Sanción: Reconocimiento Facial en el C.A. OSASUNA

Un debate sobre la legitimidad, necesidad y proporcionalidad de los sistemas biométricos. 

 El caso del Club Atlético Osasuna (C.A. OSASUNA) pone en el centro de la discusión el uso de la tecnología biométrica para garantizar el acceso al estadio El Sadar. La implementación de un sistema de reconocimiento facial biométrico, basado en Referencias Biométricas Renovables –Renewables Biometric References- (RBRs), ha sido un paso hacia la modernización del acceso a los abonados. Sin embargo, este avance ha sido cuestionado por la Agencia Española de Protección de Datos (AEPD), que plantea dudas sobre la necesidad y proporcionalidad de este tipo de tratamiento.  

Este artículo busca analizar los aspectos clave del caso, especialmente en lo relativo a la legitimidad y los riesgos asociados con el tratamiento de datos biométricos. 

Antecedentes del Caso: 

En la temporada 2022/2023, C.A. OSASUNA implementó un sistema de reconocimiento facial biométrico para permitir el acceso a su estadio. Esta tecnología fue desarrollada en colaboración con la empresa DasGate, que provee los sistemas de RBRs. El acuerdo de patrocinio entre el club y DasGate cubrió los costes de instalación y aportó recursos adicionales para fortalecer el proyecto deportivo de Osasuna. 

Lo interesante de este caso es que el sistema biométrico fue ofrecido de manera voluntaria a los socios, quienes pudieron elegir entre este método o las opciones tradicionales, como las entradas físicas o los códigos QR.  

Según la resolución de la Agencia Española de Protección de Datos (AEPD), de los aproximadamente 8.000 socios que tuvieron la opción de elegir este sistema, alrededor de 2.000 decidieron utilizarlo.  

La Postura del Club: Legitimidad y consentimiento 

El C.A. OSASUNA defiende la legitimidad del uso del sistema de reconocimiento facial, basándose en el consentimiento explícito de los abonados, quienes optaron de manera libre y consciente por esta tecnología, con pleno conocimiento de las alternativas disponibles. El Club resalta los avances tecnológicos que presenta el sistema RBRs, los cuales aseguran una mayor seguridad y respeto por la privacidad en comparación con otras tecnologías biométricas más antiguas. 

El sistema de reconocimiento facial con tecnología BRBs ha sido respaldado por el Centro Criptológico Nacional (CNN), que en diciembre de 2024 emitió un informe titulado “Tecnologías Biométricas Seguras para el Control de Acceso” que recomienda el uso de sistemas basados en plantillas biométricas RBR para alcanzar niveles altos de seguridad, destacando su bajo riesgo para la privacidad de los usuarios. 

El debate jurídico: Necesidad y Proporcionalidad:  

La AEPD inició una investigación sobre el tratamiento de los datos biométricos, y en el proceso sancionador, propuso una sanción de 200.000 euros al C.A. OSASUNA. La razón de la sanción no está relacionada con un robo de datos ni con perjuicios a los usuarios que utilizaron el sistema, sino con una supuesta infracción del principio de necesidad (art. 5.1.c del RGPD) en el tratamiento de los datos personales.  

Según la AEPD, el uso de los datos biométricos para el sistema de acceso no era necesario, dado que existían otras formas de acceso al estadio, como las entradas físicas. En su resolución, la AEPD, argumentó que, aunque los abonados habían dado su consentimiento explícito, el uso de un sistema biométrico era desproporcionado en relación con el objetivo de permitir el acceso al estadio, ya que dicho objetivo podría haberse alcanzado con métodos menos invasivos. 

A continuación, se presenta un análisis jurídico de esta situación en el marco de la normativa de protección de datos: 

1. Tratamiento de datos biométricos como datos de categoría especial 

El tratamiento de datos biométricos para el acceso al estadio del C.A. OSASUNA se considera una operación que involucra datos personales de categoría especial. Según el artículo 9 del RGPD, estos datos están generalmente prohibidos debido a los riesgos significativos que implican para los derechos y libertades fundamentales de las personas. Sin embargo, esta prohibición puede levantarse bajo ciertas condiciones específicas. El artículo 9.2.a) del RGPD permite el tratamiento de datos biométricos cuando el interesado ha otorgado su consentimiento explícito.  

2. Base legitimadora del tratamiento según el art. 6 del RGPD 

El artículo 6 del RGPD especifica las bases jurídicas para que el tratamiento de datos personales sea lícito, y en este caso, C.A. OSASUNA se basa en el consentimiento explícito como la base principal para el tratamiento de los datos biométricos de los abonados.  

No obstante, es fundamental señalar que este tratamiento debe cumplir con los principios establecidos por el RGPD, en particular con los principios de necesidad y proporcionalidad. El consentimiento no puede ser considerado válido si el tratamiento no es necesario ni proporcional en relación con el fin que se pretende alcanzar. En otras palabras, para que el tratamiento sea legítimo, debe ser imprescindible para el objetivo que se desea lograr y no debe ir más allá de lo estrictamente necesario para su consecución. 

