Existen dos tipos de dispositivos capaces de almacenar los datos de firma manuscrita. El primer tipo se limita a grabar la imagen de la firma, que se puede efectuar o no directamente sobre el aparato, para comparar la imagen de la firma digitalizada con otra del mismo firmante, y así comprobar las posibles coincidencias.
Existen otros sistemas que además realizan un análisis de la forma, la velocidad, la presión del bolígrafo y la duración del proceso de firma. Se consideran importantes los cambios de velocidad y la presión, que ocurren durante el proceso, ya que sólo el firmante original puede reproducir estas características y constituye por tanto una de las claves de la firma biométrica.
Una firma biométrica sería aquella que es generada sobre un dispositivo capaz de almacenar la imagen de la firma efectuada, además de hacer un análisis de la misma sobre los otros aspectos indicados anteriormente.
Debemos recordar que el dato personal se define como “cualquier información concerniente a personas físicas identificadas o identificables” de acuerdo con lo recogido en la La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Asimismo, la Agencia Española de Protección de Datos (AEPD) ha definido los datos biométricos como “aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión”, tal y como se desprende de varios de sus informes jurídicos.
De las definiciones anteriores podemos concluir que tanto la firma mediante imagen escaneada, como la firma biométrica, podrían identificar o hacer identificable a una persona, por lo que se considerará dato personal.
Consentimiento de almacenamiento de datos
Cuando solicitamos estos datos de firma debemos solicitar el consentimiento al titular de los datos, informándole de que este dato va a ser almacenado, e identificando al responsable del fichero, que sería la entidad que decide sobre el uso y finalidad del tratamiento del dato. Además se informará de la finalidad del tratamiento, que en este caso sería la identificación de la persona, y se le dará la oportunidad de ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación, y Oposición), frente al responsable del fichero.
En cuanto al tipo de dato que se almacena, podemos considerar que existe una firma electrónica conforme a la definición de la Ley 59/2003, de 19 de diciembre, de firma electrónica, una imagen digitalizada, o ambas, cuestión que se tendrá que tener en cuenta cuando se declare el fichero ante la AEPD.
Finalidad y nivel de seguridad
Otra cuestión a tener en cuenta será el nivel de seguridad aplicable al fichero donde se almacena el dato de firma biométrica, declarado ante la Agencia, y esto dependerá de la finalidad por la que se almacene este dato.
Así por ejemplo si la finalidad fuese la identificación de la persona como titular de la firma, deberíamos aplicar las medidas de seguridad de nivel básico definidas en el Real Decreto 1720/2007 de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
Pero si esta firma se utilizase para crear un perfil del titular por métodos como la grafología, entenderíamos aplicable el nivel medio de seguridad aplicable a aquéllos datos que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos.
Por último y si por la firma biométrica se identificasen datos de salud, como dolencias o enfermedades, el nivel aplicable sería el alto. Y en este caso se debería contar con el consentimiento expreso del titular de los datos para su tratamiento.
