Consideraciones de la plataforma Berri-Otxoak ante la implantación de la huella digital por Lanbide
Abril 2018
Importante impacto en la dignidad humana
La Unión Europea en el Dictamen 3/20121 alerta sobre el importante impacto en la dignidad humana de las personas a las que se les aplica sistemas de identificación biométricos y las implicaciones en cuestión de derechos fundamentales.
Margarita Uria, Directora de la Agencia Vasca de Protección de Datos, ha señalado en su comparecencia ante la comisión de Derechos Humanos del Parlamento Vasco2 y en diversas entrevistas, que el uso de la biometría puede llevar un mayor impacto sobre la dignidad, la protección de la intimidad y la privacidad de personas vulnerables.
Principio general: prohibición de utilización de datos biométricos
Por todo ello, el principio general es la prohibición del tratamiento de datos biométricos, al considerarse categorías especiales de datos.
CONSENTIMIENTO libre y explícito
El Reglamento de la Unión Europea 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales3, ya en vigor, y que despliega toda su efectividad en mayo, establece en su artículo 42 que debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. Deberá recibir una información clara de lo que supone el uso de datos biométricos, del impacto que supone y de la posibilidad de retirar el consentimiento antes de ser “invitado” a pasar por el puesto de datos biométricos.
El Reglamento subraya que el consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno4.
En el artículo siguiente advierte de que el consentimiento no será válido cuando exista un desequilibro claro entre el interesado y el responsable del tratamiento , en particular cuando dicho responsable sea una autoridad pública, y sea, por lo tanto, improbable que el consentimiento se haya dado libremente. Desigualdad que se da de forma clara en la relación Lanbide y personas usuarias.
________________________________________________
1 El Grupo de Trabajo del Art. 29 es un órgano consultivo europeo independiente sobre protección de datos y derecho a la intimidad creado en virtud de la Directiva 95/46/CE, y el del Dictamen 3/2012 sobre la evolución de las tecnologías biométricas, es el documento más importante sobre esta materia: https://www.apda.ad/system/files/wp193_es.pdf
3 REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) https://www.boe.es/doue/2016/119/L00001-00088.pdf
4 El Grupo de Trabajo ya había indicado que hay motivos de peso para suponer que el consentimiento es débil, en relaciones de desequilibrio como las que se dan habitualmente entre empleador y empleado.
Dificultades para un consentimiento libre en el contexto actual de Lanbide y carencias detectadas por parte del Ararteko
El problema se agrava debido a la actitud y malas prácticas de Lanbide desde que asumió la gestión de la RGI, en especial teniendo en cuanta que las usuarias se encuentran, a menudo, en grave riesgo de vulnerabilidad. Malas prácticas que han sido repetidamente denunciadas por todos los movimientos y asociaciones del ámbito social y que ha llevado a un aumento sin precedentes de las resoluciones, recomendaciones e informes del Ararteko.
En estos años, aunque Lanbide no ha implementado la huella digital, accede a informaciones personales de las usuarias que requieren el consentimiento de las mismas. El Ararteko5 ha detectado carencias en la información que se ofrece a las personas con relación a los requisitos y a las obligaciones que se deben reunir o respecto al alcance del consentimiento a cuenta de la solicitud de datos e informes a otras administraciones públicas y las consecuencias que de ello se conllevaría. Y constata que en ocasiones la información no es ajustada a las previsiones normativas o bien es incompleta e insuficiente.
UN EJEMPLO. El documento6 que Lanbide obliga a firmar a las personas usuarias (Autorización para consultar datos en ficheros públicos), es manifiestamente contrario a la Ley ya que no permite discriminar para qué documentos se otorga el consentimiento, no explica que es una facultad de la persona usuaria, que puede ser revocado, que la falta de consentimiento no puede afectar al derecho a percibir la RGI; y finaliza con una clausula extensiva contraria a derecho ya que la persona usuaria prestaría su consentimiento para “cualquier otro dato de carácter personal que sea necesario para la finalidad mencionada”. Además, la actitud general en la relación con Lanbide es que el consentimiento hay que prestarlo obligatoriamente para acceder a la Renta de Garantía de Ingresos.
