Es muy probable que para visualizar este artículo usted haya desbloqueado su celular mediante el reconocimiento facial o con la lectura de su huella dactilar. Quizá ha solicitado a una aplicación con reconocimiento de voz que le busque o lea este texto, al tiempo que accede a su oficina mediante el reconocimiento de la retina o del iris. Con conocimiento o no, en éstas -como en tantas otras ocasiones- usted ha estado transitando por el mundo de la biometría y del uso de los datos personales.
La recién promulgada Ley 4-23 Orgánica de los Actos del Estado Civil (Ley 4-23), ha puesto este importante tema en la palestra, tanto por la relevancia misma de su regulación, como por los efectos que a futuro pueda implicar respecto del tratamiento de los datos personales. Debemos recordar que la Ley 172-13 sobre Protección de Datos Personales, si bien los define -incluyendo dentro de estos a los especialmente protegidos-, no desarrolla regla particular en el ámbito de los datos biométricos.
En este tema la Ley 4-23 ha desarrollado dos líneas esenciales: i) que la Junta Central Electoral es la encargada de recopilar, tratar y procesar los datos biométricos (Art. 55) y proveerá a entes públicos y privados el servicios de autenticación y certificación de identidad en base a los datos que esta capte (Art. 56), siendo esta la encargada exclusiva de la recaudación, almacenamiento, tratamiento y procesamiento de los datos biométricos (Art. 59); y, ii) que los datos biométricos solo podrán ser cedidos a terceros previo consentimiento de su titular (Art. 57), salvo casos excepcionales de ley, y usados por entidades privadas a partir del consentimiento informado (Art. 58).
Si bien la regulación de los datos biométricos -globalmente considerados como datos personales, y por tanto fundamentales, de carácter sensible y sujetos a condiciones particulares de tratamiento- resulta un importante paso para nuestro ordenamiento, las reglas antes citadas de la Ley 4-23 pudieran fomentar la interpretación de que el modelo de tratamiento de estos datos pasará ahora a uno de carácter estatal y concentrado. Si bien los artículos 57 y 58 de la Ley parten del supuesto de que bajo consentimiento informado las entidades privadas podrán tratar este tipo de dato, los artículos 55, 56 y 59 parecen contradecir esto (al crear un ente exclusivo de registro y almacenamiento de datos). Esta posible situación toma mayor probabilidad al observar que la propia Ley prevé un plazo de 60 días -a partir de su entrada en vigor- para la eliminación de los datos biométricos que hayan sido previamente recopilados (Art. 216).
En el modelo más avanzado sobre tratamiento de datos personales que actualmente podemos tener como referencia, que es el Reglamento General de Protección de Datos de la Unión Europea (“GDPR” por sus siglas en inglés), adoptado en 2016, los datos biométricos son considerados como parte de la categoría especial de datos personales, permitiendo que estos sean tratados por terceros -incluyendo entidades privadas- siempre que exista un consentimiento informado sobre ello (Art. 9.2.1), y conforme a las reglas concretas de acceso fijadas por cada país de la Unión. Al respecto, España, por ejemplo, al incorporarlo a su legislación mediante la Ley Orgánica 3/2018 sobre Protección de Datos Personales y Garantías de los Derechos Digitales, ha mantenido que lo datos biométricos pueden ser tratados por terceros previo consentimiento informado (Art. 9 y Disposición final undécima). Cabe recordar que el tratamiento de datos implica, conforme GDPR, “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
En Colombia el enfoque ha sido similar. El artículo 5 de la Ley 1581 de 2012 sobre Protección de Datos Personales considera a los datos biométricos como parte de los datos personales de carácter especial o sensibles, y sujetan su tratamiento a la autorización expresa del titular.
En el contexto de la Ley 4-23 ¿qué implicaciones puede tener para nuestro sistema un modelo que restringa el tratamiento de datos biométricos por terceros como son las entidades privadas? Muchas, entre ellas una impráctica limitación al desarrollo de procesos de relacionamiento con los titulares de los datos de forma remota, incluyendo por tanto la limitación en ámbitos como la inclusión financiera y la bancarización por medios a distancia. Como se sabe, el uso de la biometría en la tecnología para la operación habitual del comercio o de las relaciones entre particulares resulta esencial, y su tendencia es a convertirla en imprescindible. De concretarse una limitación vía la Ley 4-23, además de no ser consistente con las reglas y prácticas internacionales prevalentes, supondrá una grave afectación para el desarrollo del país (ciudadanos y empresas) y una situación de desequilibrio respecto de los demás sistemas de la región.
Cabe preguntarse también si ¿atenta contra el derecho fundamental a la intimidad, a la privacidad y a la protección de datos el hecho de que los datos biométricos puedan tratarse por terceros -p. e. entidades privadas- en base a un consentimiento informado del titular? Evidentemente que no. Libertad no es sinónimo de libertinaje. De lo que se trata es que el tratamiento de datos personales, y en particular de datos biométricos, responda a un protocolo claro y basado en el consentimiento y la información. Que dicho tratamiento -concepto que incluye la captación, uso y resguardo- cumpla con innegociables normas de seguridad y que, incluso, para los casos de usuarios masivos de este tipo de dato, la normativa prevea, como sucede en Europa, la designación de Oficiales de Protección de Datos (Data Protection Officer).
La reglamentación en materia de datos biométricos que requiere la propia Ley 4-23 debe ser aprobada por la Junta Central Electoral en un plazo de 180 días de la entrada en vigor de esta norma. Este es el escenario ideal para lograr reglas que permitan su implementación equilibrada y efectiva, consistentes con el derecho del titular a autorizar el tratamiento de sus datos biométricos y la responsabilidad de los terceros tratantes a observar importantes reglas de consentimiento, información y seguridad.
En el ínterin, diferentes razones fundamentan que la disposición del artículo 216 que ordena eliminar los archivos de datos biométricos creados antes de la Ley 4-23 devenga inaplicable por los poderes públicos competentes, entre ellas: i) porque implicaría una especie de aplicación retroactiva imperfecta de la nueva norma (imperfecta porque la actual no es expresa -y es más bien dubitativa- en la prohibición de este tipo de archivo, como tampoco se prohibía antes); ii) porque se convierte en una regla irrazonable y desproporcional que pone en riesgo la estabilidad de sectores completos para los que el registro y uso de los datos biométricos no estaba prohibido y para lo que esto constituye base fundamental de su operación; y, iii) porque pone en riesgo la propia tarea reglamentaria que ordena la Ley 4-23, cuyo plazo es mayor a la regla de eliminación prevista en el 216.
La reglamentación de la Ley 4-23 representa una inmejorable oportunidad para lograr que el tratamiento de los datos biométricos conjugue la protección del titular con el fomento de la tecnología y el desarrollo social y económico.