Excepción doméstica y control biométrico
Llevamos años quejándonos amargamente de la súbita y radical restricción de la AEPD de los controles biométricos en el entorno empresarial.
Ya describimos la línea temporal y pusimos encima de la mesa una solución para desatascar la situación aquí.
Mientras, hemos visto hostiacas de todos los colores. A clubes de fútbol, a supermercados, a empresas, a Colegios Notariales, a LaLiga.
No se puede legitimar ni con consentimiento trucho ni con convenio colectivo voluntarista.
Y durante todo este tiempo, cada dos por tres alguien me preguntaba… ¿y lo de la carita en el iPhone…? ¿QUÉ? ¿EH, QUÉ?
¿Qué pasa con mi dedito y mi careto en los Android, BALDOMERO?
Indice
- Con todos ustedes, la CNIL
- ¿Por qué?
- Pero… ¿Por qué?
- ¿Entonces Apple -por ejemplo- no trata tus datos biométricos?
- Las posibilidades comerciales de este planteamiento son obvias
- Actualizando la excepción doméstica
- Primera: La de siempre: aplicación al «sujeto doméstico»
- Segunda: ¿Se puede beneficiar el proveedor de servicios de la excepción doméstica?
Con todos ustedes, la CNIL
Bueno, pues el otro día leí en un doc de la CNIL -la autoridad francesa de protección de datos- que ha pasado muy desapercibido la explicación más convincente que he visto en todo este tiempo.
Como mucha gente querrá leer sólo la explicación de lo del iPhone, voy directamente al grano: hablaremos de ejemplo y de las implicaciones. Sólo después, del rollo técnico-jurídico. Pero mucho ojito con ese rollo porque puede permitir resolver lo del control de huella en las empresas españolas (aka “Lo imposible”).
Uhm, veo que sonríes como esa carita del “Face Id”… sigamos.
La CNIL dice que el RGPD no aplica cuando concurren estos dos requisitos (los dos):
· Primero.- El tratamiento es iniciado a iniciativa del titular de los datos (en este caso, el dueño del móvil), y realizado bajo su control y en su nombre;
· Segundo.- El tratamiento se lleva a cabo en un entorno separado, es decir, sin posibilidad de intervención por parte ni del proveedor ni de ningún tercero sobre estos datos: el proveedor ha proporcionado los medios para el tratamiento de datos, pero no puede acceder o actuar sobre ellos.
¿Por qué?
Porque aplica la excepción doméstica (ya saben, la regla excepcional por la que el RGPD no afecta al probe ciudadano que hace sus cosas en el ámbito… doméstico, valga la redundancia).
Y porque de esa misma excepción se pueden beneficiar también las empresas que suministran los medios técnicos al interesado, bajo esas dos condiciones.
Y como ejemplo de esto, pone justamente lo del Face Id del iPhone (o del Android, da igual):
- «Autenticación biométrica en móviles multifunción: este es el caso cuando el tratamiento se realiza únicamente por decisión del usuario, con almacenamiento local y cifrado de sus datos biométricos. De hecho, el tratamiento se lleva a cabo a discreción del individuo, y los datos permanecen completamente bajo su control»;
Es decir, en román paladino:
Apple puede hacer 80 veces al día a través de tu iPhone algo que ni LaLiga, ni el Osasuna ni el 90% de las empresas puede hacer: verificar biométricamente que tú eres tú porque tratando tus datos biométricos (tu rostro o tu huella dactilar).
Pero… ¿Por qué?
Porque lo hacen en un enclave separado del sistema operativo del móvil (Secure Enclave/Trusted Execution Environment), fuera del alcance de las garras de terceros (desarrolladores de apps, empresas interesadas en identificarte o bombardearte con publicidad) y de las propias garras de Apple, que renuncia por diseño a acceder a dicho enclave.
¿Entonces Apple -por ejemplo- no trata tus datos biométricos?
Claro que lo hace. Si no lo hiciera, tu novia, Darth Vader o tu perro podrían desbloquear tu móvil con su cara o dedo. Y no pueden.
