El uso de tecnologías biométricas para verificar identidad y edad se está extendiendo con rapidez en los servicios digitales. Plataformas, aplicaciones y entornos de acceso restringido recurren cada vez con más frecuencia al reconocimiento facial como herramienta de seguridad, autenticación o control de elegibilidad.
Sin embargo, cuanto más central es la biometría en el funcionamiento del servicio, más exigente debe ser el análisis jurídico. Lo que en apariencia es una solución tecnológica eficaz puede convertirse, desde el punto de vista jurídico, en un tratamiento de alto riesgo.
La reciente resolución de la Agencia Española de Protección de Datos (AEPD) en relación con el sistema de verificación de identidad desarrollado por Yoti Ltd. ofrece un buen ejemplo de ello.
La AEPD impuso una sanción total de 950.000 euros por infracciones de los artículos 9, 7 y 5.1.e) del Reglamento (UE) 2016/679 (RGPD) y ordenó, además, que la entidad acreditara en seis meses la adecuación del tratamiento de datos biométricos, la validez del consentimiento y la limitación temporal de la conservación de los datos.
El interés del caso no radica solo en la cuantía. Desde una perspectiva jurídica, permite identificar tres planos estrechamente conectados: la calificación del dato facial como dato biométrico de categoría especial, la validez del consentimiento cuando el acceso al servicio depende del tratamiento y la adecuación del plazo de conservación a la finalidad inicial.
El funcionamiento del sistema: identidad digital y reconocimiento facial
El sistema analizado, desarrollado por Yoti Ltd., se apoyaba en una aplicación móvil que requería el escaneo facial del usuario para crear y gestionar su cuenta, verificar su identidad dentro del sistema y autenticar determinadas acciones.
En este contexto, se generaba una plantilla biométrica facial vinculada al usuario que se utilizaba posteriormente para comprobar que era el propio titular quien realizaba determinadas operaciones. La propia información facilitada durante el registro resultaba especialmente significativa: la aplicación advertía expresamente de que no podía utilizarse sin escanear el rostro del usuario, al tratarse del mecanismo que permitía proteger la cuenta y verificar la identidad.
Desde el punto de vista jurídico, nos encontramos ante un tratamiento de datos biométricos dirigido a la identificación unívoca o autenticación de una persona física, lo que implica su consideración como categoría especial de datos conforme a los artículos 4.14 y 9.1 del RGPD. Lo determinante no es únicamente el dato en sí, sino el uso técnico que permite identificar de manera unívoca a la persona.
La respuesta sancionadora: tres infracciones conectadas
La AEPD articula su reproche en torno a tres infracciones diferenciadas que, sin embargo, responden a una misma lógica de diseño del servicio.
- En primer lugar, aprecia una infracción del artículo 9 RGPD, al entender que el tratamiento de datos biométricos no se encontraba correctamente amparado dentro del régimen reforzado aplicable a las categorías especiales de datos.
- En segundo término, identifica una vulneración del artículo 7 RGPD, al considerar que el consentimiento recabado no cumplía los requisitos de validez exigidos por la normativa.
- Finalmente, aprecia una infracción del artículo 5.1.e) RGPD, relativa al principio de limitación del plazo de conservación, al entender que determinados datos se mantenían durante más tiempo del necesario.
No estamos, por tanto, ante incumplimientos aislados, sino ante tres manifestaciones de un mismo problema: la forma en que se ha construido jurídicamente el servicio.
El consentimiento como eje del problema
El punto más relevante del caso se sitúa en el consentimiento.
Durante el proceso de alta, la aplicación mostraba mensajes especialmente claros: se informaba al usuario de que no podía utilizar el servicio sin proporcionar sus datos biométricos y que el escaneo facial era necesario para proteger la cuenta. La propia política de privacidad reforzaba esta idea al señalar que no existía una versión de la aplicación sin tratamiento biométrico.
En este contexto, la cuestión no es si existía una pantalla de aceptación formal, sino si el consentimiento podía considerarse realmente libre en los términos del artículo 4.11 del RGPD.
La respuesta de la AEPD es negativa: el consentimiento no puede considerarse libre cuando el acceso al servicio queda condicionado al tratamiento de datos biométricos, sin ofrecer una alternativa real y equivalente que permita acceder al servicio sin someterse a dicho tratamiento.
El problema, por tanto, no reside únicamente en cómo se recaba el consentimiento, sino en que el propio diseño del servicio lo convierte en inevitable.
Usos posteriores y consentimiento por defecto
El análisis no se agota en el consentimiento prestado para el uso principal de la aplicación.
