La AEPD delimita la capacidad del uso de la biometría en la PBCyFT

07-07-2021 — AR/2021/096

En un informe de la Agencia Española de Protección de Datos, se analizan y aclaran los límites del uso de técnicas de reconocimiento facial para verificar la identidad de las personas. Esta limitación va a tener un efecto claro en el comercio electrónico y es previsible que impulse mecanismos alternativos, hoy aún de escaso uso.

La Agencia Española de Protección de Datos (AEPD) ha publicado, el 2-7-2021, un informe en el que analiza los límites para el uso de técnicas de reconocimiento facial en el proceso de alta de clientes.

Estas técnicas se usan para verificar la identidad, como recoge la ley de prevención del blanqueo de capitales y la financiación del terrorismo (PBCyFT),1 y para la prevención del fraude.

Este informe de la Agencia trasciende incluso la normativa de PBCyFT y afecta de lleno al comercio online, que descansa en gran medida en la financiación al consumo y es una actividad sujeta a esta normativa, e incluso alcanza a las actividades para las que se exige una identificación unívoca del usuario o cliente.

Resaltamos los aspectos más relevantes del informe.

Tratamiento de datos biométricos

El Reglamento General de Protección de Datos (RGPD) regula el uso de datos biométricos y define unas garantías no solo para el tratamiento que identifica automáticamente a una persona entre una masa (supuestos de seguridad en lugares públicos), sino también para simplemente comprobar o asegurar la identidad de una persona.

El artículo 9 del RGPD prohíbe el tratamiento de datos biométricos, con ciertas excepciones, entre las que cabe resaltar los supuestos en los que concurran:

  • el consentimiento explícito de los interesados; o
  • razones de interés público esencial sobre la base del Derecho de la Unión o de los Estados miembros.

Informe jurídico de la AEPD 

El informe jurídico señala las siguientes cuestiones:

Razones de interés público esencial

No cabe apreciar en estos sistemas de identificación la concurrencia de razones de interés público esencial, ya que el tratamiento de datos biométricos al amparo del artículo 9.2.g) del RGPD requiere que esté previsto en una norma del Derecho europeo, o nacional con rango de ley.

Esta ley tiene que especificar el interés público esencial que ampara la restricción de la protección de datos y las circunstancias en las que puede limitarse, sin que sea suficiente una invocación genérica de un interés público.

La ley deberá recoger, además, las garantías adecuadas de prevención de los riesgos que concurran y mitiguen sus efectos y respetar el principio de proporcionalidad.

Indudablemente, existe un interés público en la PBCyFT, pero este interés no legitima cualquier tratamiento de datos personales, y por otro lado,  esta normativa de prevención no regula el uso de la biometría.

Además, las entidades financieras se sirven principalmente de estos tratamientos para prevenir el fraude en beneficio propio, no solo para la PBCyFT. Es decir, estos tratamientos responden sobre todo a un interés privado.

Consentimiento explícito

El consentimiento explícito carecerá de libertad y, por tanto, no será válido si se impone al interesado.

Así resulta cuando el acceso a los servicios de la entidad está condicionado a la prestación del consentimiento.

Consecuencias de este informe

Podemos deducir de este informe que las entidades solo podrán utilizar los sistemas de reconocimiento biométrico cuando el interesado haya otorgado su consentimiento explícito, siempre que garanticen que este haya sido efectivamente libre.

Para garantizar esta libertad, consideramos que la única solución será que la entidad facilite al interesado un sistema alternativo al uso de los datos biométricos, de forma que el interesado pueda optar entre ambos.

Este mecanismo alternativo podrá consistir en:

  1. identificarse físicamente en un establecimiento del responsable o en un establecimiento delegado de las medidas de diligencia debida bajo la norma de PBCyFT, o,
  2. como determina el artículo 12 de la ley de PBCyFT:
    • el uso de la firma electrónica cualificada,2 o
    • en una transferencia del cliente procedente de una cuenta a su nombre, abierta en una entidad domiciliada en España, en la Unión Europea, o en países terceros equivalentes.
  3. otros métodos diferentes de identificación mediante la verificación del titular de la cuenta, amparados en la directiva de medios de pago3 (PSD 2, en siglas inglesas) y verificados previamente con el SEPBLAC.4

Sin embargo, estos métodos alternativos afectan de lleno a las actividades sujetas a la ley de PBCyFT, incluida la financiación de consumo, pues, en estos casos:

  • un porcentaje muy elevado de las entidades carece de sedes físicas y, aun así, la exigencia de personación física en un establecimiento rompe la negociación abierta online, y
  • el ingreso en una cuenta carece de la inmediatez que exigen estas operaciones al hacer necesaria la espera de la confirmación.

Por ello, entendemos que la única solución alternativa válida  en la mayoría de los casos será el uso de la firma electrónica cualificada que, sin embargo, no se ha implantado en la práctica y su uso es rarísimo.

En definitiva, parece que este informe de la Agencia va a impulsar enormemente el uso de la firma electrónica cualificada como medio de identificación a distancia, que permita a las entidades financieras y otros sujetos obligados cumplir las obligaciones de diligencia debida de la normativa de PBCyFT. Pero, mientras no se implante y generalice el uso de una solución práctica y adaptada a la realidad, el comercio electrónico va a tener que enfrentarse a una dificultad con la que no contaba.


1 Ley 10/2010, de 28 de abril, de prevención del blanqueo de capitales y de la financiación del terrorismo.
2 Regulada en el Reglamento (UE) n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
3 Directiva (UE) 2015/2366 del Parlamento Europeo y del Consejo, de 25 de noviembre de 2015, sobre servicios de pago en el mercado interior y por la que se modifican las Directivas 2002/65/CE, 2009/110/CE y 2013/36/UE y el Reglamento (UE) no 1093/2010 y se deroga la Directiva 2007/64/CE.
4 Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e Infracciones Monetarias.