Contacto
Ante las informaciones recogidas por varios medios, que aseguran que cientos de personas, entre ellas menores de edad, aceptan el escaneo de su iris a cambio de criptomonedas en varios establecimientos comerciales de Cataluña, la Autoridad Catalana de Protección de Datos ( APDCAT) quiere poner de manifiesto lo siguiente:
• Esta acción comporta la comunicación de un dato personal considerado como una categoría especialmente sensible. Es un dato biométrico que permite la identificación inequívoca de la persona a través de una característica física que no puede variarse a lo largo de la vida.
• Esta categoría de datos cuenta con una protección especial por la normativa de protección de datos, dado el elevado riesgo que comporta su tratamiento para los derechos y libertades de las personas y los numerosos perjuicios que podrían derivarse de un mal uso.
• El tratamiento de datos personales requiere una base jurídica para su realización, y, en caso de datos biométricos, puede ser el consentimiento explícito. Debe ser libre, informado, específico e inequívoco. Esto exige que la persona que le otorga debe ser plenamente consciente de las consecuencias que se pueden derivar del tratamiento de su información.
• En caso de menores de 14 años, el consentimiento será otorgado por los padres, madres o tutores legales.
• Para tratar los datos biométricos no es suficiente con el consentimiento, sino que la organización que lleva a cabo el tratamiento debe informar a las personas sobre aspectos como:
• Quien trata los datos (identidad y datos de contacto) y para qué finalidad
• Datos de contacto del Delegado de Protección de Datos.
• Cuál es la base jurídica que le permite tratarlas.
• El tiempo que las conservará
• Si las cederá a terceros
• Si se realizarán transferencias internacionales de datos fuera de la Unión Europea
• Ante quién y cómo pueden ejercerse los derechos de acceso, rectificación, supresión u oposición y limitación del tratamiento
• El derecho a presentar una reclamación ante la autoridad de control de protección de datos.
• Esta información a la persona afectada por el tratamiento de sus datos debe ser clara, concisa y adaptada a cada colectivo, especialmente en el caso de menores de edad. Por tanto, este consentimiento informado exige que la persona también entienda y sea consciente de qué supone realmente el tratamiento de sus datos personales.
• Varios organismos y autoridades de la Unión Europea investigan en estos momentos si esta iniciativa se ajusta a los principios y obligaciones que establece el Reglamento general de protección de datos, siendo prudentes hasta determinar sus impactos reales.
• El uso de datos biométricos con tecnologías como el reconocimiento facial se limita a supuestos muy concretos de la normativa de protección de datos, dado el alto impacto en los derechos y libertades de las personas que puede suponer. Es necesario justificar muy bien la proporcionalidad de este tipo de sistemas, y garantizar el principio de minimización de datos (utilizar los datos mínimos para la finalidad perseguida).
• La APDCAT recuerda la necesidad de tomar conciencia del valor de los datos personales y de los riesgos asociados a compartirlos y cederlos sin control. Así, difundir información sobre la geolocalización, el estado físico y de salud, etc. que sirva para identificar a una determinada persona puede contribuir a la hora de sufrir situaciones indeseables como suplantación de identidad, ciberdelincuencia, ciberacoso, o condicionar el presente y futuro profesional, entre otros.
• La APDCAT pone a disposición de la ciudadanía sus canales de denuncia y reclamación ante incumplimientos de la normativa de protección de datos.