A raíz de una solicitud de la Agencia francesa de Protección de Datos, el Comité Europeo de Protección de datos (EDPB por sus siglas en inglés) acaba de publicar un Dictamen sobre el uso de tecnologías de reconocimiento facial por parte de operadores aeroportuarios y compañías aéreas para agilizar el flujo de pasajeros en los aeropuertos.
Como observación preliminar, el Comité recuerda que el uso de datos biométricos y, en particular, de la tecnología de reconocimiento facial, conlleva mayores riesgos para los derechos y libertades de los interesados.
El reconocimiento facial se trata, sin duda, de un tratamiento de datos personales que puede colisionar con los principios de limitación del plazo de conservación (artículo 5.1 e), del RGPD), el principio de integridad y confidencialidad (artículo 5.1 f) la protección de datos desde el diseño y por defecto (artículo 25) y la seguridad del tratamiento (artículo 32 GPDR).
El Comité evalúa la conformidad del tratamiento con las disposiciones del RGPD antes mencionadas en el contexto de cuatro supuestos específicos.
El primer supuesto implica el almacenamiento de una plantilla biométrica registrada en manos de la persona, por ejemplo, en su dispositivo individual, bajo su control exclusivo con el fin de autenticar el pasajero a medida que avanza por los puntos de control del aeropuerto. El Comité concluye que podría considerarse que las medidas elegidas cumplen el principio de necesidad si el Responsable puede demostrar que no existen soluciones alternativas menos intrusivas que puedan lograr el mismo objetivo con la misma eficacia. Además, el carácter intrusivo del tratamiento puede contrarrestarse con la participación activa de los pasajeros, ya que su plantilla biométrica se almacena únicamente en sus manos, en su dispositivo individual, bajo su control exclusivo y sus datos se borran poco después de que se haya completado el cotejo. Sobre esta base, el Comité concluye que el tratamiento previsto en el primer supuesto podría considerarse, en principio, compatible con el RGPD, siempre que se apliquen las garantías adecuadas.
El segundo escenario implica el almacenamiento centralizado, dentro del aeropuerto, de una plantilla biométrica encriptada con una clave/secreto únicamente en manos del pasajero. Esto permite la autenticación del pasajero a medida que pasa por los puntos de control. La inscripción es válida durante un periodo determinado que, por ejemplo, puede ser de hasta un año después del último vuelo hasta la fecha de caducidad del pasaporte. El Comité concluye que podría considerarse que el tratamiento cumple el principio de necesidad si el responsable del tratamiento puede demostrar que no existen soluciones alternativas menos intrusivas que puedan alcanzar el mismo objetivo con la misma eficacia. Además, el carácter intrusivo del tratamiento puede ser contrarrestado por la participación activa del pasajero, ya que tiene bajo su control exclusivo la clave de sus datos biométricos cifrados. Suponiendo que el responsable del tratamiento aplique las salvaguardias adecuadas, los riesgos de seguridad derivados del uso de una base de datos centralizada en este caso podrían mitigarse y el impacto negativo sobre los derechos fundamentales de los interesados podría reducirse y considerarse proporcional al beneficio previsto. En cuanto al principio de limitación de conservación, el Comité recomienda que los Responsables prevean el periodo de conservación más breve posible, ofreciendo al mismo tiempo a los pasajeros la opción de fijar el período de conservación que prefieran. Sobre esta base, el Comité concluye que el tratamiento previsto en la hipótesis 2 podría considerarse conforme al RGPD.
En el tercer y cuarto escenario, tratan de soluciones basadas en el almacenamiento en una base de datos centralizada dentro del aeropuerto o en la nube, sin las claves de cifrado en manos de la persona, el Comité considera que no pueden ser compatibles con los requisitos de la protección de datos desde el diseño y por defecto, confidencialidad, regulados en el RGPD.