En este artículo, exploraremos las principales claves respecto de la posibilidad de utilizar el reconocimiento facial como forma de acceso a los estadios que albergan eventos deportivos en España, considerando la posición de la Agencia Española de Protección de Datos (AEPD) sobre la utilización de este tipo de sistemas.
Análisis AEPD sobre viabilidad jurídica del tratamiento
En primer lugar, cabe precisar que la AEPD ha procedido al análisis de una consulta en relación a si sería viable jurídicamente, conforme a la normativa reguladora de protección de datos, la adopción de un acuerdo de un organismo público (en este caso, la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia), en el ámbito de sus competencias, estableciendo medidas para el cumplimiento de los diferentes clubes deportivos, consistentes en la instalación de sistemas biométricos que permiten el control de los accesos a las gradas de animación de los mencionados estadios y que permita la identificación unívoca de los aficionados que accedan a dichas gradas.
La consulta planteada se basa en la competencia legal atribuida por el artículo 13.1 de la Ley 19/2007, que faculta para la implementación de medidas adicionales de seguridad en eventos deportivos considerados de alto riesgo. Esta competencia incluye la promoción de sistemas de verificación de la identidad de las personas que intenten acceder a los recintos deportivos.
Base legitimadora del tratamiento
No obstante, el caso planteado, además de requerir una base legal conforme a la normativa de protección de datos, conlleva la utilización de datos biométricos, considerados como datos especialmente protegidos en virtud del Reglamento General de Protección de Datos (RGPD) y su tratamiento está prohibido, con carácter general, salvo que concurra alguna de las circunstancias establecidas en el art. 9.2. del RGPD.
El consultante plantea que el tratamiento de los datos, personales y biométricos, de los aficionados se podría realizar en aplicación del artículo 6.1.e del RGPD, ya que sería necesario “para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento” y en el art. 9.2.g) del RGPD, ya que el tratamiento del dato biométrico “sería necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.”
Es decir, la consulta planteada buscaba implantar este tratamiento de datos personales en los estadios, de forma obligatoria, con base legitimadora consistente en que el tratamiento es necesario en virtud de una misión realizada por los clubes deportivos en interés público, que en este caso sería “garantizar la seguridad e integridad de las personas que acudan a los estadios de fútbol, así como prevenir y evitar vulneraciones de los derechos fundamentales de las personas, como los delitos de odio y discriminación”.
Sin embargo, el propio artículo 9.2.g) del RGPD establece que el tratamiento debe ser proporcional al objetivo perseguido y debe establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los interesados. Esto implica realizar un juicio de proporcionalidad, necesidad e idoneidad del tratamiento, así como una evaluación de impacto antes de implementar esta medida, de acuerdo con los principios de protección de datos establecidos en la normativa vigente.
Legitimación en virtud de art. 9.2.g) RGPD
Resulta por tanto necesario analizar si el caso planteado puede estar legitimado en virtud del artículo 9.2.g), de forma que sea posible llevar a cabo el tratamiento de datos biométricos, resaltando que este supuesto no requiere únicamente de la existencia de un interés público, sino que se requiere que el mismo sea esencial, considerando la relevancia y mayor protección requerida por el tipo de datos tratados.
Tal y como dispone la AEPD en el informe N/REF: 0098/2022, en relación con lo que debe entenderse por interés público esencial, “debe tenerse igualmente en cuenta la Jurisprudencia del Tribunal Europeo de Derechos Humanos, que al amparo del artículo 8 del Convenio Europeo de Derechos Humanos, viene considerando que el tratamiento de datos personales constituye una injerencia lícita en el derecho del respeto de la vida privada y sólo puede llevarse a cabo si se realiza de conformidad con la ley, sirve a un fin legítimo, respeta la esencia de los derechos y libertades fundamentales y es necesario y proporcionado en una sociedad democrática para alcanzar un fin legítimo”.
Basándose en jurisprudencia del Tribunal Constitucional, la AEPD manifiesta que la norma que habilite este tratamiento, debería de contener las garantías adecuadas incorporadas en la propia regulación legal del tratamiento, de forma que “no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate” y “las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado”.
Resolución AEPD sobre base legitimadora del tratamiento
La AEPD ha manifestado en varias ocasiones que no existe una norma legal en el ordenamiento jurídico español que cumpla con los requisitos del artículo 9.2.g) del RGPD para amparar el tratamiento de datos biométricos. Por lo tanto, el tratamiento solo podría basarse en el consentimiento de los afectados, siempre y cuando se garantice que el consentimiento es libre.
En conclusión, la AEPD considera que la adopción de un acuerdo de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia, en el ámbito de sus competencias, no es conforme con la normativa reguladora de protección de datos, al no tener el rango normativo adecuado.
Plan de Protección Especifico (PPE)
Los Planes de Protección Específicos son documentos operativos donde se deben definir las medidas de seguridad concretas adoptadas por el operador y las que se vayan a adoptar para garantizar la seguridad integral (física y lógica) de las infraestructuras designadas como críticas.
A diferencia del PSO, que requiere documentar un único documento con las medidas de seguridad generarles del operador, los PPE están alineados de manera directa con las Infraestructuras Críticas, por lo que, si un operador se le han designado 3 infraestructuras como críticas, deberá elaborar 3 PPE’s independientes, uno por cada sede operativa.
