El uso de la biometría bajo el punto de mira de la regulación

El uso de estas técnicas biométricas, ampliamente utilizadas en ciertos sectores, para reforzar la seguridad, se va a empezar a enfrentar a exámenes exhaustivos en caso de que se quieran seguir utilizando. Estas son las técnicas que identifican a los individuos por sus rasgos físicos, como puede ser la cara o la huella dactilar, pero también la voz. Desde la Unión Europea, la aprobación del Reglamento de Inteligencia Artificial, que tanta cola ha traído, y aunque no entrará en vigor hasta 2026, establece nuevas restricciones y clasificaciones de estas tecnologías con el objetivo de reducir los riesgos asociados a estas tecnologías. 

No obstante, no es el único cambio al negocio de la biometría, ya que a nivel nacional, la AEPD, publicó recientemente una guía que limitaba el uso de la biometría y establecía criterios más estrictos para su uso para fines laborales y no laborales, ya que se considera que el tratamiento de este tipo de datos es de alto riesgo por incluir categorías especiales de datos. El resultado de esto es una incertidumbre general por parte de las empresas españolas, en un mercado que se espera que llegue a los 150.580 millones de euros a nivel mundial. Para algunos expertos, la nueva Ley de Inteligencia Artificial aspira a convertirse en el modelo a seguir a nivel mundial, igual que lo fue el Reglamento General de Protección de Datos en su momento. Esta ley se ve con buenos ojos ya que se considera que protege los valores europeos en el uso de la tecnología y protegen adecuadamente a los ciudadanos, todo esto sin obstaculizar la innovación. La nueva ley establece tres niveles de riesgos: inaceptable, entre los que se encuentran los sistemas representan una amenaza directa a la seguridad pública o los derechos, y excepto en contadas ocasiones están prohibidos; los de riesgo alto, que deberán pasar una serie de auditorías de protección de datos, privacidad y riesgos y evaluaciones de impacto para poder implementarse, y; los sistemas de bajo riesgo. 

La cuestión clave para definir el sistema de una forma u otra es que el usuario afectado conozca y decida libremente sobre su uso. En este caso, los sistemas de identificación biométrica remota no son aceptables por no cumplir esta condición. El objetivo de esta nueva ley es preventivo, ya que se busca evitar problemas con estas tecnologías en el futuro. Cabe destacar, que la nueva ley, sólo afectará a  los sistemas de biometría que utilicen inteligencia artificial, los que no la utilicen tendrán que cumplir la normativa de protección de datos, pero no este nuevo reglamento. Lo más destacable de la nueva ley es el régimen sancionador, que variará dependiendo de la infracción, pero que por realizar prácticas prohibidas, contempla sanciones de 35 millones de euros o el 7% de la cifra de negocios anual en todo el mundo, la que sea más alta.

La nueva Guía de la AEPD por su parte supone un cambio de rumbo de la Agencia española que se alinéa con los demás países europeos, y establece un criterio más estricto para el uso de datos biométricos en el registro de jornada. La Agencia indica que en el uso de datos biométricos para el registro de jornada y control de acceso con fines laborales, el consentimiento no supone una base suficiente, ya que el uso de datos biométricos para esta finalidad no es necesario y estaría infringiendo el principio de minimización y proporcionalidad. Estas nuevas restricciones generan incertidumbre entre las empresas que usaban estos medios, pero sobre todo generan pérdidas para las empresas proveedoras de estos servicios, al ver que muchas empresas han renunciado al uso de estas tecnologías.