La Agencia Española de Protección de Datos (AEPD) ha publicado su respuesta a una consulta previa realizada por las Fuerzas y Cuerpos de Seguridad del Estado el pasado 27 de marzo de 2025, sobre la posibilidad de implementar un control de acceso a sus instalaciones a través de biometría. El tratamiento de los datos biométricos afectaría alos visitantes de las instalaciones, a trabajadores y a las personas que residen en el mismo recinto. El tratamiento planteado se reduce a la autenticación uno-a-uno, es decir, solo comprueba que la persona es quien dice ser comparando sus datos con una plantilla única previamente vinculada a su identidad.
En primer lugar, la AEPD recuerda que los datos biométricos pertenecen a la categoría especial de datos del artículo 9 del Reglamento General de Protección de Datos (RGPD), tanto para la autenticación como para la identificación. Sin embargo, recalca que no todos los tratamientos provocan el mismo impacto ni necesitan medidas idénticas de protección. La autenticación bien diseñada y localizada puede ser más proporcionada y menos intrusiva que la identificación masiva.
Respecto a la necesidad y proporcionalidad del sistema propuesto, en su evaluación de impacto, el consultante justificaba los intereses legítimos en torno a la seguridad pública. Del mismo modo, afirma que se trataba de un sistema necesario debido a la mayor fiabilidad que tiene con respecto a otros sistemas, para saber quién entra a espacios protegidos, evitar suplantaciones de identidad y restringir el acceso a espacios no autorizados. La AEPD considera que, efectivamente, se trata de un sistema apropiado al fin perseguido porque permite verificar la identidad con mayor fiabilidad que otros mecanismos, evitando suplantaciones, sin embargo, señala que la evaluaciónde impacto podría haber perfilado mejor la aplicación del sistema en zonas específicas (como áreas residenciales) para asegurar la proporcionalidad.
Por otro lado, la AEPD entiende que la legalidad en cuanto a la base jurídica, la precisión y la previsibilidad del riesgo e impacto es suficiente para el tratamiento consultado. Hay que recordar que no aplica la prohibición de un tratamiento del artículo 9 RGPD cuando dicho tratamiento sea necesario para el cumplimiento de una obligación legal. En este caso, el consultante justifica la finalidad esencial perseguida, relativa a la seguridad, prevención de delitos y amenazas, basándose en el artículo 11 de la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad que asigna a estos cuerpos la función de "vigilar y proteger los edificios e instalaciones públicos que lo requieran".
La AEPD concluye en su informe que las medidas adoptadas mitigan los riesgos suficientemente. Además, señala que el tratamiento biométrico responde a un objetivo legítimo, encontrando una base legal suficiente y con la adopción de medidas técnicas que cumplen de forma idónea frente a otras opciones menos eficaces. Por último, se establece que no existe medida igual de eficaz que alcance los mismos fines con menor impacto, a lo que se añaden unas garantías que hacen posible que no existan perjuicios desproporcionados para los derechos de los interesados en comparación con los fines perseguidos.