Andorra endurece el control sobre el acceso biométrico en empresas y gimnasios
Expertos y la agencia de protección de datos advierten de que las huellas dactilares y los escaneos faciales violan las estrictas normas de proporcionalidad, y urgen alternativas menos invasivas.
Claves
- Los biometrías se califican como datos «especialmente sensibles» según la LQPD andorrana, y requieren consentimiento explícito o interés público con proporcionalidad.
- Deben ofrecerse opciones menos intrusivas como tarjetas o códigos; la comodidad no justifica los biometrías.
- Se necesitan evaluaciones de impacto obligatorias; no hay multas aún, pero las quejas pueden derivar en sanciones.
- La naturaleza irreversible de los biometrías eleva los riesgos en caso de brecha, exigiendo cifrado y salvaguardas de eliminación.
El uso de datos biométricos como huellas dactilares, reconocimiento facial o escaneos de iris para acceder a empresas, gimnasios y otros locales públicos está generando serias preocupaciones en Andorra sobre su legalidad y los riesgos para los derechos fundamentales. La Agència de Protecció de Dades d’Andorra (APDA) y expertos legales y tecnológicos coinciden en que estos datos se califican como «especialmente sensibles» y, en la mayoría de los casos, no cumplen con los requisitos de proporcionalidad de la normativa vigente.
La ley andorrana, recogida en la Llei Qualificada 21/2019 de protecció de dades personals (LQPD) y sus reglamentos de desarrollo, no prohíbe explícitamente los biometrías, pero impone límites estrictos al tratamiento de datos de categoría especial. La APDA subraya que este tratamiento solo es admisible en circunstancias muy concretas, respaldadas por bases legales sólidas como el consentimiento explícito del usuario o un interés público esencial. «Si el acceso se puede lograr con un sistema menos intrusivo, la ley lo exige», afirma Víctor Rosselló, abogado especializado en protección de datos.
Los reglamentos suelen exigir una evaluación de impacto en la protección de datos antes de implementar sistemas biométricos, especialmente para datos sensibles o monitorización pública continua. Aún no se han impuesto multas en Andorra por mal uso, pero la APDA advierte de que las denuncias podrían desencadenar investigaciones y sanciones. El consentimiento debe ser libre, específico, informado y inequívoco; si se basa en él, las empresas deben ofrecer una alternativa real y menos invasiva.
Los biometrías se tratan al mismo nivel que los datos de salud por su sensibilidad, explica Rosselló, quien añade que la comodidad nunca justifica su uso frente a opciones como tarjetas o códigos. Su empleo en gimnasios o comercios, argumenta, choca con los principios básicos de protección de datos, incluida la minimización. Núria Viladrich, directora de OCPS-Tarinas Compliance, señala que, aunque no están prohibidos de forma absoluta, los biometrías requieren un escrutinio caso por caso de su finalidad, necesidad y proporcionalidad. Siempre deben priorizarse alternativas, especialmente para fichar en el trabajo o entrar en un gimnasio, para garantizar un consentimiento verdaderamente voluntario.
El especialista tecnológico Sebastián González, de Dcode Informàtics, coincide y afirma que los biometrías solo son justificables en entornos de alta seguridad como infraestructuras críticas, no en comercios, hostelería o gimnasios, donde existen métodos menos invasivos. El consentimiento de los empleados en el lugar de trabajo suele no ser plenamente libre, lo que aumenta la exposición legal.
Expertos y la APDA también destacan los riesgos de seguridad: a diferencia de contraseñas o tarjetas, los datos biométricos no se pueden cambiar si se ven comprometidos. Se exigen legalmente salvaguardas estrictas como cifrado, controles de acceso y eliminación inmediata, por ejemplo, cuando un socio de gimnasio cancela su membresía.
Fuentes originales
Este articulo se agrego a partir de las siguientes fuentes en catalan: