Zabía-Abogados

La AEPD impone una sanción de 200.000 euros al Club Atlético Osasuna por la implantación de un sistema biométrico para controlar el acceso a su estadio

La autoridad de control ha impuesto una sanción de 200.000 euros al Club Atlético Osasuna por la infracción del artículo 5.1.c) del RGPD (principio de minimización de datos). Respecto a la vulneración del artículo 9 de dicho cuerpo normativo (tratamiento de categorías especiales de datos), se ha acordado su archivo.

Así, con ocasión de la emisión en un periódico de tirada nacional de una nota de prensa en la que se informaba de la implantación de un sistema biométrico de reconocimiento facial -SBRF- en el estadio El Sadar del Osasuna con la finalidad de controlar el acceso físico al mismo, se presentó una denuncia ante la AEPD. 

El club reconoció la implementación de este sistema de acceso, pero informó de que su uso no era obligatorio, sino que resultaba complementario del existente hasta la fecha (por el que se permitía el acceso a través del abono físico o el código QR de la aplicación del móvil). En este sentido, su instalación tenía como finalidad facilitar el control de acceso en todo el estadio de personas abonadas, logrando una mayor agilidad y fluidez durante este procedimiento (en caso de que el abonado opte por este método de acceso, no es necesario llevar el abono físico para acceder al estadio). 

Así, una vez registrados los abonados en este sistema como usuarios (habiendo otorgado el consentimiento expreso de forma clara para el tratamiento de sus datos biométricos y habiéndose facilitado la información pertinente sobre este tratamiento), el club les permitía elegir entre este tipo de acceso y el instaurado con anterioridad, habiendo varios métodos de acceso disponibles en cualquier partido.

Respecto a la conservación de esta información, afirmó el Club Osasuna que los datos relativos a este sistema se conservan mientras los abonados no revoquen el consentimiento, suprimiéndose “en caso de revocación o cesación en la condición de abonado”, no usándose esta información para otras finalidades. De este modo, si un abonado decide revocar su consentimiento, podrá seguir accediendo al estadio usando los otros métodos de acceso, que no han sido eliminados. Los datos del vector facial se conservan, con ocasión de su supresión, bloqueados hasta que transcurra el plazo de una eventual infracción.

En relación con el análisis del tratamiento efectuado en su Evaluación de Impacto, el club considera que este es idóneo para el acceso al estadio “al permitir la plena identificación del abonado” y resulta necesario para lograr la finalidad perseguida (que es facilitar a los abonados que lo deseen el acceso a través de un procedimiento ágil y sencillo). Respecto a esta cuestión, afirma que si bien es posible lograr la misma finalidad utilizando un medio menos intrusivo (por ejemplo, el uso del abono físico), el interesado puede decidir libremente el método sin que se genere ningún perjuicio para él de esta decisión, por lo que “la necesidad se vincularía en este caso con la voluntad del abonado”.

No obstante, se cesó en el uso de este sistema desde el final de la temporada 2023/2024.

En su resolución, la AEPD ha declarado que los vectores faciales resultantes del tratamiento técnico de la solución implantada son datos de carácter personal susceptibles de identificar a los abonados, siendo datos de carácter biométrico de categoría especial (artículo 9 del RGPD). Asimismo, se indica en la resolución que OSASUNA estimó necesario, para la puesta en marcha del sistema, obtener diversos datos que no constaban en los abonos físicos a través de otros documentos, como el anverso y el reverso del DNI, que le permitía cotejar la foto que se realiza para generar el vector facial.

A la vista de que nos encontramos ante un tratamiento que genera un alto riesgo a los afectados, así como que, por ello, se exige la realización de una Evaluación de Impacto, se evalúa si este tratamiento supera el análisis que este documento debe contener. Respecto a la idoneidad, la AEPD no niega que el reconocimiento facial sea idóneo para la identificación de los abonados, pero cuestiona si es necesario para este fin concreto, ya que estos ya están identificados mediante sus abonos físicos, no siendo suficiente justificación la agilidad del sistema. En relación con su necesidad, se indica que la existencia de métodos alternativos permite demostrar que el sistema no era estrictamente necesario, rechazándose el argumento de que la necesidad se vincula a la voluntad del abonado, puesto que ello no debe depender de la decisión del interesado. Por último, respecto a la proporcionalidad en sentido estricto, Osasuna no ha realizado una ponderación adecuada de los beneficios y perjuicios. 

Así, la autoridad de control declara, una vez analizada esta cuestión, que el sistema implementado con carácter previo por parte del club “cubría las necesidades para la identificación de los usuarios”, necesitando, para la expedición del abono físico, únicamente datos básicos, por lo que existen medios menos intrusivos para lograr la misma finalidad (que requerían el tratamiento de menos datos). De este modo, “la instauración de este nuevo sistema es una opción técnica en una situación, la del acceso al estadio, que no refleja un problema a abordar a través de un tratamiento nuevo, al estar cubierto con una modalidad preexistente, y se puede derivar una carencia de justificación en su idoneidad, necesidad y proporcionalidad”. 

En este sentido, se ha infringido el artículo 5.1.c) al implementar el sistema sin justificar adecuadamente su necesidad y proporcionalidad, existiendo métodos alternativos menos intrusivos, siendo la evaluación de impacto presentada superficial en su análisis de riesgos.

Respecto al consentimiento como base para levantar la prohibición del artículo 9 del RGPD, si bien la AEPD reconoce que este podría levantar dicha prohibición, insiste en que el tratamiento debe cumplir también con los principios generales del tratamiento de datos, considerándose, como se expone con anterioridad, que dicho tratamiento no cumplía con este principio. Así, carece de sentido valorar la legitimación de un tratamiento cuya necesidad y proporcionalidad no es acorde a la finalidad. Al no superar el tratamiento dicho juicio de necesidad y proporcionalidad, “no es preciso consentir algo que no es necesario por lo que la infracción del artículo 9 ha de ser archivada”.

Puede acceder a la resolución sancionadora aquí.

Share the Post:

Related Posts

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido