PROTECCIÓ DE DADES
Biometria als locals sota sospita
L’ús de marques digitals per accedir a empreses, gimnasos i establiments oberts al públic és difícilment justificable, segons experts i l’APDA
Una empremta dactilar registrada en una pantalla.
L’ús de dades biomètriques com les empremtes dactilars, el reconeixement facial o l’iris per accedir a empreses, gimnasos o altres establiments oberts al públic provoca un debat creixent al país sobre la seva legalitat i els riscos que comporta per als drets fonamentals dels usuaris. Tant l’Agència Andorrana de Protecció de Dades (APDA) com experts jurídics i tecnològics coincideixen que es tracta de dades “especialment sensibles” i que, en la majoria dels casos, el seu ús no compleix el principi de proporcionalitat que exigeix la normativa vigent. La normativa andorrana, recollida a la Llei qualificada 21/29 de protecció de dades personals (LQPD) i al seu reglament d’aplicació, no estableix una prohibició expressa de la biometria, però sí que limita fortament el tractament de dades de categoria especial. L’APDA recorda que aquestes dades només es poden tractar en circumstàncies molt concretes i amb una base jurídica sòlida, com ara el consentiment explícit de la persona interessada o un interès públic essencial degudament justificat.
“Si es pot aconseguir accedir als llocs amb un sistema menys intrusiu, la llei obliga a fer-ho”
La normativa també preveu, en molts casos, l’obligació de realitzar una avaluació d’impacte en protecció de dades abans d’implantar sistemes biomètrics, especialment quan es tracta de dades sensibles o de vigilància sistemàtica del públic. Tot i que a Andorra encara no s’han imposat sancions per un ús indegut de la biometria, l’APDA adverteix que una denúncia pot derivar en investigacions i procediments sancionadors. L’agència subratlla que el consentiment ha de ser lliure, específic, informat i inequívoc, i que, si el tractament es basa en aquest consentiment, l’establiment ha d’oferir una alternativa real i menys intrusiva.
“La legislació no en prohibeix l’ús, però les qualifica de dades sensibles”
L’advocat especialitzat en protecció de dades, Víctor Rosselló, va explicar que les dades biomètriques estan equiparades a les dades de salut pel seu nivell de sensibilitat. “Si una finalitat es pot aconseguir amb un sistema menys intrusiu, com una targeta o un codi, la llei obliga a utilitzar aquesta alternativa. La comoditat no justifica mai la biometria”, assenyala. En aquest sentit, considera que l’ús d’empremtes dactilars per accedir a gimnasos o comerços “no encaixa amb els principis bàsics de la protecció de dades” i vulnera el principi de minimització.
En la mateixa línia, Núria Viladrich, directora i sòcia de OCPS-Tarinas Compliance, recorda que “la legislació andorrana no prohibeix de manera explícita l’ús de dades biomètriques, però les qualifica de dades d’especial atenció” pel risc elevat que poden comportar per als drets i llibertats de les persones. Cada tractament, segons Viladrich, s’ha d’analitzar cas per cas, tenint en compte la finalitat, la necessitat i la proporcionalitat, i aplicant sempre el principi de minimització. La directora adverteix que, en contextos com el fitxatge laboral o l’accés a gimnasos, s’haurien de prioritzar mecanismes alternatius i oferir sempre una segona opció perquè el consentiment sigui realment lliure.
“Utilitzar la biometria en comerços, hostaleria i gimnasos és molt difícil de justificar legalment”
Des del punt de vista tecnològic, el tècnic especialitzat de la consultora Dcode, Sebastián González, coincideix que la biometria només és admissible en entorns molt concrets, com infraestructures crítiques o espais d’alta seguretat. “En comerços, hostaleria o gimnasos és molt difícil defensar-la legalment, perquè gairebé sempre hi ha alternatives menys invasives”, explica. González també alerta que, en l’àmbit laboral, el consentiment dels treballadors no sol considerar-se plenament lliure, fet que incrementa encara més el risc jurídic.
Un altre element clau és la seguretat i la conservació de les dades. Tant l’APDA com els experts recorden que les dades biomètriques no es poden canviar si es filtren o s’utilitzen indegudament, a diferència d’una contrasenya o una targeta. Per aquest motiu, la llei obliga a aplicar mesures de seguretat reforçades –com el xifratge i el control estricte d’accessos– i a eliminar les dades de manera immediata quan deixen de ser necessàries, per exemple quan un client es dona de baixa d’un gimnàs.