La Agencia Española de Protección de Datos (AEPD) ha emitido un dictamen en el que establece que la implantación del control de huella dactilar en los estadios contraviene la normativa de protección de datos. Esto puede suponer un conflicto importante en el fútbol profesional español, ya que la práctica, que sustituye al habitual carnet de socio, ha sido implantada en la mayor parte de los clubes de Primera y Segunda División.
El dictamen, que parte de una consulta realizada por el grupo de aficionados burgalés, La Hinchada del Arlazón, señala la necesidad de aprobar una norma con rango de ley que regulase su funcionamiento, aunque su implementación sería bastante restrictiva para justificar el uso de datos biométricos.
Esta idea surgió como medida para combatir el racismo, la violencia, la xenofobia y la intolerancia en los campos y gradas del fútbol español. Fue una propuesta de la Comisión Antiviolencia a iniciativa de la Liga de Fútbol Profesional. El sistema ha sido implementado en todos los clubes salvo Rayo Vallecano y Sevilla CF, en primera, mientras en Segunda la implementación ha sido gradual. Por su parte, el Osasuna lo hace con reconocimiento facial que es voluntario.
La posibilidad de implementar estos sistemas se ampararía, según la consulta, en la competencia legalmente atribuida por el artículo 13.1 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte.
Esta norma faculta para decidir la implantación de medidas adicionales de seguridad para el conjunto de competiciones o espectáculos deportivos calificados de alto riesgo, o para recintos que hayan sido objeto de sanciones de clausura con arreglo a los títulos segundo y tercero de esta Ley, incluida en particular la de “promover sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos”.
El primer club que lo implemento fue el Real Madrid hace una década. Luego la Liga lo implantó tras el asesinato de un seguidor del Deportivo de la Coruña en aledaños del Vicente Calderón, antiguo estadio del Atlético de Madrid, en la temporada 2015-16.
Según aclara Emilio Abejón, presidente de Accionistas y Socios del Futbol Español ( FASFE) “la AEPD es bastante contundente. Con este dictamen lo que vamos a hacer es pedir a los clubes que ya lo han implantado muchos de Primera y otros de Segunda División que lo retiren. Si no lo hacen, pediremos al regulador que inicie expedientes sancionadores, sin perjuicio de emprender las acciones de tipo civil y administrativo que den lugar”.
Abejón también señala que la única liga europea de fútbol que tiene este sistema de acceso a los estadios es la liga española con estos datos biométricos “Un carnet con foto te da la seguridad completa. Si lo haces no transferible a otra persona también sirve”.
Una ley que lo regule es necesaria
Por su parte, José Leandro Núñez, socio de Audens y miembro de la junta directiva de ENATIC, diferencia entre un simple control de accesos, “como alternativa al carné de socio y con de uso voluntario”, y aquellos controles más generalizados “orientados a detectar si acceden al campo de fútbol personas con prohibición de acceso a los estadios”.
A este respecto, considera que este asunto es similar al caso de Mercadona, que fue sancionada con 3,15 millones de euros en septiembre del 2021 por el uso de datos biométricos recogidos de sus tiendas por su sistema de reconocimiento facial. “En el caso de esta compañía, la recogida de datos se hacía con cámaras, mientras que el control de acceso que aquí se analiza se hace por huella dactilar, para permitir la entrada al recinto deportivo”.
Núñez destaca que la biometría es utilizada para dos funciones principales: la autenticación, “que consiste en comprobar si una persona es quien dice ser”, y la identificación, que “trata de localizar a una persona dentro de un grupo, mediante cruces con una base de datos”.
En su opinión, “los riesgos para el derecho a la protección de datos personales son superiores en este segundo caso”, ya que “conlleva el tratamiento de datos de una multitud con el fin de detectar únicamente a unos pocos individuos”.
Este abogado subraya que, en la actualidad, “fuera del ámbito laboral, un control de acceso sin más alternativa que la biometría, obligatorio para el usuario, no está permitido. Sí podría basarse en el consentimiento, limitado a aquellos usuarios que voluntariamente quieran utilizar ese sistema, pero siempre debe existir una alternativa, como mostrar el tradicional carnet”.
José Leandro Núñez recuerda que la clave del consentimiento en protección de datos es que sea libre, y que “únicamente es libre cuando puedes elegir. Es esa libertad de elección la que determina si se puede utilizar o no ese sistema, y que permitiría emplearlo de forma voluntaria. Un uso obligatorio y masivo necesitaría de una normativa específica”.
