¿Es posible el reconocimiento facial en aeropuertos?

A petición de la autoridad francesa de protección de datos, el Comité Europeo de Protección de Datos (“CEPD”) ha publicado la reciente Opinión 11/2024, sobre el uso de la tecnología de reconocimiento facial por parte de los operadores aeroportuarios y las compañías aéreas con el fin de agilizar el flujo de pasajeros en los aeropuertos (la “Opinión”). Esta publicación cobra especial relevancia si se tiene en cuenta:

• Que este tipo de tecnologías conllevan mayores riesgos al tratar categorías especiales de datos de conformidad con el artículo 9 del Reglamento General de Protección de Datos (“RGPD”); y
• En el plano nacional, las distintas aristas que se han levantado con la publicación de la Guía sobre tratamientos de control de presencia mediante sistemas biométricos de la Agencia Española de Protección de Datos (“AEPD”). Para mayores detalles, remitimos a nuestra entrada “¿Prohíbe la AEPD tratar datos biométricos para control de acceso?”.

La Opinión sólo analiza el tratamiento de datos personales de los pasajeros y no abarca otros tipos de interesados, como el personal de las compañías aéreas o de los operadores aeroportuarios. Además, el alcance de la Opinión se limita a la compatibilidad del tratamiento con el artículo 5.1, letras e) y f), y los artículos 25 y 32 del RGPD, con el fin específico de agilizar el flujo de pasajeros en cuatro puntos: (i) el control de seguridad; (ii) la entrega de equipajes; (iii) el embarque; y (iv) el acceso a la sala de pasajeros. Sin perjuicio de lo anterior, la Opinión proporciona algunas pautas e indicaciones que, salvando las distancias, pueden resultar útiles en tratamientos de una naturaleza similar.

Asimismo, el análisis de la base jurídica aplicable no entra en el ámbito de las cuestiones planteadas al CEPD y, en consecuencia, en la Opinión no se examina la validez del consentimiento para dicho tratamiento, de conformidad con los artículos 6, 7 y 9 del RGPD. No obstante, el CEPD recuerda que en caso de optarse por el consentimiento explícito: (i) las personas tendrían que poder retirar fácilmente dicho consentimiento en cualquier momento y sin ningún perjuicio; (ii) para que el consentimiento se otorgue libremente, el uso de tecnologías biométricas sólo puede tener lugar de forma voluntaria e informada, ya que las personas deben poder elegir libremente si desean o no utilizar estos servicios, sin que su negativa les ocasione algún perjuicio (p.ej., un aumento significativo de los costes o ser objeto de mayores retrasos); además, (iii) debería garantizarse que no se escanee la cara de las personas que no hayan dado su consentimiento al reconocimiento facial (p.ej., proporcionando la señalización y la separación física adecuadas para aquellas personas que realmente quieran ser sometidas a este tratamiento).

Teniendo en cuenta todo lo anterior, la Opinión del CEPD evalúa la conformidad de dicho tratamiento biométrico en el contexto de los cuatro escenarios a continuación.

Primer escenario

El CEPD analiza la licitud del almacenamiento de una plantilla biométrica registrada en manos del individuo, por ejemplo, en su dispositivo móvil personal, bajo su control exclusivo con el fin de autenticar/verificar (uno-a-uno; 1:1) al pasajero a medida que avanza a través de los puntos de control del aeropuerto antes mencionados.

El CEPD concluye que puede considerarse que las medidas elegidas cumplen el principio de necesidad si el responsable del tratamiento puede demostrar que no existen soluciones alternativas menos intrusivas que permitan alcanzar el mismo objetivo con la misma eficacia. Por ejemplo, sería innecesario este mismo tratamiento si, hasta ahora, no se hubiese requerido obligatoriamente la verificación de la identidad de los pasajeros con un documento de identidad oficial. Además, considera el CEPD que el carácter intrusivo del tratamiento puede contrarrestarse con la participación activa de los pasajeros, ya que la plantilla biométrica se encontraría bajo su exclusivo control, y sus datos se podrían suprimir poco después de haber sido cotejados.

A partir de lo anterior, el CEPD concluye que el tratamiento podría considerarse compatible con el artículo 5.1.f), y con los artículos 25 y 32 del RGPD, siempre que se apliquen las medidas técnicas y organizativas adecuadas. En este sentido, el RGPD no exige que los responsables del tratamiento apliquen un listado de medidas específico; no obstante, el CEPD proporciona en la Opinión un listado no exhaustivo de medidas que podrían resultar de utilidad para el tratamiento analizado. Entre dichas medidas se encuentran las siguientes:

• La elaboración de una evaluación de impacto relativa a la protección de datos;
• Medidas destinadas a garantizar los derechos de los interesados;
• Medidas de rendición de cuentas del responsable del tratamiento;
• La efectiva implantación de políticas que garanticen el cumplimiento de la normativa de protección de datos;
• Proporcionar formación adecuada al personal implicado en el tratamiento; y
• La implementación de medidas de seguridad físicas y lógicas de la infraestructura y la red, entre otras.

