La denuncia de un interesado a la Agencia Española de Protección de Datos (AEPD) ha derivado en un procedimiento sancionador contra el club deportivo pamplonés por la implementación de un Sistema Biométrico de Reconocimiento Facial (SBRF) en el estadio El Sadar para el acceso de los abonados.

La persona denunciante argumentó que el sistema restringía libertades y derechos fundamentales, y que no era proporcional ni legítimo, ni siquiera con consentimiento explícito.

En base a estos hechos, la AEPD inició un procedimiento de investigación en diciembre de 2022, realizando múltiples requerimientos de información al Osasuna sobre el tratamiento de los datos biométricos. Según trasladó el club, el acceso por reconocimiento facial estaba dirigido únicamente a los abonados y era opcional y voluntario, coexistiendo con métodos tradicionales (carné físico o abono digital). A través de una aplicación móvil específica, el abonado podía autorizar el tratamiento de sus datos biométricos y facilitar una fotografía mediante la cual el sistema podía identificar a la persona de forma inequívoca mediante la aplicación de un algoritmo.

El Osasuna argumentó además que había realizado la evaluación de impacto exigida por la ley y el criterio de la AEPD para esta clase de tratamientos, basando la licitud del tratamiento en el consentimiento explícito del interesado prestado de forma libre. Además, el interesado disponía de la alternativa de utilizar los medios de acceso utilizados normalmente hasta ese momento, pudiendo oponerse al tratamiento de sus datos biométricos en cualquier momento.

También defendió el Osasuna que el sistema mejoraba la seguridad y ofrecía beneficios opcionales para los aficionados, pues los abonados podían acceder al estadio sin necesidad de portar documentación.

Análisis de la AEPD

Ha determinado la AEPD que el tratamiento de los datos biométricos realizado por el Osasuna estaría restringiendo el derecho fundamental de protección de datos de sus titulares, al ser “manifiestamente intrusivo para los derechos y libertades de los interesados”, al no superar el triple juicio de proporcionalidad:

Juicio de idoneidad

Este juicio determina si la medida es capaz de conseguir el objetivo propuesto: para superar este juicio, afirmó el club que la medida garantizaba el acceso al estadio en caso de suplantación, extravío o hurto de la documentación identificativa. Sin embargo, entiende la AEPD que los casos excepcionales no justificarían acudir a un medio tan desproporcionado.

Juicio de necesidad

Que no exista otra medida más moderada para la consecución del propósito con igual eficacia: el Osasuna basa esta necesidad en facilitar a los abonados un acceso más ágil y sencillo, aunque “el interesado puede decidir libremente y sin que ello le produzca ningún tipo de afección”.

A este respecto, señala la Agencia que la necesidad no puede depender de lo que decida el afectado, sino que se debe evaluar el alcance, la extensión y la intensidad de las interferencias en términos de impacto sobre los derechos fundamentales, explicando con pruebas por qué otras alternativas posibles no son suficientes para satisfacer esta necesidad de forma suficiente.

Juicio de proporcionalidad en sentido estricto

Este juicio determina si la medida es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para el interés general que perjuicios.

El principio de proporcionalidad determina que para alcanzar los objetivos previstos se deben acometer acciones que no excedan de lo necesario, introduciendo aquí el concepto de adecuación de la medida. En definitiva, para que se respete el principio de proporcionalidad, las ventajas resultantes de la medida no deben ser superadas por las desventajas que la medida provoca con respecto al ejercicio de derechos fundamentales.

A este respecto, el club de fútbol no ha podido demostrar que el sistema de accesos con reconocimiento facial suponga un plus claro y diferenciado en la seguridad frente al sistema tradicional, pues el estadio se encuentra videovigilado y los asientos son nominativos. Tampoco ha acreditado que sea elevado el número de aficionados que traten de entrar al estadio suplantado la identidad de un tercero, de forma que esto constituya un problema para el club.

Conclusión

Concluye la AEPD que el Osasuna no ha podido acreditar la superación del triple juicio de proporcionalidad, incumpliendo por ello el principio de minimización de los datos consagrado en el art. 5 del RGPD, por lo que propone una sanción de 200.000 euros.

Aunque el club deportivo había realizado la evaluación de impacto correspondiente, esta evaluación no justificaba correctamente la proporcionalidad de la medida, basando el tratamiento en el consentimiento del interesado y en la aplicación de altas medidas de seguridad que, aunque sean necesarias para minimizar los riesgos, no legitiman cualquier tratamiento de datos personales.

En el ámbito de la protección de datos y la adecuación a la normativa, contar con un aliado estratégico es fundamental. En Microlab, somos expertos en ayudar a organizaciones como la tuya a navegar por el complejo panorama de la protección de datos. Ofrecemos un análisis detallado de tus necesidades, evaluaciones de impacto personalizadas y la implementación de políticas y procedimientos que garantizan el cumplimiento normativo y la protección de los derechos de tus interesados.

Contacta con nosotros hoy mismo para asegurar que tu empresa opera de manera segura y conforme a la legislación vigente. Nuestro equipo de profesionales está listo para ofrecerte la experiencia y el conocimiento que necesitas para convertir la protección de datos en una ventaja competitiva para tu negocio.