La utilización de sistemas biométricos o sistemas de reconocimiento facial para llevar a cabo el control de accesos, entre otros, a puestos de trabajo, u otro tipo de instalaciones se llegó a generalizar mucho, como un método que facilitaba este tipo de gestiones a los usuarios, sin necesidad de portar otro tipo de elemento o Token para poder verificar su identidad, por ejemplo, tarjetas o carnets.
No obstante, de un tiempo a esta parte, las autoridades de control, y en especial, la AEPD, han establecido determinados criterios, según los cuales se pone en duda la legalidad de este tipo de sistemas a los ojos de la normativa de protección de datos, considerándose que no superaría los juicios de proporcionalidad de esta actividad de tratamiento
Sanción de la AEPD a La Liga
¿Cumplía la normativa su reconocimiento facial para el control de accesos?
La AEPD sanciona a LA LIGA, con una multa de 1.000.000 € por la implementación de sistemas de reconocimiento facial en los estadios, para el control de acceso de los aficionados a los partidos.
La AEPD ha sancionado recientemente a La Liga, debido a defectos en el cumplimiento de la normativa de protección de datos personales, concretamente, en la implementación de los sistemas de reconocimiento facial para el control de acceso de los aficionados a los estadios de futbol, concretamente, por haber exigido la implementación de este tipo de sistemas a los clubes de futbol a través de su Reglamento General. Concretamente, la sanción ha venido provocada porque, según la AEPD, los sistemas implantados no habían sido sometidos al preceptivo proceso de gestión de riesgos, y más específicamente, a realización de Evaluaciones de Impacto sobre el tratamiento exigida para este tipo de sistemas en virtud del artículo 35 RGPD, de manera que no se implementaron medidas de seguridad de acuerdo con los riesgos para los derechos y libertades de las operaciones de tratamiento llevadas a cabo.
Además, la AEPD entra a valorar otros aspectos relacionados con el tratamiento y su legitimación, concluyendo que, aún basando estos tratamientos en el consentimiento de la persona interesada, este consentimiento no se consideraría libre, ya que, de no otorgarlo, la consecuencia sería la negativa a poder acceder al estadio.
Por otro lado, en relación con la proporcionalidad del tratamiento, considera la autoridad de control que este tratamiento no resultaría proporcional en términos de su necesidad, al existir otras alternativas menos restrictivas con capacidad de cumplir con los objetivos de estos sistemas, como, por ejemplo, la solicitud de DNI y abonos nominales.
La Liga, por su parte, alega en su defensa que la implementación de este tipo de sistemas habría sido autorizada por la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte (CEVRXID) y que el procedimiento contaba con el aval del Consejo Superior de Deportes (CSD), lo cual, a ojos de la AEPD, no exime a la Liga de su responsabilidad como promotora de la implementación de estos sistemas, sin la adopción de garantías adecuadas. La AEPD concluye, en virtud de todo lo comentado, que se sanciona a La Liga de futbol con multa de 1.000.000€, por infracción del artículo 35 RGPD, además de exigir la suspensión temporal o definitiva de estos tratamientos de datos personales hasta que cumplan con la normativa de protección de datos, y se lleve a cabo la Evaluación de Impacto relativa a los derechos y libertades de las personas interesadas.
