Pedirte la huella para entrar a un estadio o al 'gym' es una pésima idea. Ahora te puedes negar
Algunos equipos de fútbol han comenzado a ver sanciones por pedir datos biométricos a los aficionados para acceder a las gradas de los estadios. Es una práctica que vulnera la normativa de protección de datos, según la AEPD
:format(jpg)/f.elconfidencial.com%2Foriginal%2F242%2F46a%2F3c1%2F24246a3c1defd33976b90f08a93a4180.jpg)
La recogida indiscriminada de datos biométricos en España está llevando de cráneo a la Agencia Española de Protección de Datos (AEPD). En lo últimos meses, no han sido pocos los casos en los que la institución se ha puesto a repartir sanciones a diestro y siniestro: desde la prohibición a WorldCoin de escanear el iris por dinero hasta multas a algunos gimnasios que piden la huella para acceder a las instalaciones o a empresas que las usan para fichar las jornadas de sus trabajadores. El último azote de la Agencia ha caído sobre el mundo del fútbol, sobre algunos equipos españoles que pedían de manera obligatoria datos biométricos a los aficionados para acceder a las gradas de sus estadios.
Un escarmiento que se ha cebado con el Burgos FC, un equipo de Segunda División B, que acaba de ver una sanción de 200.000 euros. No es el primero ni será el último, pues varios equipos de LaLiga han empleado estos sistemas biométricos durante años.
Todo comenzó en noviembre de 2022, cuando la AEPD recibió varias denuncias de algunos aficionados que criticaban que el equipo burgalés solicitara de manera obligatoria la huella dactilar para acceder a la grada de su campo de fútbol. La hinchada consideraba que estos sistemas eran “excesivos” y más cuando “en ningún momento se firma nada de protección de datos y tampoco te indican que podrán solicitarte datos biométricos”.
Un año después, la AEPD iniciaba un procedimiento sancionador, cuya resolución ha llegado hace unos días. Se han basado en su famosa guía de noviembre, una segadora que no está dejando títere con cabeza en materia de protección de datos, y que establece que el control de acceso mediante datos biométricos en este caso quebranta la normativa, violando los artículos 8, 9, 13 y 35 del reglamento.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fc72%2F686%2F484%2Fc7268648405b345148e2a38e041cad8c.jpg)
El club ya se había retractado el año pasado y había incluso dejado este sistema como opcional. También abría la puerta a que las personas que lo hubieran usado y quisieran que sus datos fueran borrados pudieran hacerlo comunicándolo por correo. Aunque eso no ha evitado que el equipo tenga que hacer frente ahora a un importante desembolso económico, sobre todo para un equipo humilde como es el Burgos.
“Esta resolución tiene mucho interés porque es la primera vez que se ha aplicado la famosa guía de noviembre de la Agencia. Y también la primera que se sanciona la excepción a la prohibición general de tratar datos sensibles del artículo 9. El Burgos ya identificaba a los aficionados por DNI y QR, algo que la Agencia considera suficiente y que el tratamiento biométrico era excesivo. Además, la autorización nunca estuvo bien informada. Y, sobre todo, había cierta obligatoriedad: ‘si no me das esos datos, me devuelves el carnet de socio'. No hay consentimiento ni hay nada”, explica a El Confidencial Jorge García Herrero, abogado y delegado de protección de datos.
No es el primer equipo ni el último investigado por la AEPD. De hecho, los blanquinegros aplicaron estos sistemas casi a la fuerza tras una auditoría realizada por LaLiga hace unos años, y tras un acuerdo adoptado por la Comisión Estatal contra la violencia, el racismo, la xenofobia y la intolerancia en los estadios españoles de fútbol.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F0f4%2F0f1%2Fd97%2F0f40f1d97bcda0f6e616968cbb3e7a2e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F0f4%2F0f1%2Fd97%2F0f40f1d97bcda0f6e616968cbb3e7a2e.jpg)
Todo venía de arriba, de una propuesta del Ministerio del Interior y el Consejo Superior de Deportes (CSD) hace casi una década para incrementar la seguridad en el fútbol. La situación entonces estaba caldeada a raíz del asesinato del ultra del Deportivo de La Coruña en una pelea masiva contra los radicales del Atlético de Madrid en las cercanías del Vicente Calderón en 2014 y el secretario de Estado de Seguridad y número dos del Ministerio del Interior, Francisco Martínez, comparecía en el Congreso para anunciar cambios en la normativa de acceso a los estadios con captación de datos biométricos y reconocimiento facial.
