La Huella Dactilar como Dato Biométrico: Aspectos Legales y Obligaciones

La huella dactilar es una de las formas más reconocibles y distintivas de identificación personal. Sin embargo, en el contexto de la protección de datos, es esencial comprender qué tipo de dato es la huella dactilar y cuáles son las implicaciones legales y obligaciones asociadas a su uso.

¿Qué tipo de dato es la huella dactilar?
La huella dactilar se clasifica como un dato biométrico, es decir, una característica física única y personal de un individuo que puede utilizarse para su identificación. En términos legales, cuando se emplea la huella dactilar como método de identificación biométrica, se considera un dato de categorías especiales, lo que implica requisitos adicionales para su tratamiento, de acuerdo con el Reglamento General de Protección de Datos (RGPD).

En este sentido, es importante distinguir entre dos conceptos clave: la identificación biométrica y la autenticación biométrica. La identificación biométrica implica comparar los datos biométricos de una persona con una base de datos de plantillas biométricas almacenadas, lo que se conoce como un proceso de búsqueda de correspondencia uno-a-varios. Por otro lado, la autenticación biométrica implica una verificación uno-a-uno para confirmar la identidad de una persona.

Normativa de protección de datos sobre el uso de la huella dactilar
El uso de la huella dactilar conlleva ciertas obligaciones, aquí se presentan las principales obligaciones de acuerdo con la normativa de protección de datos:

1. Base legitimadora:
Cuando el consentimiento no sea la base legitimadora para el uso de la huella dactilar, deben cumplirse las excepciones establecidas en el RGPD. En la mayoría de los casos, como en el control de acceso o el registro horario, la base legitimadora se encuentra en:

Artículo 6.1.b): “el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte”, como en las relaciones laborales.
Artículo 9.2.b): “el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social con arreglo al Derecho de los Estados miembros”. En este caso, se ampara en el artículo 20.3 del Estatuto de los Trabajadores.
En situaciones donde concurren ambas bases legitimadoras, no se requiere el consentimiento expreso de los interesados para el uso de sistemas de identificación biométrica basados en la huella dactilar.

2. Deber de información:
Se debe informar a los interesados (empleados, por ejemplo) sobre el uso de la huella dactilar como método de identificación. Esta información debe incluir:

1. Identidad y datos de contacto del responsable del tratamiento.
2. Finalidad del tratamiento (registro horario, control de acceso, etc.).
3. Base legitimadora del tratamiento.
4. Destinatarios de los datos personales.
5. Plazo de conservación.
6. Procedimiento para ejercer los derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición).
7. Derecho a presentar reclamaciones ante la Agencia Española de Protección de Datos (AEPD).

3. Evaluación de impacto:
Debido a la naturaleza de los datos biométricos, se requiere una evaluación de impacto previa al tratamiento.

4. Medidas de seguridad:
El responsable del tratamiento debe implementar medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos biométricos. Esto incluye el uso de cifrado, la anonimización cuando sea posible y la supresión de datos innecesarios.

5. Otros requisitos:
Se deben respetar los principios de limitación de la finalidad, necesidad, proporcionalidad y minimización de datos. Además, los datos biométricos deben utilizarse exclusivamente para la finalidad informada a los interesados y no pueden ser reutilizados sin su consentimiento.

Sanciones por vulneración de protección de datos
El incumplimiento de las obligaciones de protección de datos relacionadas con la huella dactilar puede dar lugar a sanciones. La cuantía de la sanción depende de la gravedad de la infracción.

En resumen, el uso de la huella dactilar como método de identificación es legal siempre que se cumplan estrictamente las obligaciones establecidas por el RGPD y la LOPDGDD. La protección de los datos biométricos es fundamental para preservar la privacidad y los derechos de las personas en la era digital.