Una empresa escanea el iris a menores a cambio de criptomonedas en un centro comercial
¿Qué ha ocurrido?
Se pusieron en contacto con nosotros a través del teléfono 017 del servicio ’Tu Ayuda en Ciberseguridad’ los padres de un menor de 16 años, muy preocupados porque su hijo, había accedido a que escanearan su iris en un stand publicitario en un centro comercial.
Nos explicaron que, a cambio de este dato biométrico, ofrecieron al menor una criptomoneda perteneciente a la empresa a través de una aplicación propia.
Nuestros usuarios creían que el menor no había facilitado ningún otro dato personal adicional, como nombre y apellidos o su dirección, pero, aún así, estaban muy preocupados por la legalidad de que una empresa privada pudiera tener datos biométricos de menores sin el consentimiento de los padres.
Asimismo, nos preguntaron por los posibles peligros de que una empresa tenga los datos de su hijo, y que pudieran estar aprovechándose de otros menores de edad, entre ellos, muchos de los amigos de su hijo.
Estaban especialmente intranquilos por las repercusiones que pudiera tener esto en un futuro, ya que eran conocedores de que el iris es un dato que permite la identificación de una persona de forma inequívoca.
Decidieron llamarnos para obtener información sobre qué pasos podían dar ante esta situación.
¿Qué pautas le hemos dado?
En primer lugar, les explicamos las cuestiones relativas en cuanto a la edad para consentir el tratamiento de datos personales:
- En virtud de lo establecido en el artículo 7.1. de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD), el tratamiento de los datos personales se puede fundar en su consentimiento cuando sea mayor de 14 años.
- A pesar de que los mayores de 14 años puedan decidir sobre el tratamiento de sus datos en nuestro país, la propia política de privacidad de la empresa reflejaba expresamente la prohibición a los menores de 18 años para acceder a sus servicios, por lo que se necesitaría el permiso de sus padres.
- Los datos biométricos, según la normativa en materia de protección de datos son datos que gozan de una categoría especial, sujeta a una mayor protección de cara a su posterior tratamiento. En este sentido, el Reglamento General de Protección de Datos (RGPD), indica, en su artículo 9, que las categorías especiales de datos (datos de salud, biométricos, que revelen ideología, orientación sexual, etc.) tendrán prohibido su tratamiento, salvo determinados supuestos, entre los que se encuentran, como el presente caso, que cuente con el consentimiento del interesado.
- Para que el consentimiento sea válido, el responsable del tratamiento (en este caso, la empresa que escanea iris), debe de cumplir con los principios de transparencia e información que exige la normativa (artículos 12-14 del RGPD), e informar al usuario de manera concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, sobre los fines del tratamiento al que se destinan los datos personales, así como su base jurídica, los destinatarios, plazo durante el cual ser conservarán los datos, etc.
- Si el responsable no cumple con dicho requisito antes de que el usuario proporcione su dato biométrico, estaría incumpliendo con la normativa de protección de datos, pudiendo incurrir en elevadas sanciones. En concreto, el incumplimiento del deber de informar se clasifica en nuestra normativa como una infracción muy grave, recogida en el artículo 72.1 h) de la LOPDGDD.
Como el menor había accedido al escaneo de su iris, les facilitamos las siguientes pautas:
- Guardar todas las evidencias posibles.
- Valorar denunciar la situación ante Fuerzas y Cuerpos de Seguridad del Estado.
- Consultar la política de privacidad publicada en la web de la empresa, donde se informa acerca del tratamiento de datos personales realizado a los usuarios.
- Ponerse en contacto con la empresa que ha recopilado los datos, para solicitar la supresión de los mismos, a través de su Delegado de Protección de Datos.
- Si esa vía no tuviera efecto, contactar con la Agencia Española de Protección de Datos para ejercer sus derechos ARSOPOL.
En cuanto a su hijo:
- Concienciar sobre la importancia de no compartir datos personales a no ser que sea estrictamente necesario.
- No culpabilizar, generar un clima de confianza para facilitar la comunicación y que de esa forma pueda comprender mejor los riesgos de ceder sus datos biométricos.
Para prevenir futuros casos, así como notificar una posible mala práctica por parte de una empresa:
- Informar a la AEPD de este tipo de acciones, para que tengan constancia de ello y puedan implementar las medidas pertinentes.
En este sentido, la AEPD ha emitido una reciente nota de prensa en la que, con carácter excepcional y debido a la urgente necesidad de intervenir para proteger los derechos y libertades de las personales, exige a la entidad el cese en la recogida y tratamiento de datos biométricos, así como proceder al bloqueo de los datos ya recogidos. Estas medidas provisionales deberán cumplirse hasta que la AEPD dé por finalizada la fase de investigación con el fin de analizar el impacto de dicho tratamiento, con un plazo máximo de 3 meses.
Por último, le recordamos que si le vuelve a surgir cualquier tipo de duda puede volver a contactar con el servicio de ‘Tu Ayuda en Ciberseguridad’ de 8 de la mañana a 11 de la noche, los 365 días del año.