Mientras observamos que en todas partes prolifera alegremente el uso de la huella digital como sistema de control de accesos ―y lo hemos visto en gimnasios, institutos, administraciones y empresas en general―, nos encontramos paradójicamente con una falta de criterios claros y oficiales sobre su tratamiento jurídico, que plantea no pocos problemas.
Con la entrada en aplicación del nuevo Reglamento General de Protección de Datos (RGPD), la huella digital, como dato biométrico que permite la identificación unívoca de una persona física, se considera un dato de categoría especial. ¿Qué significa esto? Que para su tratamiento será necesario contar con una justificación especial y tasada, como ocurre con los datos de salud o de ideología.
El primer problema del control biométrico es saber si es necesario y proporcionado. Hasta día de hoy, numerosas resoluciones de la Agencia Española de Protección de Datos han impuesto multas relevantes para el uso descontrolado de controles biométricos en gimnasios y establecimientos, con el argumento de que su uso es desproporcionado y que, en muchos casos, se podría haber alcanzado el mismo fin sin tener que utilizar un medio tan lesivo para los derechos (por ejemplo, utilizando tarjetas magnéticas y ahorrándose así de tener que recoger y conservar datos biométricos). Por lo tanto, será necesario que haya siempre un juicio de proporcionalidad y una justificación escrita de los motivos que avalan el uso del dato biométrico en vez de otro medio menos lesivo; entre estos motivos, podríamos hacer referencia, por ejemplo, a la comodidad y mayor seguridad que supone el control biométrico en detrimento de los otros.
El segundo problema del control biométrico lo encontramos especialmente en el ámbito laboral, y es el que corresponde a la base jurídica que le legitimaría. Parece claro que el consentimiento de los trabajadores podría ser una causa válida, pero no podemos ignorar que este consentimiento, como han reconocido ya varias resoluciones, plantea problemas de difícil solución: en concreto, la idea de que el trabajador, sometido al régimen laboral, no presta su consentimiento en condiciones de libertad; a lo que debemos añadir la dudosa operatividad que supone un sistema basado en un consentimiento revocable en cualquier momento. Además, hemos de tener presente que el consentimiento no es la bala de plata que salva todas las situaciones: si el tratamiento no está justificado, si no es proporcionado, aunque tengamos el consentimiento del trabajador, no será legítimo. Por ello, al desestimar el consentimiento, se plantea que el interés legítimo de la organización podría ser la causa que avalaría el tratamiento de datos biométricos en la implementación de un control de acceso. Como siempre, hay que hacer siempre un juicio de ponderación, pero en todo caso, a la luz de recientes resoluciones de autoridades europeas de protección de datos, parece que una base legal general (el interés legítimo) podría justificar incluso el tratamiento de datos de categoría especial, como la huella digital.
Es habitual que la tecnología corra más que las leyes, pero en casos como el de la huella digital, que ya encontramos en todas partes donde vamos, es urgente que la ley se ponga las pilas. Por lo tanto, hasta que no tengamos un criterio claro y unificado por parte de las autoridades de control, será necesario que dedicamos toda nuestra sabiduría, prudencia y atención al uso de la huella digital.