Asimismo, el CEPD recuerda que con anterioridad habían sido publicadas las Directrices 3/2019, sobre el tratamiento de datos personales mediante dispositivos de vídeo, que ya proporcionaban algunas indicaciones y medidas de seguridad adicionales que pueden aplicarse para este tipo de tratamientos de datos biométricos.

Segundo escenario

El segundo supuesto implica el almacenamiento centralizado, dentro del aeropuerto, de una plantilla biométrica registrada de forma encriptada con una clave de desbloqueo únicamente en manos del pasajero. Como en el caso anterior, esto permitiría la autenticación/verificación de la identidad de los pasajeros a medida que pasan por los puntos de control durante un periodo determinado, que, según indica el CEPD, podría ser de hasta un año.

El CEPD concluye que podría considerarse que el tratamiento cumple el principio de necesidad si el responsable del tratamiento puede demostrar que no existen soluciones alternativas menos intrusivas que puedan lograr el mismo objetivo con la misma eficacia. El carácter intrusivo del tratamiento también podría verse contrarrestado por la participación activa del pasajero, ya que este tiene bajo su exclusivo control la clave de desbloqueo que permite la lectura de la plantilla biométrica. En consecuencia, el CEPD determina que, en este caso, y siempre que se apliquen medidas de seguridad adecuadas (como las expuestas anteriormente), el tratamiento también podría considerarse lícito.

Tercer escenario

El siguiente escenario analizado por el CEPD implica el almacenamiento centralizado de una plantilla biométrica registrada de forma encriptada dentro del aeropuerto bajo el control del operador aeroportuario. Esto permite la identificación de los pasajeros (uno-a-varios; 1:N), a medida que pasan por los puntos de control del aeropuerto anteriormente mencionados. El plazo de conservación de los datos en este caso suele ser de 48 horas y los datos se borran una vez que el avión ha despegado.

Dado que la conservación de los datos biométricos se realiza en una base de datos central, si la confidencialidad de la base de datos se ve comprometida, puede implicar posteriormente el acceso a todo el conjunto de datos y podría permitir la identificación no autorizada o ilícita de pasajeros en otros entornos. La arquitectura de almacenamiento centralizado bajo el control del gestor aeroportuario también conduce a que el pasajero pierda en mayor medida el control de sus datos. Por ello, en este caso el CEPD considera que existen alternativas para logar la finalidad pretendida de manera menos intrusiva y con un impacto menos perjudicial para los derechos y libertades de los interesados. En consecuencia, concluye el CEPD que el tratamiento no sería válido al no cumplir con los principios de necesidad y proporcionalidad.

Cuarto escenario

El último escenario analizado por el CEPD implica el almacenamiento centralizado de una plantilla biométrica registrada de forma cifrada en la nube bajo el control de la compañía aérea o de su proveedor de servicios en la nube. Como en el caso inmediatamente anterior, esto permite la identificación de los pasajeros a medida que pasan por los puntos de control. Los datos biométricos en este caso podrían conservarse mientras el pasajero tenga una cuenta de cliente con la compañía aérea.

Dado que el almacenamiento de los datos biométricos y de identificación se realiza en una base de datos central en la nube, múltiples entidades podrían tener acceso a dichos datos, incluso proveedores fuera del Espacio Económico Europeo. Esta arquitectura de almacenamiento centralizado también hace que el pasajero pierda en mayor medida el control de sus datos. Además, los datos también podrían almacenarse durante un periodo de tiempo más allá de lo estrictamente necesario y proporcionado para los fines del tratamiento. Por todo ello, el CEPD considera que el tratamiento de datos biométricos en un escenario como este tampoco resultaría válido.

Reflexión final

Con los cuatro escenarios anteriores, el CEPD muestra hasta qué punto la validez de un tratamiento de datos se determina en los detalles, especialmente cuando dicho tratamiento incluye el uso de categorías especiales de datos contempladas en el artículo 9 del RGPD.

A mayor abundamiento, respecto los tratamientos de datos biométricos, recordemos que la AEPD también ha venido advirtiendo sobre su especial sensibilidad, llegando a pronunciarse sobre los mismos en varias ocasiones y sancionando con multas administrativas de importante cuantía a distintas organizaciones. Para más información, puede verse nuestra entrada “Primeras sanciones de la AEPD por control biométrico”.