Resiliencia de Entidades Críticas damentales, con arreglo al principio de proporcionalidad”. Así pues, la finalidad del tratamiento es un factor determinante de su licitud. Como dice el Considerando 39, los fines específicos del tratamiento de los datos personales deben ser explícitos y legítimos, además de adecuados, pertinentes y limitados a lo necesario para los fines para los que sean tratados. Y añade: los datos personales solo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Es decir, aunque al regulador le preocupen todas las situaciones, nada tiene que ver el control horario de un trabajador a efectos laborales con el control de su acceso o permanencia en una instalación crítica, como pueda ser una central nuclear. Por eso, este artículo se refiere únicamente al caso especial de tratamiento de datos biométricos con fines de seguridad. Dicho esto, y en resumen, para poder proceder legalmente al tratamiento de datos biométricos, además de cumplirse las premisas mencionadas en el párrafo anterior, es preciso: Que los datos no estén dirigidos a identificar de manera unívoca a una persona física, o que, estando dirigidos a esa identificación, el interesado dé su consentimiento, o que el tratamiento sea necesario por razones de un interés público esencial. Identificación y consentimiento Sobre la identificación, la AEPD la entiende como el proceso por el cual se reconoce a un individuo particular dentro de un grupo, comparando los datos del individuo a identificar con los datos de cada individuo en el grupo (uno a varios). Yendo un paso más allá, define la verificación o autenticación como el proceso de probar que es cierta la identidad reclamada por un individuo, comparando los datos del individuo únicamente con los datos asociados a la identidad reclamada (uno a uno). Pero, ciertamente, puede afirmarse que esas comparaciones (uno a varios o uno a uno) no implican necesariamente identificar de manera unívoca a una persona física. Los datos biométricos se almacenan ordinariamente en el sistema en forma de plantilla biométrica, que no es una fotografía de la característica física, sino un patrón matemático diseñado para su tratamiento automatizado. A mayor abundamiento, la tecnología actual permite que esa referencia o patrón sea irreversible, impidiendo reconstruir la imagen original, que, por otra parte, nunca ha existido como tal en el sistema. En definitiva, esta forma de almacenamiento solo permite singularizar a un individuo en el contexto del sistema concreto en el que se implanta, posibilitando la ejecución automatizada de determinadas acciones, sin facilitar per se la identificación del individuo. Desde este punto de vista, si se cumplen los requerimientos técnicos adecuados, los datos biométricos así obtenidos dejarían de tener la consideración de categoría especial. Fin del problema. En cuanto al consentimiento, parece claro que, si de lo que se trata es de preservar la privacidad y el individuo consiente voluntariamente el tratamiento de sus datos, el problema desaparece, siempre que el procedimiento se rodee de las debidas garantías. Cuestión diferente es el tratamiento de datos biométricos sin consentimiento del individuo, al amparo de un interés público esencial. En primer lugar, el RGPD no exige que las condiciones impuestas para admitir el tratamiento de categorías especiales de datos personales se cumplan simultáneamente; basta que concurra una sola de las circunstancias previstas, que para este artículo hemos reducido a dos: consentimiento del interesado o existencia de un interés público esencial. Así pues, al amparo de este interés podría procederse al tratamiento de datos biométricos, aun sin / Marzo-Abril 2026 39
RkJQdWJsaXNoZXIy MTI4MzQz