-Tu cuñao ingeniero dirá que no, que no se tratan datos, pero eso lo dice sólo porque no entiende (o más bien no quiere entender) lo que significa «tratamiento de datos».
Apple -o el proveedor de turno- ha diseñado los medios de modo que, siendo uno de los sistemas más seguros del mercado -su reconocimiento facial falla muy poco-, está diseñado de modo que lo único que Apple (y cualquier tercero que base sus tratamientos en el Face Id) recibe es un token con el resultado afirmativo/negativo de la autenticación, sin acceder a la plantilla biométrica.
Las posibilidades comerciales de este planteamiento son obvias
Una empresa que haya dotado a sus empleados de móviles corporativos (o esté dispuesta a hacerlo a estos fines) y quiera implementar un control biométrico de entrada o jornada (o volver a activar el que se vió obligado a desactivar debido a aquella guía de la AEPD del 2023) sólo tendría que implementar sensores corporativos NFC/BLE/FIDO2 para recibir la confirmación de identidad de sus empleados.
El empleado se autenticaría en su móvil corporativo, el tratamiento biométrico se produciría en local y la empresa sólo recibiría el token de confirmación/denegación de identidad.
Simplesh.
Ahora tenemos un documento de una autoridad (está en fase de alegaciones, eso sí) que lo razona sólidamente para mi gusto.
¿Ha llegado el momento de chuparnos las pollas (que diría Winston Wolf)? Por lo menos, lo parece.
Sigamos ahondando en la cuestión: por algo nos llaman frikis de esto:
Actualizando la excepción doméstica
¿Qué sabíamos de la excepción doméstica hasta ahora?
Si hacemos caso del totémico post al respecto de María Loza (este modexto texto sólo pretende actualizarlo), los principales elementos son los siguientes:
EL RGPD no aplica al tratamiento de datos de carácter personal cuando es realizado:
- Por una persona física y
- En el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial.
El considerando 18 menciona expresamente los ejemplos de “la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades”.
Hay dos cosas grasiosas con esto:
- La primera: la excepción doméstica está sujeta a una serie de condiciones.
- La segunda: en general, cuando el interesado (por la excepción) no es responsable, alguien tiene que ser el responsable: y ese alguien es la plataforma (a la red social) no le aplica la excepción. Es lógico: por múltiples razones, su tratamiento de datos “comercial” tiene que tener un responsable por narices. Ni el RGPD ni el TJUE toleran gaps de responsabilidad. Pero hasta este principio general tiene excepciones.
Me duele la boca de decir que la privacidad es rabiosamente casuística, contextual.
Bien, la excepción doméstica es uno de los ejemplos más paradigmáticos
Veamos las dos perspectivas de aplicación de la excepción doméstica:
Primera: La de siempre: aplicación al «sujeto doméstico»
Resumiendo -repito- el trabajo de María Loza:
1.- Primer requisito: Ausencia de vinculación alguna con actividad profesional o comercial.
La AEPD cita una sentencia de la Audiencia Nacional de 2006 en la que se deniega la aplicación de la excepción de la excepción “cuando lo personal y lo profesional aparece entremezclado”.
Quicí: la finalidad del tratamiento no debe trascender el ámbito personal y familiar del sujeto.
Mala suerte, una vez más, para los putos autónomos.
Por mi parte, aporto un par de reflexiones adicionales para este requisito:
a.- Una, extensiva: la finalidad puede trascender el ámbito familiar del sujeto, para comprender el círculo de amistades o relaciones íntimas (estoy pensando en uniones de hecho, relationships, situationships, amigos íntimos, compañeros de curro…) en la medida -esto es lo importante- de que ese ámbito sea después coincidente o coherente con el de la difusión. Hablando en plata: que el perímetro de la difusión -un grupo cerrado de Facebook o whatsapp, por ejemplo-, coincida con la familia, grupo de amigos, rolletes, o arrejuntamiento del sujeto.
Soy muy consciente de esa sentencia del TJUE -Rynes-, que recuerda -como si hiciera falta- que las excepciones se deben interpretar siempre restrictivamente, que esto es así desde el Edicto del Pretor. Pero ya ustedes me entienden.
b.- Otra, restrictiva: que la finalidad sea, no sólo lícita, sino sobre todo “legítima”.