En este sentido los Planes de Protección Específicos deben incluir todas aquellas medidas de seguridad aplicadas a cada uno de los centros, siendo necesario cubrir los siguientes apartados:
- Introducción: Identificación de las medias llevadas a cabo por el operador para la gestión de la documentación relacionada con la protección de infraestructuras críticas y más concretamente con el PPE.
- Aspectos organizativos: Requiere detallar de los organigramas gráficos que representen la estructura de gobierno de la seguridad en cada sede designada. Identificar datos identificativos del Responsable de Seguridad y Enlace, así como el Delegados de Seguridad del centro y los sustitutos de ambos en caso de necesidad.
- Descripción de la Infraestructura Crítica: Implica una descripción detallada de la infraestructura crítica, desde la localización (dirección, coordenadas geográficas), las funciones que presta dicha sede a la ciudadanía y de manera particular todos los elementos que son necesarios para la prestación de dichos servicios, destacando elementos de hardware, software, comunicaciones, proveedores críticos, entre otros.
- Resultados del Análisis de Riesgos: Documentar de manera detallada las medidas organizativas o Gestión; Operacionales o Procedimentales; Protección o Técnicas que se aplican en el centro, así como los resultados del Análisis de Riesgos realizado que van desde la representación de los elementos evaluados, los valores obtenidos hasta conclusiones por parte del operador crítico.
- Plan de Acción: En función de los resultados del Análisis de Riesgos, se requiere documentar las acciones de mejora derivadas del mismo para reducir los riesgos no asumidos por la organización, además de establecer acciones de mejora de seguridad adicionales estratégicas aportadas por el operador crítico en el centro analizado.
- Documentación Complementaria: Identificación de la normativa de seguridad física, además de otros elementos necesario para la operatividad del centro, como Plan de Continuidad, Planes de Autoprotección, etc.
Destacar que, en el plazo de cuatro meses a partir de la aprobación del Plan de Seguridad del Operador, cada operador crítico deberá haber elaborado un Plan de Protección Específico por cada una de sus infraestructuras críticas designadas por el CNPIC y presentarlo ante la Secretaría de Estado de Seguridad para su evaluación y aprobación.
Alternativas y conclusiones
Como consecuencia a este informe de la AEPD, algunos clubes deportivos han tratado de llevar a cabo este tratamiento de datos biométricos, legitimando el mismo en el consentimiento expreso, que es otra de las excepciones definidas en el art. 9.2. del RGPD, tal y como menciona la propia AEPD.
Sin embargo, es necesario evaluar la legitimidad de esta base legal en relación al tratamiento de datos biométricos, ya que, atendiendo a casos conocidos y públicos en clubes deportivos relacionados con el supuesto planteado, es muy probable que el consentimiento que se obtenga no sea libre, explícito e informado. En ocasiones, este consentimiento está condicionado a descuentos y beneficios en los estadios deportivos.
Adicionalmente a esto, el consentimiento se podría revocar en cualquier momento y siguiendo lo definido por la propia normativa, debe ser un consentimiento “libre”, lo que, además de lo anterior, quiere decir que en caso de negativa, un interesado puede seguir accediendo al estadio deportivo en cuestión mediante otra forma alternativa de acceso, entrando seguramente en colisión directa con la justificación planteada para la implantación de este tipo de sistemas, que manifestaba que eran necesarios para “garantizar la seguridad e integridad de las personas que acudan a los estadios de fútbol, así como prevenir y evitar vulneraciones de los derechos fundamentales de las personas”, de forma que si realmente se considera necesario para garantizar la seguridad e integridad de las personas, así como sus derechos fundamentales, no parece adecuado basar este tratamiento en concreto en un consentimiento de los interesados, sin perjuicio de que esta base legal pueda ser válida para otro tipo de casos.
Por último, se entiende que este tratamiento de datos biométricos en un estadio deportivo es desproporcionado y excesivamente intrusivo para la finalidad que se persigue, considerando asimismo que este tipo de sistemas de control, al menos por el momento, no son obligatorios.
Protege tus datos y garantiza la seguridad en tu organización con nuestra consultoría y software especializados
En GlobalSuite Solutions, entendemos la importancia de la protección de datos y la seguridad de la información en el entorno actual. Basándonos en el análisis detallado de la posición de la Agencia Española de Protección de Datos (AEPD) sobre el uso del reconocimiento facial en estadios deportivos, podemos ofrecerte soluciones efectivas y cumplir con las regulaciones establecidas.
Nuestro equipo de consultoría experta te guiará en el cumplimiento de la normativa evaluando la viabilidad jurídica de las medidas propuestas y asegurando que se respeten los derechos fundamentales de los interesados. Además, te ayudaremos a realizar una evaluación de impacto adecuada y a implementar medidas de protección de datos proporcionales y efectivas.
Además, contamos con un software de privacidad para abordar los desafíos relacionados con la protección de datos y la seguridad de la información. Nuestra solución integral incluye funciones de gestión de riesgos, control de accesos, evaluación de impacto en la protección de datos y más. Podrás garantizar la confidencialidad, integridad y disponibilidad de los datos en tu organización, mitigando los riesgos y cumpliendo con las regulaciones vigentes.
¡Contáctanos hoy mismo para obtener más información y comenzar a fortalecer tu compañía!