Locations
La AEPD sanciona con 200.000 euros a un club de futbol de primera división por el tratamiento de datos biométricos en la entrada al recinto deportivo por no superar el juicio de necesidad y proporcionalidad, a pesar de contar con el consentimiento del interesado y elevadas medidas de seguridad.
El 22 de enero se hizo pública la resolución de la Agencia Española de Protección de Datos (en adelante, la “AEPD”) en la que sancionaba con 200.000 euros a un club de futbol de primera división (en adelante, el “Club”) por la implantación de un sistema biométrico de reconocimiento facial para entrar al recinto deportivo.
Tras recibir una denuncia, la AEPD inició actuaciones previas por el uso de este sistema biométrico de reconocimiento facial: un sistema no obligatorio que tenía el objetivo de facilitar el acceso en todo el estadio a las personas abonadas y para el que se facilitaban 3 alternativas diferentes (mostrar el carné de socio, emplear tecnología RFID que integra esos carnés, o con el abono digital descargado en el teléfono móvil). Las personas abonadas que así desearan este uso podían prestar consentimiento a través de la página web del Club y tomando las fotografías pertinentes, que luego serían utilizadas para permitir la entrada de los abonados al estadio.
Sin necesidad el consentimiento no tiene valor
La AEPD parte de que el tratamiento de datos biométricos para el acceso al estadio se trata de un tratamiento calificado de alto riesgo al tratarse de datos de carácter especial y que, por lo tanto, requiere de una evaluación de impacto de datos personales (en adelante, “EIPD”). Además, destaca la AEPD, que esta evaluación requiere exhaustividad. Uno de los apartados que debe contener necesariamente una EIPD es el juicio de idoneidad, necesidad y proporcionalidad del tratamiento.
Si bien el Club argumenta en varias ocasiones que ofrece a sus abonados otros métodos para entrar al estadio, la AEPD recuerda que el Reglamento General de Protección de Datos (en adelante, “RGPD”) establece que el tratamiento de datos personales solo es válido si no existe otro medio menos intrusivo que pueda lograr la misma finalidad. Además, el sistema implantado no respondía a una exigencia normativa ni a un problema real de seguridad que hiciera imprescindible su implantación.
Asimismo, se destaca que la necesidad no debe confundirse con la utilidad o la conveniencia del sistema: aunque el tratamiento de datos biométricos podría hacer el acceso más rápido y cómodo para los abonados, no justifica el tratamiento de tecnologías intrusivas que conlleven menos riesgo para los derechos y libertades de los interesados, en particular respecto de los derechos al respeto de la vida privada y de protección de los datos personales.
En esta misma línea, la AEPD destaca que la voluntariedad del sistema no exime al responsable del tratamiento de evaluar su necesidad y proporcionalidad. Es decir, “la necesidad no puede depender de lo que decida el afectado” y el concepto de necesidad “es el de una estricta necesidad, de carácter transversal”.
En relación con el juicio de proporcionalidad, “la gravedad del riesgo para los derechos y libertades del tratamiento, y su intromisión en el derecho fundamental a la Proteccion de Datos de carácter personal ha de ser adecuada al objetivo perseguido y proporcionada a la urgencia y gravedad de esta. Hay que ponderar el beneficio que el tratamiento desde el punto de vista de la Proteccion de Datos proporciona la sociedad, manteniendo un equilibrio con el impacto que representa sobre otros derechos fundamentales. Sin embargo, aunque pueda ceder parcialmente, en ningún caso se puede asumir la negación absoluta del derecho a la Proteccion de Datos y vaciarle de su contenido esencial”.
El principio de proporcionalidad exige que las medidas sean necesarias y guarden un vínculo lógico con su objetivo. Las ventajas que aportan no deben ser menores que las desventajas que generan en los derechos fundamentales. Además, si ya existen medidas eficaces para el mismo propósito, deben priorizarse, pues de lo contrario, la evaluación de proporcionalidad sería inadecuada.
Por lo tanto, la AEPD entiende que el Club ya contaba con un sistema de acceso al estadio que ya cubría las necesidades de identificación de los usuarios. Los datos requeridos para iniciar el acceso al estadio mediante el tratamiento de datos biométricos eran los mismos que ya se utilizaban con los otros medios, junto con la fotografía del anverso y del reverso del DNI. Determina la AEPD que la implementación de este nuevo sistema no aborda ningún problema nuevo ya que está cubierto con una modalidad preexistente y que deriva en una carencia de justificación en su idoneidad, necesidad y proporcionalidad.
La tecnología no es infalible
A pesar de que el Club argumenta la seguridad en la tecnología implantada y que, por lo tanto, el alto riesgo que conlleva el tratamiento de datos de biométricos se minimiza por la tecnología empleada al tratarse de un vector no reversible. Sin embargo, la AEPD conviene que en “el análisis de riesgos para los derechos y libertades fundamentales de las personas derivados del tratamiento de datos personales, la tecnología es solo un factor a considerar”:
- Las medidas de seguridad no únicamente una parte de la gestión del riesgo y que no puede reducirse la gestión de este al establecimiento de medidas de seguridad.
- “El RGPD no se centra solo en medidas técnicas y organizativas de seguridad, sino que el responsable del tratamiento ha de implementar otros tipos de medidas, técnicas y organizativas apropiadas, de todo tipo, y no solo de seguridad”.
- El tratamiento de los datos se mantiene constante en el tiempo, y esto implica que, en el contexto tecnológico actual, los riesgos son cambiantes.
Conclusiones
El consentimiento prestado por el interesado es suficiente para el establecimiento de sistemas de tratamiento de datos biométricos si no se ha evaluado adecuada la necesidad y proporcionalidad de este, siento requisito indispensable que no exista alternativa menos intrusiva que cumpla con las mismas funciones.
Asimismo, no puede depender la reducción del riesgo del tratamiento en cuestión al establecimiento, únicamente, de medidas de seguridad, ya que el RGPD establece que deben implementarse tanto medidas técnicas como organizativas con el objetivo de mitigar cualquier riesgo que pueda producirse. Y que, en el contexto actual, es difícil garantizar que estas sean adecuadas durante todo el tiempo que perdure el tratamiento.
El Club ya ha anunciado que interpondrá un recurso contencioso-administrativo ante la Audiencia Nacional, por lo que deberemos prestar atención a lo que determina el órgano judicial.
Agradecimientos a la abogada Marta Lucas, del área de Tech & Data, por la redacción de este artículo.