José Luis Piñar, experto en protección de datos: "Es ilegal y desproporcionado que tu empresa utilice sin consentimiento la imagen facial de sus empleados"

El Tribunal Superior de Justicia de Galicia ha sentado un precedente al condenar a una empresa a pagar 7.000 euros de indemnización a una trabajadora por utilizar sus datos biométricos sin su consentimiento para el control de acceso. Este caso, discutido en el programa 'Herrera en COPE' por Jorge Bustos, ha puesto sobre la mesa el debate sobre los límites legales de estas tecnologías en el entorno laboral, una cuestión que ha aclarado el experto José Luis Piñar, exdirector de la Agencia Española de Protección de Datos (AEPD).

El consentimiento y la proporcionalidad como clave

José Luis Piñar, actual catedrático de Derecho Administrativo de la Universidad CEU-San Pablo, ha explicado que la legislación de protección de datos no prohíbe el uso de sistemas biométricos, sino que regula cómo deben implementarse. La sentencia no declara ilegal la tecnología en sí, sino su aplicación en este caso concreto por ser "desproporcionado". La empresa impuso el reconocimiento facial a pesar de que existían alternativas menos intrusivas, como la tarjeta de acceso, y, sobre todo, sin haber obtenido el consentimiento explícito de la empleada.

Según Piñar, el problema de fondo es que "se va más allá de lo que podría hacerse violando menos un derecho tan esencial como es la protección de datos de carácter personal". Insiste en que la clave de la protección de datos es que los ciudadanos mantengan el control sobre su información y sepan en todo momento "qué están haciendo y qué no están haciendo con nuestros datos personales".

No todos los datos biométricos son iguales

El experto también ha hecho una distinción importante. Aunque el reconocimiento facial es el más conocido, el uso de la huella dactilar está mucho más extendido y es considerado "menos intrusivo". Existen, además, tecnologías que permiten utilizar la huella sin que la empresa almacene el dato bruto, lo que añade una capa de seguridad para el empleado.

En este sentido, Piñar aclara que no toda imagen es un dato biométrico sensible. "Solo son datos biométricos aquellos que se utilizan para identificar unívocamente a una persona", afirma. Por ejemplo, las grabaciones de las cientos de cámaras de videovigilancia que una persona puede encontrarse en su día a día no se consideran datos biométricos de categoría especial, ya que su finalidad es la seguridad general y no la identificación inequívoca de cada individuo.

Riesgos: de la suplantación de identidad a la falsa seguridad

Uno de los mayores peligros asociados a estos sistemas es la filtración de los datos biométricos. Piñar ha advertido de que si esta información cae en malas manos, las consecuencias pueden ser "extremadamente graves", ya que facilita enormemente los delitos de suplantación de identidad. "La suplantación de identidad es mucho más fácil si utilizan datos biométricos", subraya el experto.

Por ello, es fundamental que cualquier sistema que los utilice lo haga con medidas de seguridad muy rigurosas. Aquí entra en juego el principio de "protección de datos desde el diseño por defecto", que obliga a que las aplicaciones y dispositivos se creen garantizando la seguridad desde su origen. Piñar lo compara con la seguridad en los coches: "No se trata solo de conducir bien, sino que el coche lleve cinturón de seguridad, airbag y medidas de seguridad".

Aunque el uso de la cara o la huella para desbloquear el móvil o acceder a aplicaciones bancarias es cada vez más común, Piñar advierte sobre la tendencia de que "lo que empieza siendo excepcional pasa a ser normal y al final se convierte casi en necesario". Sin embargo, concluye que no hay que "volvernos paranoicos", sino ser conscientes y exigir que la tecnología se diseñe y utilice con todas las garantías, especialmente cuando está en juego la propia identidad de la persona.