No quiero caer en lo de “no sé describir la pornografía pero eso sí, la reconozco cuando la veo” de aquel famoso juez, pero tal como se ha puesto el patio con la IA y -el ejemplo obvio- los deepfakes caseros, creo que la excepción doméstica no debe amparar a HDLGPs desnudando a conocidas -ya sean “famosas” o ya sean vecinas- en la soledad de su habitación. Que sea difícil pillarles es una cuestión completamente distinta.
2.- Segundo requisito: Los datos, una vez publicados -siempre de forma restringida, en grupos de acceso no público y con un acceso potencial no excesivo (más contextualidad)- no deben ser indexables por motores de búsqueda
Este requisito consta en el Dictamen 5/2009 sobre las redes sociales del Grupo de Trabajo del 29.
Y creo que no hay que interpretarlo literalmente: es solamente un ejemplo.
Creo que lo que se quiere decir aquí es que la excepción doméstica no puede aplicarse cuando existan o puedan existir tratamientos ulteriores al del “sujeto doméstico”, ya sean del proveedor de servicios (esto es, del “responsable” del tratamiento) o de terceros.
¿Qué quiero decir aquí? Ya se lo están imaginando:
Si la posibilidad de indexación por parte de Google impide la aplicación de la excepción, con una lógica parecida, el entrenamiento de modelos de IA también sería un impedimento aún mayor.
Les dejo unos segundos de pausa para que valoren las consecuencias jurídicas de esto, que dan para bastante…
Segunda: ¿Se puede beneficiar el proveedor de servicios de la excepción doméstica?
¿Puede aplicar la excepción doméstica, no al usuario doméstico, sino al proveedor de medios y software?
Recalquemos de nuevo que, si al usuario le aplica la excepción, el proveedor se convierte automáticamente en responsable de tratamiento.
¡PERO!
Pero como decíamos antes, la CNIL en su reciente guía de protección de datos para desarrolladores de apps (página 12), propone dos requisitos cumulativos de aplicación de la excepción doméstica a los proveedores:
“¿En qué casos no aplica el RGPD a los terceros proveedores de medios utilizados en el tratamiento doméstico?
La CNIL recomienda analizar la concurrencia de los siguientes requisitos cumulativos para determinar si los medios de tratamiento proporcionados por un tercero no están sujetos al RGPD:
- Primer requisito.- El tratamiento es iniciado a discreción de la persona (en este caso, el usuario de la aplicación), realizado bajo su control y únicamente en su nombre, es decir, decidido e implementado por esta última;
- Segundo requisito.- El tratamiento se lleva a cabo en un entorno compartimentado, es decir, sin posibilidad de intervención por parte de un tercero sobre estos datos: el tercero ha proporcionado los medios para el tratamiento, pero ya no puede actuar posteriormente sobre los datos.
La CNIL considera que, bajo estas condiciones, el proveedor simplemente proporciona un software para el usuario. El RGPD no se aplica al software proporcionado.
En otros casos, el tercero que trata los datos a petición del individuo puede asumir responsabilidad de acuerdo con el RGPD, ya como responsable o como encargado del tratamiento.”
Y pone dos ejemplos (y cerramos el círculo, pero no se pierdan el segundo, que también tiene lo suyo):
- Autenticación biométrica en móviles multifunción: este es el caso cuando el tratamiento se realiza únicamente por decisión del usuario, con almacenamiento local y cifrado de sus datos biométricos. De hecho, el tratamiento se lleva a cabo a discreción del individuo, y los datos permanecen completamente bajo su control;
- Aplicación móvil de salud: este es el caso cuando la aplicación registra y almacena datos solo localmente, sin conexión externa y con fines exclusivamente personales, sin que la aplicación ofrezca funcionalidades que permitan un servicio remoto a su usuario. En este caso, los datos están completamente bajo el control del usuario, sin ninguna posible intervención de terceros sobre ellos. El tratamiento se realiza a discreción de la persona, que utiliza la aplicación únicamente para uso personal.
Muuuy buena semana.
Jorge García Herrero
Delegado de Protección de Datos