Gerard Espuga Torné, abogado especialista en derecho digital y socio del despacho Beta Legal, señala que "tal y como se plantea, no es posible incorporar este sistema".
Gerard Espuga: «La AEPD no avala el tratamiento de datos biométricos para la entrada a gradas de animación»
|
25/1/2023 14:58
|
Actualizado: 25/1/2023 14:58
|
La Agencia Española de Protección de Datos ha declarado que el tratamiento de datos biométricos es inviable si se usa para controlar los accesos a las gradas de animación en los estadios de fútbol. El informe llega medio año después del anuncio del Estadio El Sadar, sede del Club Atlético Osasuna, de la instalación de un sistema de reconocimiento facial con esta finalidad.
En las gradas de animación se realizaba una identificación de las personas que se comparaba con un registro previo de los datos de los interesados en entrar, que se almacenaban en una base de datos de manera que se pudiera realizar una comparación con quienes entraran en esta sección del estadio.
«Tal y como se plantea, no es posible incorporar este sistema», señala Gerard Espuga Torné, abogado especializado en derecho digital y socio del despacho Beta Legal, que explica que la AEPD no prohíbe el uso de esta herramienta, sino la manera en que se incorpora.
«Para tratar un dato, es necesaria una base de legitimación», dice Espuga, que también destaca la obligación de que se cumpla alguna de las excepciones contempladas por la ley para hacer uso de los datos «de categoría especial», como los biométricos. En el caso de la entrada a las gradas de animación, desde el Sadar se justificaba que cumplía con el interés público al proteger la seguridad de los asistentes.
Hacían referencia a la ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte, cuyo artículo decimonoveno sugiere «la instalación de cámaras en los aledaños, en los tornos y puertas de acceso y en la totalidad del aforo» y «promover sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos».
Sin embargo, la AEPD declara que este uso, incluso en el marco de la adopción de un acuerdo de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia, este uso de sistemas biométricos «que permita la identificación unívoca de los aficionados que accedan a dichas gradas» no es conforme con la normativa reguladora de protección de datos.
El informe subraya la diferencia entre la identificación y la autenticación de personas a partir de datos biométricos. La identificación, como resulta ser en este caso, se trata de la comparación de los datos de una persona con los contenidos en una base de datos, con los que busca una coincidencia. En cambio, la autenticación «es una comparación de uno a uno» según Espuga. «Es una verificación por la cual se procesa un solo patrón de datos con el que se busca la coincidencia, como los smartphone que requieren la comparación de la cara de un único usuario para desbloquearlos».
La incongruencia con el tratamiento de datos biométricos en el registro de jornada
A pesar de que la AEPD afirma en su informe que «el artículo 13.1 de la Ley 19/2007, de 11 de julio hace referencia a sistemas de verificación de la identidad, pero no contempla la posibilidad de que dichos sistemas puedan implicar tratamientos de datos biométricos, ni establece las garantías pertinentes y adecuadas», Espuga apunta al uso de la misma tecnología en el registro de la jornada laboral, que «sí se avala».
«Es una incongruencia que sí se avale el registro de la jornada con el tratamiento de datos biométricos y no se permita en el acceso a las gradas de animación», dice Espuga. «También es verdad que hay tantas empresas que usan este sistema que sería un desastre prohibirlas».
Espuga pone en relieve que ninguno de los dos casos están previstos en una norma con rango de ley en lo que refiere a la finalidad del uso de estos sistemas, por lo que califica la situación de un «doble rasero» en los criterios.
También menciona las excepciones a la prohibición del tratamiento de datos personales «dirigidos a identificar de manera unívoca a una persona física» en el artículo 9 del Reglamento General de Protección de Datos. Su segundo apartado especifica que se podrá permitir «por razones de un interés público esencial» si se avala «sobre la base del Derecho de la Unión o de los Estados miembros», por lo que todavía no se puede considerar que esté contemplado por la ley.
«El informe deja la puerta abierta para que las personas presten consentimiento para el tratamiento de sus datos, pero el consentimiento tiene que ser libre», dice. En este caso, «tendrían que dar una alternativa para las personas que quieran entrar en estas gradas, como la identificación con el DNI, pero no impedir el acceso a quienes no quieran registrarse en este sistema».
Noticias Relacionadas:
