En Vitoria-Gasteiz, a 24 de enero de 2024
Ante la noticia difundida en algunos medios de comunicación, relativa a una iniciativa desarrollada con gran participación ciudadana en un centro comercial de Bilbao, y que implica el tratamiento de datos personales, en concreto el escaneo del iris, a cambio de criptomonedas, esta autoridad de control considera necesario formular la siguiente nota:
- El escaneo del iris constituye un tratamiento de datos biométricos, datos que están incluidos en las categorías especiales de datos reguladas en el artículo 9 del Reglamento General de Protección de Datos y por ello, merecedores de un régimen singular y de una especial protección. Son datos que identifican de manera inequívoca a una persona.
- El tratamiento a gran escala de este tipo de datos requiere además la realización de una evaluación de impacto previa al tratamiento de los datos.
- Para que el consentimiento del afectado legitime el tratamiento de cualquier tipo de datos, más aún en el caso de los datos biométricos, debe cumplir unos requisitos: debe ser libre, informado, específico e inequívoco. Por ejemplo, una situación de desequilibrio entre las partes impide considerar libre el consentimiento otorgado. La información sobre el tratamiento debe ser clara, comprensible y adaptada al destinatario, sobre todo cuando es una persona menor de edad, sin que sea válido el consentimiento de personas menores de catorce años. Además, en el caso de los datos biométricos el consentimiento debe ser explícito.
- Las personas deben ser informadas previamente y con claridad, entre otras cosas, de quién es el responsable, cuál es la finalidad del tratamiento, de la posibilidad de ejercitar los derechos regulados en los artículos 15 a 22 del Reglamento General de Protección de Datos (acceso, supresión, …), o del periodo de conservación de los datos.
- Si lo pretendido es establecer un sistema de identificación, existen otros sistemas eficaces con mucha menor afectación a la privacidad de las personas al no exigir el tratamiento de datos biométricos y ser más respetuosos con el principio de minimización de los datos.
Unai Aberasturi Gorriño
Presidente de la Autoridad Vasca de Protección de Datos