3. Evaluación de la necesidad y proporcionalidad del tratamiento 

La evaluación de la necesidad y proporcionalidad del tratamiento es crucial en este tipo de casos. El RGPD requiere que se realice un análisis previo para asegurarse de que no existen medios menos invasivos para lograr el mismo resultado. En este caso, el C.A. OSASUNA presentó una Evaluación de Impacto en la Protección de Datos (EIPD) realizada entre noviembre de 2021 y febrero de 2022, en la que se analiza cómo el sistema de reconocimiento facial cumple con los principios de necesidad, proporcionalidad y seguridad establecidos por el RGPD. 

El art. 5.1.c) y el considerando 39 del RGPD indican que los datos personales sólo deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios. Para ello debe realizarse un análisis previo sobre la necesidad de dicho tratamiento para la consecución de la finalidad pretendida por el responsable del tratamiento, en el sentido de que no haya otro medio igual de eficaz y menos intrusivo, antes de la implantación de cualquier sistema; y todo ello debe ser evaluado desde el principio de protección de datos desde el diseño, focalizando el análisis en los derechos y libertades de las personas cuyos datos se van a tratar. 

El Grupo de Trabajo del Artículo 29 (ahora conocido como el Comité Europeo de Protección de Datos – CEDP) ha subrayado la importancia de una evaluación rigurosa de la necesidad y proporcionalidad en el tratamiento de datos biométricos. Según su Guía sobre la Evaluación de Impacto de Protección de Datos (2017), el responsible del tratamiento debe demostrar que no existen medios menos intrusivos para alcanzar la misma finalidad y que el tratamiento es justificable en términos de seguridad y protección de datos.  

En este caso, al ofrecer el sistema biométrico como una opción adicional a otros métodos tradicionales, C.A. OSASUNA refuerza la proporcionalidad del tratamiento. El hecho de que el uso del sistema no sea obligatorio y que los abonados tengan la libertad de elegir lo convierte en una alternativa menos invasiva, lo que, en mi opinión, justifica el tratamiento de los datos personales en este contexto. 

La clave del debate radica en si el tratamiento de datos biométricos es realmente necesario para cumplir con la finalidad de asegurar un acceso eficiente y seguro al estadio, o si puede ser considerado una opción excesiva o innecesaria cuando otras tecnologías menos invasivas podrían lograr lo mismo. Lo que está claro es que el hecho de que el sistema fuera implementado como una opción adicional y no como una medida obligatoria refuerza la proporcionalidad del tratamiento, ya que los abonados pudieron decidir libremente si deseaban optar por esta tecnología. 

4. El riesgo para los derechos y libertades de los abonados 

Una de las principales preocupaciones en el tratamiento de datos biométricos es la protección de los derechos y libertades de los interesados. La AEPD ha señalado que el sistema de reconocimiento facial podría implicar un alto riesgo, pero en este caso, el uso de RBRs reduce considerablemente dicho riesgo. Según el informe del CNN, el sistema utilizado presenta un bajo o nulo riesgo para los derechos fundamentales de las personas debido a la participación activa y voluntaria del usuario, así como al diseño no reversible de las plantillas biométricas.  

Además, el hecho de que los datos biométricos no puedan ser utilizados fuera de su propósito específico, y que no se pueda inferir información sensible como la raza o el estado de salud, reduce considerablemente el riesgo de abuso o utilización indebida de los datos personales. En consecuencia, el tratamiento no parece suponer una amenaza significativa a la privacidad de los abonados. 

 Conclusión: 

El caso del C.A. OSASUNA representa un debate fundamental sobre el uso de tecnologías avanzadas, como el reconocimiento facial, en entornos deportivos. Aunque la AEPD ha expresado preocupaciones sobre la necesidad y proporcionalidad del tratamiento de datos biométricos, considero que el enfoque adoptado por el club es razonable y acorde con la normativa vigente. El sistema de reconocimiento facial, al no ser obligatorio, respeta el principio de proporcionalidad, ya que se ofrece como una opción adicional, permitiendo que los abonados elijan entre varias alternativas. Además, la tecnología de Referencias Biométricas Renovables (RBRs) utilizada garantiza altos niveles de seguridad y privacidad, minimizando los riesgos para los usuarios. 

Si bien es necesario ser especialmente cauteloso con el tratamiento de datos sensibles, en este caso concreto, el sistema implementado por Osasuna cumple con los requisitos establecidos por el RGPD. El club ha logrado un equilibrio entre innovación tecnológica y protección de la privacidad, y este caso sirve como ejemplo de cómo una implementación responsable de tecnología avanzada puede ser compatible con la protección de los derechos fundamentales de los abonados. 

Finalmente, es crucial destacar que todas las empresas que implementen tecnologías como el reconocimiento facial deben llevar a cabo una Evaluación de Impacto en la Protección de Datos (EIPD) conforme al RGPD. Esta evaluación no solo es un requisito legal, sino que también actúa como una herramienta clave para garantizar que el tratamiento de los datos biométricos se realice de manera responsable. La EIPD asegura que los riesgos se minimicen, y que el tratamiento se adhiera a los principios fundamentales de la protección de datos, priorizando siempre la privacidad y los derechos de los interesados.