Debemos partir de conceptualizar los datos biométricos así como sus aplicaciones actuales. Según ha quedado determinado por el propio Grupo de Trabajo del Artículo 29, por dato biométrico podemos entender propiedades biológicas, características fisiológicas, rasgos de la personalidad o tics, que son, al mismo tiempo, atribuibles a una sola persona y mensurables, incluso si los modelos utilizados en la práctica para medirlos técnicamente implican un cierto grado de probabilidad. Ejemplos típicos de datos biométricos son los que proporcionan las huellas dactilares, los modelos retinales, la estructura facial, las voces, pero también la geometría de la mano, las estructuras venosas e incluso determinada habilidad profundamente arraigada u otra característica del comportamiento.
Según ha sido reconocido en diversas ocasiones por la Agencia Española de Protección de Datos, los datos biométricos se utilizan de manera satisfactoria y eficaz en dos campos fundamentales. El primero de ellos, relacionado con la investigación científica, constituyen un elemento clave de la ciencia forense, y el segundo de ellos, sin duda el más difundido y con más desarrollo tecnológico, el campo del control de acceso y de identificación de personas físicas, cada día más reconocido como único método de identificación, basado en el hecho de ser datos de patrón único e irrepetible en cada persona.
La realidad es que los sistemas de identificación a través de datos biométricos, son cada vez más frecuentes, por la ventaja que suponen frente a otros sistemas de autenticación basados en contraseña o en tarjeta, por el hecho de ser estos últimos fácilmente suplantables o cedidos, siendo este el principal motivo que ha llevado al Grupo de Trabajo del Artículo 29 a pronunciarse sobre este tema, máxime si tenemos en cuenta la ausencia de regulación que existe en la mayoría de las legislaciones europeas sobre esto tipo de datos, tal y como es el ejemplo la propia Ley Orgánica 15/1999, de 13 diciembre, de Protección de Datos de Carácter Personal.
Es criterio de este Grupo de Trabajo del Artículo 29, que la protección de este tipo de datos debe ser llevada a cabo a través de medidas de seguridad específicas, por ser un conjunto de datos de la esfera más intima de las personas, siendo por ello equiparable en algunos casos como el ADN, a los datos de salud. La propuesta del Reglamento del Parlamento Europeo y del Consejo que previsiblemente sustituirá a la actual Directiva 95/46, de protección de datos de carácter personal, indica que el tratamiento de estos datos entraña un grave riesgo, por lo que podrían pasar a considerarse susceptibles de aplicación de un nivel de medidas de seguridad al menos medio.
Quedaremos a la espera de ver cómo termina de perfilarse la regulación de este tipo de datos personales, y las especialidades que adquiere dada la gran incidencia que puede llegar a tener, ya que como hemos dicho su uso es cada vez más difundido como método de identificación de personas físicas.
Publicado en Redacción Médica el Jueves, 31 de mayo de 2012. Número 1694. Año VIII.