La AEPD presta especial atención a los tratamientos adicionales, en particular aquellos vinculados a investigación, desarrollo y análisis. En estos casos, la aplicación incorporaba opciones activadas por defecto, de modo que era el usuario quien debía intervenir para evitar el tratamiento.
Este mecanismo resulta incompatible con el RGPD, puesto que el consentimiento requiere una acción afirmativa clara y no puede construirse sobre sistemas de exclusión posterior.
La resolución es especialmente explícita al señalar que los consentimientos obtenidos mediante casillas activadas por defecto no reflejan una manifestación de voluntad libre, específica, informada e inequívoca.
Desde una perspectiva práctica, este punto es especialmente relevante: el RGPD no admite modelos de consentimiento basados en inercias, especialmente cuando se trata de tratamientos vinculados a datos biométricos.
La imposibilidad de fragmentar el tratamiento
Otro de los aspectos discutidos fue la naturaleza de determinados tratamientos vinculados a fines de investigación y desarrollo.
La entidad sostuvo que dichos usos no implicaban tratamiento de datos biométricos de categoría especial, al no tener como finalidad la identificación unívoca del usuario. Sin embargo, esta aproximación resulta difícilmente sostenible cuando el sistema se construye sobre la generación y utilización de una plantilla biométrica facial para autenticar la identidad.
La AEPD rechaza esta interpretación al considerar que, cuando existe una plantilla biométrica utilizada para la autenticación o identificación unívoca, el tratamiento queda sometido al régimen del artículo 9 RGPD, con independencia de que determinados usos posteriores se presenten como desvinculados de dicha finalidad.
El problema no se limita a la finalidad concreta de un uso aislado, sino al contexto completo del tratamiento. Cuando los datos se integran en un sistema de autenticación biométrica, su naturaleza no puede diluirse en función de usos posteriores.
El principio de limitación del plazo de conservación
El tercer eje del caso se sitúa en la conservación de los datos.
La AEPD analiza distintos plazos aplicados por la entidad, entre los que se incluían la conservación de datos mientras la cuenta permaneciera activa y durante un periodo adicional de inactividad, así como otros plazos vinculados a verificaciones, análisis o seguridad.
El artículo 5.1.e) del RGPD exige que los datos se conserven únicamente durante el tiempo necesario para la finalidad del tratamiento. En este sentido, la resolución pone de manifiesto que no basta con invocar criterios genéricos como la seguridad, la mejora del servicio o la eventual reutilización.
Es necesario justificar de forma concreta por qué el plazo resulta necesario y proporcionado. En ausencia de esa justificación, la conservación se aparta del principio de limitación temporal.
Un elemento adicional: el contexto de menores
El caso presenta, además, un elemento que refuerza la sensibilidad jurídica del tratamiento: su utilización en contextos de verificación de edad.
Cuando el tratamiento puede afectar a menores, el nivel de exigencia se incrementa. No basta con que la herramienta sea técnicamente eficaz o funcionalmente útil; debe diseñarse de forma especialmente cuidadosa desde el punto de vista jurídico.
En estos supuestos, el tratamiento de datos biométricos plantea una doble dimensión de riesgo: por un lado, por la propia naturaleza de los datos como categoría especial; y por otro, por la especial protección que el ordenamiento reconoce a los menores en el entorno digital.
Además, en contextos de verificación de edad, debe analizarse si la utilización de tecnologías biométricas resulta realmente necesaria o si existen alternativas menos intrusivas que permitan alcanzar la misma finalidad con un menor impacto en los derechos del menor.
Conclusión: cuando el cumplimiento depende del diseño
Más allá del caso concreto, la resolución deja tres enseñanzas especialmente relevantes.
- En primer lugar, la biometría no puede tratarse como un dato ordinario: su uso activa el régimen reforzado del artículo 9 del RGPD.
- En segundo término, el consentimiento no es libre cuando el servicio se diseña de forma que aceptar el tratamiento sea la única vía de acceso, sin alternativas reales equivalentes.
- Finalmente, la conservación de datos, especialmente cuando se trata de categorías especiales, exige una justificación concreta, proporcionada y temporalmente delimitada.
En definitiva, el caso pone de manifiesto que el diseño de los servicios digitales no es neutro desde el punto de vista jurídico. El cumplimiento del RGPD no depende únicamente de la base jurídica elegida, sino de la coherencia entre esa base y la arquitectura del propio sistema.
En este sentido, la privacidad no se garantiza únicamente mediante cláusulas o políticas, sino a través de decisiones de diseño que condicionan desde el inicio el alcance real del tratamiento de datos personales.
Si quieres profundizar en los riesgos y obligaciones legales asociados al uso de datos biométricos, puedes consultar otras entradas relacionadas en nuestro blog aquí.
