles, proporcionar a las personas usuarias información clara y conservar la trazabilidad de la recabación de los correspondientes consentimientos libremente otorgados.
Conclusión
Esta investigación es un recordatorio de la importancia de la privacidad en la era digital, en la cual productos, servicios y metodologías evolucionan rápidamente. Con un enfoque cada vez más estricto por parte de las autoridades de protección de datos, las empresas y entidades deben asegurarse de que sus prácticas no solo cumplan con la ley, sino que también fomenten la confianza de quienes interactúan con sus servicios. Debido a la naturaleza transfronteriza de la investigación y al volumen de personas afectadas por el tratamiento investigado, podría no solo influir en las políticas futuras de la aerolínea, sino también sentar un precedente que alimentará el debate sobre los límites éticos y legales del uso de la biometría en toda Europa.
Agradecimientos al abogado Yeray Padilla del área de Tech & Data por la realización de este artículo.
El contenido de esta publicación es meramente informativo, sin que el interesado deba tomar una decisión basada en la misma; en tal caso debería solicitar asesoramiento jurídico específico adaptado a sus circunstancias concretas.