La Agencia de Protección de Datos advierte a LaLiga: el reconocimiento facial de espectadores es ilegal
El organismo abre expediente a la patronal de Javier Tebas y le avisa de que el uso de datos biométricos en los estadios "favorece a la organización y no a los aficionados" cuando existen "alternativas menos intrusivas".
16 enero, 2024 02:15La Agencia Española de Protección de Datos (AEPD) ha advertido de LaLiga por la licitación de un contrato para "desarrollar un sistema de reconocimiento facial para el acceso de los aficionados a los estadios". La patronal de Javier Tebas quiere implementar el uso de datos biométricos para luchar contra los actos xenófobos en los campos de fútbol.
Sin embargo, esta medida ha creado una gran polémica desde que se conoció tanto por el uso de los datos personales como por los posibles errores de reconocimiento facial. La AEPD tuvo conocimiento de esta licitación de LaLiga por la prensa y abrió un expediente (nº AI/00394/2023) con el objetivo de advertir oficialmente a la organización presidida por Javier Tebas.
La AEPD, en el escrito al que ha tenido acceso EL ESPAÑOL, afirma que LaLiga, si no se adecúa la actuación a lo legalmente establecido", incurrirá "en una infracción en el ámbito competencial" de este organismo público. Este hecho daría lugar "al inicio de actuaciones previas de investigación y/o correctivas, incluyendo las sancionadoras".
[El Barça pactó con Tebas retirar las demandas a LaLiga para recibir el visto bueno a las palancas]
LaLiga debe asegurarse que este análisis supera "el triple juicio de proporcionalidad" y, aunque así sea, la AEPD recuerda que después se "exigirá el cumplimiento de otros requisitos o garantías".
Efectos muy adversos
El organismo público sentencia que "antes de licitar, y con más motivo implantar, un sistema de reconocimiento facial", LaLiga debe valorar si hay una alternativa "menos intrusiva con el que se obtenga idéntica finalidad".
"Esta tecnología puede ser realmente intrusiva y requiere de un debate ético y jurídico sosegado, toda vez que pueden tener efectos muy adversos en los valores fundamentales y la integridad humana", reprocha la AEPD a LaLiga.
En cuanto al sistema biométrico planteado para acceder a los estadios de fútbol, la Agencia sentencia que "puede ser útil" para LaLiga, pero "más difícilmente necesario desde la óptica definida por el Reglamento General de Protección de Datos (RGPD) de la Unión Europea".
[LaLiga de Tebas bate en 2023 su récord en medios: gastó 36 millones en RRPP, publicidad y propaganda]
"No cabe confundir necesidad con conveniencia de la organización, no siendo por ejemplo la hipotética rapidez en la verificación, la reducción de gasto o la adaptación de avances tecnológicos motivos que justifiquen la necesidad de utilizar estos sistemas", afirma la AEPD.
En opinión del organismo, se puede identificar y verificar la identidad de los espectadores con opciones "menos intrusivas para los derechos y libertades de los aficionados". De hecho, lo explica con el ejemplo de que cada entrada sea nominal y vaya acompañada de un carnet de identidad.
Error legal de LaLiga
También detalla que en este y otros casos, "el procesamiento de datos biométricos dejará de ser necesario para la consecución de la finalidad". Por último, recrimina a LaLiga su actuación desde el punto de vista legal, ya que "no se debería proponer un tratamiento" de uso de datos biométricos y, a continuación, "buscar una condición de licitud".
La AEPD recuerda a LaLiga que la forma correcta y legal de obrar es la contraria. "Debería existir una condición definida en el artículo 6.1 del RGPD, para que un responsable decida realizar un tratamiento".
En sus conclusiones, la AEPD expone que aplica los poderes que le han sido atribuidos para advertir a LaLiga. "Con carácter previo a cualquier decisión de implantación de un sistema que implique el tratamiento de datos biométricos", es "indespensable" que se realice "una gestión del riesgo".
De conformidad también "con lo dispuesto en el artículo 25 del RGPD, se apliquen las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al RGPD".
En caso de alto riesgo, "deberá superar favorablemente una Evaluación de Impacto para la Protección de Datos (EIPD) que incluya y también supere el triple juicio de idoneidad, necesidad y proporcionalidad estricta establecido en el artículo 35.7.b y también previsto por la doctrina de Tribunal Constitucional".
LaLiga también debe verificar "la concurrencia de alguno de los supuestos previstos en el artículo 9.2 del RGPD, de modo que no sea de aplicación la prohibición general del tratamiento de estos datos personales". Finalmente, "se debe analizar y concluir que el tratamiento puede llevarse a cabo en aplicación de alguno de los supuestos de licitud recogidos por el artículo 6 del RGPD".