Respecto al papel de la AEPD, cuando se han instalado este tipo de sistemas, este experto señala que “la Agencia mantiene un posicionamiento similar desde hace años. Al no existir una regulación específica, no se puede hacer uso de esta tecnología con fines de seguridad, porque estamos hablando de datos biométricos, especialmente protegidos, que solo pueden ser tratados en base a unas reglas muy estrictas”.
Desde su punto de vista, “la norma que exige la AEPD para regular este tipo de situaciones debe ser aprobada por el legislador, siguiendo los parámetros del RGPD europeo. No basta con que exista un interés público para evitar distintas conductas delictivas, tiene que incorporar medidas que garantizan los derechos fundamentales de los asistentes a ese estadio”.
Al final, Núñez recuerda que “para controlar a unos pocos se van a tratar los datos de unos miles, eso es un hecho. Este fue uno de los motivos por los que sancionó la AEPD a Mercadona, que con un flujo anual de visitantes cercano a los mil millones de personas en todas sus tiendas implementó un sistema biométrico para controlar a menos de un centenar de personas. Se entendió que no era proporcionado, de ahí la sanción”.
Sobre la idea de FASFE de requerir a los clubes que retiren de forma voluntaria estos sistemas de control de acceso por huella, este jurista indica que “el debate ahora radica en si es el momento de aprobar una norma que regule este tipo de iniciativas”.
En caso de que, entre tanto, se plantee alguna denuncia, explica que “ante cualquier reclamación que reciba la AEPD, se abre un periodo de un mes para analizar la admisión a trámite, donde se suele pedir a las empresas afectadas que presenten alegaciones sobre dicha reclamación”, comenta
El expediente sancionador no es automático “y podría cerrarse tras esas alegaciones. También puede suceder que la AEPD ponga en marcha una investigación. Contaría con un plazo de un año, y si finalmente decide abrir un expediente, podría prolongarse otros nueve meses. Al final son casi dos años y medio hasta que se resuelva un caso por esta vía”:
Los datos biométricos identifican personas
Para los abogados Xavier Ribas, socio y Alejandra Tintoré, abogada senior de Ribas & Asociados, “esta medida de control de seguridad adicional pretendía frenar la suplantación de identidad en el uso de abonos por parte de hinchas violentos sancionados o expulsados de los estadios y otros aficionados, para poder acceder a la zona de gradas de animación de los recintos”.
Para estos expertos, la citada Comisión Antiviolencia “entiende que el control de acceso mediante huella dactilar no requiere el consentimiento previo de los aficionados, amparándose en una misión realizada por los clubes en interés público para garantizar la seguridad e integridad de los aficionados”.
Desde su punto de vista “la AEPD considera que en este caso no hay dudas acerca de la calificación de la huella como dato biométrico, ya que según indica, va dirigido a identificar unívocamente a una persona”.
Así, tras citar “la doctrina inicial que afirmaba que los datos biométricos son datos de carácter especial únicamente si el sistema de control utilizado por el dispositivo es el de identificación (1-n) y no cuando se trate de una autenticación (1-1) hace referencia al cambio de opinión del Comité Europeo de Protección de Datos (CEPD) en esta materia e informa de su intención de adaptar su criterio a esta nueva doctrina”.
“Nuestro regulador hace referencia a un borrador de guía del CEPD en el que opina que los datos biométricos utilizados en el ámbito policial son siempre categorías especiales de datos, independientemente de si la finalidad es la identificación (1-n) o la autenticación (1-1)”, aclaran.
A juicio de estos abogados, “la opinión del Gabinete Jurídico de la AEPD se centra en este caso en la proporcionalidad entre el tratamiento de los datos biométricos y la finalidad, llegando a la conclusión de que el control de acceso reforzado no es conforme con la normativa reguladora de protección de datos”.
Para este experto, “estos cambios de criterio que se producen en sede del Poder Ejecutivo constatan la falta de claridad del Poder Legislativo europeo al redactar el Reglamento General de Protección de Datos y obligan a acudir al Poder Judicial para que determine finalmente el criterio a aplicar en la interpretación de la norma”
“Sin embargo, este punto final que se espera encontrar en el Poder Judicial no siempre llega, y existen conceptos jurídicos indeterminados, como el tratamiento a gran escala, que ni siquiera la Audiencia Nacional ha sido capaz de definir”, comentan.
