El uso de la biometría sigue dando disgustos; sanciones tanto para el acceso a los estadios como para el ámbito laboral.
publicado el 6 febrero 2025
Categorías: Abogados / Agencia Proteccion Datos / Derechos Fundamentales / Iurismatica / LOPD / Normativa / Privacidad / Protección de Datos / Resoluciones
¡Suscribete a nuestro newsletter si no quieres perderte artículos como este!
El criterio de la AEPD respecto a la biometría ha quedado claro en los últimos tiempos con varias resoluciones que han sancionado su uso en distintos ámbitos. La última y más mediática ha sido la del Club Atlético Osasuna, sancionado por utilizar reconocimiento facial para el acceso a su estadio. La Agencia Española de Protección de Datos determinó que el sistema no cumplía con los principios de necesidad y proporcionalidad exigidos por el RGPD, ya que no se demostró que fuera imprescindible para la seguridad ni que no existieran alternativas menos intrusivas como los carnets digitales. Además, el club había basado el tratamiento de datos en el consentimiento de los abonados, pero la AEPD consideró que este no era válido, ya que la opción biométrica se promocionó como una forma más rápida y cómoda de acceso, lo que podía inducir a los abonados a aceptarla sin plena libertad. La Agencia insistió en que el consentimiento no es una base legítima si el tratamiento no supera el triple juicio de necesidad, idoneidad y proporcionalidad, concluyendo que el reconocimiento facial no era indispensable para el control de acceso. Como consecuencia, ordenó la suspensión del sistema y abrió un procedimiento sancionador con una multa de 420.000 euros.
Este caso no es aislado. En el ámbito laboral, la AEPD ha sancionado recientemente a otra empresa por utilizar reconocimiento facial para el control horario de sus empleados. La empresa no había realizado una Evaluación de Impacto en Protección de Datos (EIPD) ni ofrecía una alternativa para fichar, obligando a los trabajadores a usar la biometría sin otra opción. Además, la AEPD consideró que la base jurídica utilizada para el tratamiento, también basada en el consentimiento de los empleados, no era válida, ya que en el contexto laboral difícilmente puede considerarse que el consentimiento sea libre debido a la relación de subordinación con el empleador. Como resultado, la empresa fue multada con 220.000 euros.
Ambas resoluciones reflejan un criterio restrictivo de la AEPD respecto a la biometría. La Agencia ha dejado claro que el uso de datos biométricos solo es lícito si se demuestra que es absolutamente necesario y que no existen alternativas menos intrusivas. Además, ha reforzado la idea de que el consentimiento no puede utilizarse como una excusa para evitar este análisis de necesidad y proporcionalidad, especialmente en contextos donde los interesados pueden sentirse presionados para aceptar el tratamiento.
Lo curioso, gracias a la magnífica newsletter de Jorge García Herrero es ver como en otros países de la Unión Europea se han podido admitir sistemas de biometría, como por ejemplo para el acceso a los estadios de fútbol. La Agencia de Protección de Datos danesa ha autorizado el uso de reconocimiento facial en el estadio del F.C. Copenhague, pero lo ha hecho bajo un marco legal bien definido y con condiciones estrictas. La diferencia clave radica en que el tratamiento de datos biométricos en Dinamarca ha sido legitimado bajo el artículo 9.2.g del RGPD, que permite excepciones a la prohibición de tratar datos sensibles cuando el tratamiento es necesario por razones de interés público esencial. Sin embargo, este no es un criterio automático: la Ley de Protección de Datos de Dinamarca establece en su artículo 7.4 que, si el tratamiento no es realizado por una autoridad pública, debe contar con una autorización expresa de la Agencia de Protección de Datos, que evalúa su proporcionalidad y necesidad antes de conceder el permiso.
El sistema implementado por el F.C. Copenhague fue aprobado tras una evaluación de impacto y bajo condiciones muy estrictas. Solo puede utilizarse en partidos de alto riesgo y en competiciones oficiales, los datos solo se almacenan si coinciden con las listas de sancionados del club o de la policía y, en caso contrario, deben eliminarse inmediatamente después del partido. Además, el almacenamiento se realiza con cifrado y en una red separada de Internet, con medidas adicionales como controles de acceso reforzados y autenticación multifactor. También se estableció la obligación de informar claramente a los aficionados sobre el uso de la biometría, asegurando transparencia en el proceso.
A primera vista, el caso danés parece totalmente opuesto al español, pero si se analiza en profundidad, la diferencia radica más en el procedimiento seguido que en el fondo del asunto. La legislación danesa permite el tratamiento siempre que se obtenga una autorización previa basada en el interés público esencial, algo que en España no se recoge en la LOPDGDD.
La AEPD no ha descartado completamente la biometría, pero es estricta en la interpretación de la necesidad y proporcionalidad, exigiendo que el uso de estos sistemas esté plenamente justificado y acompañado de garantías sólidas. Si un club de fútbol español adoptara un modelo similar al del F.C. Copenhague, con un juicio de necesidad, idoneidad y proporcionalidad estricto, con una aplicación limitada a contextos de alto riesgo y medidas de seguridad avanzadas, podría defenderse quizá con mayores probabilidades de éxito.
El debate sigue abierto. ¿España endurece en exceso su postura o simplemente aplica con rigor el RGPD? ¿Es viable un modelo intermedio que permita el uso de la biometría con garantías suficientes? Lo que está claro es que cualquier entidad que quiera implementar reconocimiento facial deberá demostrar su absoluta necesidad, contar con medidas de seguridad avanzadas y garantizar que los derechos de los ciudadanos no se vean comprometidos.
Si no quieres perderte artículos como este date de alta en nuestro newsletter. Todos los viernes en tu bandeja de entrada!