Hay que tener en cuenta que otros malos funcionamientos de Lanbide como las esperas para obtener una cita, el uso abusivo de las suspensiones, los retrasos en la respuesta a los recursos, los errores, etc. Hace que la persona usuaria viva con el temor a un retraso en la prestación que tiene que garantizar sus ingresos, por lo que afectan directamente a la libertad del consentimiento.
Necesidad de que se ofrezca un sistema alternativo para que el consentimiento se considere otorgado libremente
Para que se considere que el consentimiento se ha otorgado libremente tiene que haber una alternativa válida para la identificación, como una contraseña o una tarjeta de banda magnética. El Grupo de Trabajo de la Unión Europea avisa de que, por ejemplo, un sistema que disuada a los interesados de su utilización (que requiera demasiado tiempo del usuario o que sea demasiado complicado) no puede considerarse como una alternativa válida y, por ende, no daría lugar a un consentimiento válido.
El consentimiento no se considera libre si es obligatoria su aceptación para determinados trámites, como por ejemplo, si fuese necesario prestarlo para gestiones a través de la página web, sellar el darde de forma telemática, acceder al expediente personal, utilizar la aplicación “Mi Lanbidenet” o realizar cursillos de formación o formalizar procesos de inserción socio-laboral.
________________________________________________
5 Reciente INFORME-DIAGNÓSTICO CON PROPUESTAS DE MEJORA SOBRE LA GESTIÓN DE LAS PRESTACIONES DE RENTA DE GARANTÍA DE INGRESOS Y PRESTACIÓN COMPLEMENTARIA DE VIVIENDA POR LANBIDE, 2017 .(PAG.15) http://www.ararteko.eus/RecursosWeb/DOCUMENTOS/1/0_4199_3.pdf
Riesgos muy importantes e imposibilidad de reparación en caso de errores
El dictamen del grupo de trabajo de la UE advierte de los riesgos que conlleva la utilización de datos biométricos para fines de identificación en grandes bases de datos centralizadas, dadas las consecuencias potencialmente perjudiciales parar las personas afectadas, tanto en el caso de desvío de la finalidad que motivó su tratamiento como en el de la violación de los datos.
Los datos biométricos son únicos y la mayoría de ellos generan una plantilla o imagen únicas, por lo que es de gran gravedad el riesgo de una violación de la seguridad de los datos personales, ya que no se pueden cambiar por otros, como ocurre con una clave o una tarjeta.
Obligatoriedad de un análisis de riesgo y evaluación del impacto sobre el derecho fundamental
Cabe recordar que el art. (90) del Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales exige que el responsable lleve a cabo, antes del tratamiento, una evaluación de impacto sobre los derechos fundamentales de las personas usuarias con el fin de valorar la particular gravedad y probabilidad del alto riesgo, análisis y evaluación que Lanbide no ha realizado.
Situación que no se da en la actual puesta en marcha de forma masiva de la recogida e implantación de los datos biométricos/ Huella Digital en 10 oficinas de Lanbide: Vitoria (2), Bilbao (2), San Sebastián, Lasarte-Oria, Beasain, Barakaldo, Portugalete y Sestao. Estamos hablando de más de 25.000 personas afectadas, de ellas 11.000 serían preceptoras de la Renta de Garantía de Ingresos.
Necesidad de una norma de carácter general que se debe tramitar antes de su implantación
En cualquier caso, los tratamientos de las categorías especiales de datos por razones de interés público esencial requieren de una norma de carácter general, que el Departamento no ha tramitado. La Directora de la Agencia Vasca de Protección de Datos, Margarita Uría, considera, además, que esta debería tener rango de Ley.
Los datos han de conservarserse el tiempo estrictamente necesario y ha de ser posible y sencillo el cambio a un sistema que no se base en datos biométricos
La persona responsable del tratamiento deberá garantizar que los datos, o los perfiles derivados de esos datos, se supriman una vez transcurrido el plazo estrictamente necesario para los fines para los que dichos datos fueron recabados.
Puesto que el consentimiento puede ser revocado en cualquier momento, los responsables del tratamiento de datos deben aplicar medios técnicos que puedan invertir el uso de datos biométricos en sus sistemas.
