¿Por qué el FaceID del iPhone es lícito y a LaLiga le multan con un millón por “lo mismo”? (Y cómo te puede venir bien)
Actualizando (y ampliando) lo de la "excepción doméstica"
Llevamos años quejándonos amargamente de la súbita y radical restricción de la AEPD de los controles biométricos en el entorno empresarial.
Ya describimos la línea temporal aquí, y pusimos encima de la mesa una solución para desatascar la situación aquí.
Mientras, hemos visto hostiacas de todos los colores. A clubes de fútbol, a supermercados, a empresas, a Colegios Notariales, a LaLiga.
No se puede legitimar ni con consentimiento trucho ni con convenio colectivo voluntarista.
Y durante todo este tiempo, cada dos por tres alguien me preguntaba… ¿y lo de la carita en el iPhone…? ¿QUÉ? ¿EH, QUÉ?
¿Qué pasa con mi dedito y mi careto en los Android, BALDOMERO?
Estás leyendo ZERO PARTY DATA. La newsletter sobre actualidad, tecnopolios y derecho de Jorge García Herrero y Darío López Rincón.
En los ratos libres que nos deja esta newsletter, nos gusta resolver movidas complicadas en protección de datos personales. Si tienes de alguna de esas, haznos así con la manita. O contáctanos por correo en jgh(arroba)jorgegarciaherrero.com
¡Gracias por leer Zero Party Data! Apúntate!
Bueno, pues el otro día leí en un doc de la CNIL -la autoridad francesa de protección de datos- que ha pasado muy desapercibido, la explicación más convincente que he visto en todo este tiempo.
Como mucha gente querrá leer sólo la explicación de lo del iPhone, voy directamente al grano: hablaremos de ejemplo y de las implicaciones. Sólo después, del rollo técnico-jurídico. Pero mucho ojito con ese rollo porque puede permitir resolver lo del control de huella en las empresas españolas (aka “Lo imposible”).
Uhm, veo que sonríes como la carita del “Face Id”… sigamos.
La CNIL dice que el RGPD no aplica cuando concurren estos dos requisitos (los dos):
· Primero.- El tratamiento es iniciado a iniciativa del titular de los datos (en este caso, el dueño del móvil), y realizado bajo su control y en su nombre;
· Segundo.- El tratamiento se lleva a cabo en un entorno separado, es decir, sin posibilidad de intervención por parte ni del proveedor ni de ningún tercero sobre estos datos: el proveedor ha proporcionado los medios para el tratamiento de datos, pero no puede acceder o actuar sobre ellos.
¿Por qué?
Porque aplica la excepción doméstica (ya saben, la regla excepcional por la que el RGPD no afecta al probe ciudadano que hace sus cosas en el ámbito… doméstico, valga la redundancia).
Y porque de esa misma excepción se pueden beneficiar también las empresas que suministran los medios técnicos al interesado, bajo esas dos condiciones.
Y como ejemplo de esto, pone justamente lo del FaceId del iPhone (o del Android, da igual).
Autenticación biométrica en móviles multifunción: este es el caso cuando el tratamiento se realiza únicamente por decisión del usuario, con almacenamiento local y cifrado de sus datos biométricos. De hecho, el tratamiento se lleva a cabo a discreción del individuo, y los datos permanecen completamente bajo su control;
Es decir, en román paladino:
Apple puede hacer 80 veces al día a través de tu iPhone algo que ni LaLiga, ni el Osasuna ni el 90% de las empresas puede hacer: verificar biométricamente que tú eres tú porque tratando tus datos biométricos (tu rostro o tu huella dactilar).
¿Por qué?
Porque lo hacen en un enclave separado del sistema operativo del móvil (Secure Enclave/Trusted Execution Environment), fuera del alcance de las garras de terceros (desarrolladores de apps, empresas interesadas en identificarte o bombardearte con publicidad) y de las propias garras de Apple, que renuncia por diseño a acceder a dicho enclave.
¿Entonces Apple -por ejemplo- no trata tus datos biométricos?
Claro que lo hace. Si no lo hiciera, tu novia, Darth Vader o tu perro podrían desbloquear tu móvil con su cara o dedo. Y no pueden.
-Tu cuñao ingeniero dirá que no, que no se tratan datos, pero eso lo dice sólo porque no sabe de derecho-. Y porque le conviene.
Apple -o el proveedor de turno- ha diseñado los medios de modo que, siendo uno de los sistemas más seguros del mercado -su reconocimiento facial falla muy poco-, está diseñado de modo que lo único que Apple (y cualquier tercero que base sus tratamientos en el Face Id) recibe es un token con el resultado afirmativo/negativo de la autenticación, sin acceder a la plantilla biométrica.
Las posibilidades comerciales de este planteamiento son obvias
Una empresa que haya dotado a sus empleados de móviles corporativos (o esté dispuesta a hacerlo a estos fines) y quiera implementar un control biométrico de entrada o jornada (o volver a activar el que se vió obligado a desactivar debido a aquella guía de la AEPD del 2023) sólo tendría que implementar sensores corporativos NFC/BLE/FIDO2 para recibir la confirmación de identidad de sus empleados.
El empleado se autenticaría en su móvil corporativo, el tratamiento biométrico se produciría en local y la empresa sólo recibiría el token de confirmación/denegación de identidad.
Simplesh.
Ahora tenemos un documento de una autoridad (está en fase de alegaciones, eso sí) que lo razona sólidamente para mi gusto.
Ahonda en todo el coñazo jurídico y más sugestivas revelaciones sobre la escepción doméstica, aquí.
Jorge García Herrero
Delegado de Protección de Datos externo de Freepik