La AEPD ha publicado la resolución en el procedimiento sancionador seguido contra el Club Atlético Osasuna (C.A.Osasuna), que inició con una denuncia el pasado día 22 de noviembre de 2022, por la implantación de un sistema biométrico de reconocimiento facial (en adelante, SBRF) para el acceso de los espectadores al estadio El Sadar, alternativo a otros medios ya existentes como la tarjeta física o el abono en el móvil.
La denuncia indicaba que este tratamiento era ilegítimo por su falta de proporcionalidad, a pesar de contar con el consentimiento de los afectados por dicho tratamiento.
Después de una profusa fase de actuaciones previas de investigación con la aportación de numerosa documentación, la AEPD decide iniciar el procedimiento sancionador por la presunta infracción de los artículos 5.1.c) y 9 del RGPD, y, además, acuerda la suspensión temporal del tratamiento realizado con la solución del SBRF. Sin embargo, en la propuesta de resolución se declara el archivo de la infracción del artículo 9 y se eleva a definitiva la suspensión temporal del tratamiento instando la prohibición del SBRF.
La AEPD califica el tratamiento como de alto riesgo lo que obliga a la realización de una evaluación de impacto en los derechos y libertades de los interesados, que debe analizar rigurosamente la necesidad y proporcionalidad del tratamiento. Para ello deben tenerse en cuenta si existen opciones alternativas menos intrusivas para conseguir la finalidad perseguida.
Y recuerda la AEPD que la necesidad no puede confundirse con la utilidad del sistema y que no puede depender de lo que decida el afectado.
La conclusión de la AEPD es que el tratamiento no es necesario porque se aprecia claramente que existen medios menos intrusivos ya establecidos y en funcionamiento que cumplen los requisitos para los accesos al estadio y que el SBRF no es estrictamente necesario pues se acredita que los objetivos concretos perseguidos pueden lograrse con medidas que constituyen menor nivel de injerencia y menos graves en los derechos y libertades de los usuarios.
Finalmente, la AEPD impone al reclamando una sanción de multa de 200.000€ por infracción del artículo 5.1.c) y la prohibición del uso del SBRF. El C.A. Osasuna ha anunciado que recurrirá esta resolución ante la Audiencia Nacional.
Por último, llama la atención que esta resolución se publica a la vez que otra, de laautoridad de control de protección de datos danesa (Datatilsynet) que precisamente aprueba el uso de una herramienta de reconocimiento facial por el F.C. Copenhague, (ya se pronunció en el mismo sentido en 2019 respecto al uso de esta tecnología de reconocimiento facial automatizado por parte del equipo danés Brøndby IF) con la finalidad de identificar a las personas a las que se ha prohibido asistir a los partidos de fútbol del equipo por haber infringido las normas de conducta del propio club en partidos anteriores.
La autorización encuentra su fundamentación jurídica en el artículo 7.4 de la Ley danesa de protección de datos (nº 502 de 23 de mayo de 2018) que permite el tratamiento de datos sensibles, como el realizado por un sistema de reconocimiento facial, siempre que se alcance el umbral de interés público sustancial necesario, e indica que en esos casos la autoridad de control dará su consentimiento a tal efecto si el tratamiento (…) no se lleva a cabo en nombre de una autoridad pública.
De momento este sistema podría utilizar únicamente cuando se celebren eventos de fútbol nacional, por lo que no cubre ni partidos de fútbol internacionales ni otros eventos ajenos a este deporte. Y siempre que se haya superado la correspondiente evaluación de impacto.