Comunicat en relació a l'escaneig de dades biomètriques com l'iris a canvi de criptomonedes a Catalunya

Davant les informacions recollides per diversos mitjans, que asseguren que centenars de persones, entre les quals menors d'edat, accepten l'escaneig del seu iris a canvi de criptomonedes a diversos establiments comercials de Catalunya, l’Autoritat Catalana de Protecció de Dades (APDCAT) vol posar de manifest  el següent:

• Aquesta acció comporta la comunicació d’una dada personal considerada com una categoria especialment sensible. És una dada biomètrica que permet la identificació inequívoca de la persona a través d’una característica física que no es pot variar al llarg de la vida.
• Aquesta  categoria de dades compta amb una protecció especial per la normativa de protecció de dades, ates l’elevat risc que comporta el seu tractament per als drets i llibertats de les persones i els nombrosos perjudicis que se’n podrien derivar d’un mal ús.
• El tractament de dades personals requereix una base jurídica per a dur-lo a terme, i, en cas de les dades biomètriques, pot ser el consentiment explícit. Ha de ser lliure, informat, específic i inequívoc. Això exigeix que la persona que l’atorga ha de ser plenament conscient de les conseqüències que es poden derivar del tractament de la seva informació.
• En cas de menors de 14 anys, el consentiment l'han d’atorgar els pares, mares o tutors legals.
• Per tractar les dades biomètriques no n'hi ha prou amb el consentiment, sinó que l'organització que duu a terme el tractament ha d'informar les persones sobre aspectes com:
  • Qui tracta les dades (identitat i dades de contacte) i per a quina finalitat
  • Dades de contacte del Delegat de Protecció de Dades.
  • Quina és la base jurídica que li permet tractar-les.
  • El temps que les conservarà
  • Si les cedirà a tercers
  • Si es realitzaran transferències internacionals de dades fora de la Unió Europea
  • Davant de qui i com es poden exercir els drets d’accés, rectificació, supressió o oposició i limitació del tractament
  • El dret a presentar una reclamació davant l’autoritat de control de protecció de dades.
• Aquesta informació a la persona afectada pel tractament de les seves dades ha de ser clara, concisa i adaptada a cada col·lectiu, especialment en el cas dels menors d'edat. Per tant, aquest consentiment informat exigeix que la persona també entengui i sigui conscient de què suposa realment el tractament de les seves dades personals.
• Diversos organismes i autoritats de la Unió Europea investiguen a hores d'ara si aquesta iniciativa s'ajusta als principis i obligacions que estableix el Reglament general de protecció de dades, i cal ser prudents fins a determinar els seus impactes reals.
• L'ús de dades biomètriques amb tecnologies com el reconeixement facial es limita a supòsits molt concrets de la normativa de protecció de dades, atès l'alt impacte en els drets i llibertats de les persones que pot suposar. Cal justificar molt bé la proporcionalitat d'aquest tipus de sistemes, i garantir el principi de minimització de dades (utilitzar les dades mínimes per a la finalitat perseguida).
• L'APDCAT recorda la necessitat de prendre consciència del valor de les dades personals i dels riscos associats a compartir-les i cedir-les sense control. Així, el fet de difondre informació sobre la geolocalització, l'estat físic i de salut, etc. que serveixi per identificar una determinada persona pot contribuir a l'hora de patir situacions indesitjables com ara suplantació d'identitat, ciberdelinqüència, ciberassetjament, o condicionar el present i futur professional, entre altres.
• L'APDCAT posa a disposició de la ciutadania els seus canals de denúncia i reclamació davant incompliments de la normativa de protecció de dades.