Replantear la base de legitimación
Para Joaquín Muñoz, socio del grupo de Media, Sports & Entertainment Bird & Bird en España “la primera cuestión relevante del dictamen, no solo para este caso sino para muchos supuestos de uso de biometría, es que la AEPD anticipa que va a tener que modificar su criterio respecto de la distinción que venía haciendo entre la ‘identificación biométrica’ (contrastar la biometría de un usuario contra la base de datos total para determinar quién se está identificando) y la ‘verificación o autenticación biométrica’ (comparar la biometría del usuario que se está identificando con la guardada en el dispositivo) para adaptarlo al reciente criterio manifestado por el Comité Europeo de Protección de Datos EDPB”.
Este experto indica que “la AEPD venía manteniendo que la verificación o autenticación biométrica no implicaba el tratamiento de categorías especiales de datos, pues se limitaba a la búsqueda de correspondencias entre dos plantillas concretas ya en posesión del responsable”.
“En cambio, el EDPB, a la espera de que se confirme en la versión definitiva de su guía, considera que en ambos casos se han de considerar categorías especiales de datos y, por tanto, su tratamiento estará sujeto a lo estipulado en el artículo 9 del RGPD”, comenta.
En su opinión, “estando de acuerdo con el EDPB en que ambos tratamientos conciernen categorías especiales de datos, creo que la distinción que hacía la AEPD entre la diferencia en el riesgo que entrañan ambos sistemas era bastante lógica y necesaria para poner en perspectiva las medidas a implementar en cada caso y espero que este criterio se mantenga a la hora de evaluar los riesgos y, por ende, las medidas a implementar”.
A su juicio, “esta cuestión es relevante en la configuración de los sistemas de acceso a estadios porque no es lo mismo un sistema biométrico de autenticación que identifique que un aficionado ya registrado es efectivamente quien está intentado entrar en el control de acceso, que uno que pretenda detectar a aficionados con entrada prohibida a los estadios captando para ello las imágenes o huelas de todos aquellos que accedan al mismo o estén por las inmediaciones del estadio”.
Para este abogado “es evidente que el juicio de proporcionalidad entre ambas opciones está bastante alejado”.
Muñoz también indica que “la otra cuestión de mayor calado jurídico es la interpretación que realiza la autoridad acerca de que el tratamiento de estos datos biométricos pueda ampararse en la protección del interés público y, por tanto, no sea necesario contar con un consentimiento expreso u otra de las alternativas que ofrece el artículo 9 del RGPD”.
Al mismo tiempo, destaca que “lo relevante de este informe es que considera que el tratamiento de datos biométricos al amparo del artículo 9.2.g) -interés público- requiere que dicho interés esté previsto en una norma de derecho europeo o nacional, con rango de ley, que precise las garantías adecuadas que el responsable del tratamiento ha de implementar y que respete en todo caso el principio de proporcionalidad”.
De hecho, Muñoz recuerda que el dictamen de la AEPD concluye “señalando que la adopción de un acuerdo de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia, en el ámbito de sus competencias, no cuenta con ese rango de ley requerido, por mucho que esta Comisión lo dicte en el marco de las funciones que tiene atribuidas por la Ley 19/2007”.
Para este experto, “esto, en mi opinión, no supone que los clubes de fútbol vayan a tener que desmontar sus sistemas de identificación biométrica en los accesos, sino que han de replantear la base de legitimación en la que basan sus tratamientos”.
“Al tratarse de un sistema de control de accesos que es más intrusivo de lo habitual en la vida privada de los aficionados, probablemente la opción más sencilla será optar por obtener el consentimiento explícito de los mismos, conservando evidencia documental del mismo, comenta Muñoz.
En su opinión, “entiendo que los clubes enfrentan ahora la necesidad de trabajar en una información transparente hacia sus aficionados, que permita a los que así lo deseen otorgar un consentimiento libre, específico, informado e inequívoco”.
Para este abogado, “como la obligación por el club de realizar una identificación fehaciente de los aficionados se mantiene, los clubes deberán ofrecer alternativas a sus aficionados que les permita acceder al estadio sin la necesidad de consentir que sus datos biométricos sean tratados.”
Desde esta perspectiva considera que “lo más razonable es pensar en un control realizado con intervención humana en el que se compruebe la fotografía del carné de socio o abonado, previamente identificado en persona al solicitarlo, o bien su identidad a través del DNI”.
En su opinión, “al final, quedará a discreción del aficionado el decidir si para él o ella tiene más valor la rapidez en el acceso o que un tercero trate sus datos biométricos para este fin, recordando que este tratamiento debe cumplir también con los principios de minimización y limitación de la finalidad”.
FUENTE: ECONOMIST&JURIST
NOTICIA COMPLETA: https://www.economistjurist.es/actualidad-juridica/proteccion-de-datos-cuestiona-el-uso-de-la-huella-dactilar-para-el-control-de-acceso-a-los-estadios/
