La Superintendencia de Protección de Datos Personales (SPDP) emitió una absolución de consulta respecto a la obligación impuesta por el Consejo de la Judicatura a los notarios a fin que registren y conserven datos biométricos sensibles.
Criterio de la SPDP:
Conforme el artículo 4 de la Ley Orgánica de Protección de Datos Personales (LOPDP), los datos biométricos, incluidos códigos y huellas dactilares, así como imágenes faciales, son datos sensibles. Por tal motivo, la misma ley establece principios y prohibiciones que rigen el tratamiento de estos datos sensible, como lo es el principio de finalidad, minimización, proporcionalidad y la exigencia de una base de legitimación válida[1].
Tratamiento de datos sensibles de niñas, niños y adolescentes.
El tratamiento de datos sensibles de niñas, niños y adolescentes, se regula por los artículos 21, 40 y 42 de la LOPDP, los cuales imponen un régimen reforzado de protección, limitando estrictamente los supuestos habilitantes y exigiendo salvaguardas adicionales. En este sentido, todo tratamiento de datos personales sensibles de naturaleza biométrica requiere la realización de un análisis de riesgos, y cuando exista un riesgo elevado[2], como en el caso de datos biométricos de menores de edad, una evaluación de impacto previa al inicio del tratamiento[3].
Compatibilidad entre la actividad notarial y el tratamiento de datos biométricos, conforme a la LOPDP.
Tal cual lo señalaba la Resolución No. 063-2025 del Consejo de la Judicatura, el registro, conservación e incorporación de datos biométricos en el protocolo notarial constituye en sí mismo un tratamiento de datos sensibles, cuyo uso debe limitarse estrictamente a la finalidad legítima que lo justifique.
Para que tal tratamiento de datos sensibles sea válido, debe contar con una de las bases de legitimación del artículo 26 de la LOPDP, siendo el consentimiento explícito del titular la única aplicable en un contexto como el analizado por la SPDP.
Conforme los principios de finalidad, minimización y proporcionalidad, únicamente podrán recopilarse aquellos datos biométricos estrictamente indispensables, siempre justificando la no existencia de un mecanismo menos intrusivo que permita alcanzar la misma finalidad.
En conclusion, la recolección excesiva, indiscriminada o no proporcional de datos sensibles vulneraría el derecho a la protección de datos personales. Asimismo, el tratamiento de datos biométricos, especialmente cuando involucra menores de edad, exige medidas de seguridad reforzadas de carácter técnico, administrativo, organizativo y físico, en atención a la irreversibilidad y alto riesgo asociados a cualquier vulneración.
Pronunciamiento
La obligación que ordenaba a los notarios recopilar, registrar, conservar e incorporar al protocolo notarial datos biométricos sensibles durante el trámite de autorización de salida del país de niñas, niños y adolescentes, previamente se hallaba en la Resolución N° 063-2025 del Consejo de la Judicatura, posteriormente derogada mediante la Resolución N° 084-2025. En consecuencia, el primer pronunciamiento de la Intendencia establece su imposibilidad de determinar la legalidad de una norma actualmente derogada, por encontrarse fuera del ordenamiento jurídico vigente.
Sin perjuicio de ello, la SPDP establece que todo tratamiento de datos biométricos en el servicio notarial, incluyendo códigos y huellas dactilares e imágenes faciales, debe sujetarse obligatoriamente a:
- Una base de legitimación válida, conforme los artículos 7 y 26 de la LOPDP.
- Los principios de finalidad, pertinencia, minimización y proporcionalidad del tratamiento[4].
- La realización de un análisis de riesgos y, cuando corresponda, una evaluación de impacto previa al inicio del tratamiento[5].
- La implementación de medidas de seguridad adecuadas y específicas, considerando el carácter extremadamente sensible de la información[6].
- Salvaguardas reforzadas cuando se trate de datos de niñas, niños y adolescentes, tal cual se esteblece en la LOPDP[7].
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL.
___________________________________________________________
[1] Artículo 10 literales d), e) y f), Ley Orgánica de Protección de datos Personales [LOPDP]. R.O. Suplemento 459, 25 de mayo de 2021.
[2] Artículo 40, LOPDP.
[3] Artículo 42, LOPDP.
[4] Artículo 10 literales d), e) y f), LOPDP.
[5] Artículo 40, LOPDP.
[6] Artículo 26, LOPDP.
[7] Artículo 21, LOPDP.