LaLiga abrazó la idea y la implantó en la temporada 2015/2016, apelando también al Reglamento Europeo de Protección de Datos, que en teoría les faculta para adoptar medidas en función del "interés público" como la prevención de "delitos de odio". Pero ahora la AEPD ha salido al paso para parar los pies a la institución que dirige Javier Tebas. Inciden en que “la legitimidad constitucional de la restricción del derecho fundamental a la protección de datos personales no puede estar basada, por sí sola, en la invocación genérica de un indeterminado “interés público”.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fe45%2Fd06%2F5cd%2Fe45d065cdcde790dd18e141f6cde09d5.jpg)
“Hay un elemento polémico y es que aquí lo que el Burgos ha hecho es seguir lo que en un principio LaLiga y la Comisión de la Violencia dijeron que había que hacer. Luego llegó la AEPD diciendo: ‘oigan que hay que aplicar sistemas de identificación, pero no tienen por qué ser biométricos'. La Liga reculó, pero dejó al Burgos con el culo al aire, que intentó pedir el consentimiento más tarde, pero de forma muy deficiente. Ya le habían enganchado y sancionado”, comenta García.
Contactado por este diario, un portavoz de LaLiga nos asegura que llevan impulsando "durante más de un año las modificaciones legislativas necesarias que doten de seguridad jurídica a aquellos clubes que utilicen sistemas de control de acceso biométrico en sus estadios". Y señala que "se han de tener en consideración todas las circunstancias del caso y, en particular, la necesaria ponderación entre el derecho a la protección de datos y otros derechos que también están en juego como la integridad física y moral de los aficionados que acuden cada semana a los estadios".
Un síntoma de lo que viene
El problema es que el Burgos es sólo la punta del iceberg, ya que estos sistemas de recogida de huellas dactilares están implantados en casi todos los estadios de Primera División, con algunas excepciones como el Sevilla, que se negó. Hay constancia de que 18 equipos han implementado algún sistema biométrico para el control de acceso a sus estadios a través de la entidad SEFPSA, quienes hacen hincapié en que no actúan ni como responsable ni como encargado del tratamiento de esos datos, sino que su labor se limita a la provisión del hardware y el software sin acceder a los datos personales.
El primero en ponerlo en práctica fue el Vicente Calderón, pero varios años después y tras un informe jurídico de la AEPD que ya avisaba que estos sistemas no eran conformes con la normativa de protección de datos, dio marcha atrás y comunicó a sus socios la supresión de la medida y que el acceso se haría solo con el DNI y el carnet de abonado.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F516%2Faed%2F66b%2F516aed66bf0b1a4bf2bdf64258e73553.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F516%2Faed%2F66b%2F516aed66bf0b1a4bf2bdf64258e73553.jpg)
En una entrevista con El Confidencial, Emilio Abejón, presidente de la Federación de Accionistas y Socios del Fútbol Español (FASFE) ya advertía el año pasado que su plataforma estaba alerta de que se cumpliera el reglamento: "La lucha contra el control biométrico es una de nuestras batallas. Muchos clubes se han echado para atrás, pero otros no. Y en cualquier caso, los clubes que se han echado atrás se han limitado a habilitar accesos sin huella, pero no han destruido las bases de datos personales, que es algo que no pueden mantener".
"Las decisiones de LaLiga la hacen en cierta manera corresponsable de estas infracciones del reglamento. Porque para ser corresponsable en un tratamiento de datos no tienes por qué tener acceso a los datos. El marco normativo de la competición no ha sido correcto, ya que ha obligado en cierto modo a los equipos a aplicar estos sistemas y encima les dice que, si no tienen otra opción para adquirirlos, LaLiga se los proporciona. No sólo les da un informe jurídico diciéndoles lo que tienen que hacer, sino que montan una sociedad para vender máquinas”, señala el abogado.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fbd3%2F621%2F614%2Fbd36216145222c4a6f58623627deca41.jpg)
El presidente de LaLiga, Javier Tebas, reaccionó entonces a la decisión de la AEPD pidiendo al Gobierno "medidas urgentes para resolver esta cuestión tan relevante para la preservación de la seguridad en los recintos deportivos" y que impulsara una reforma legal en la Ley contra la Violencia en el Deporte para que el control biométrico pudiera ser compatible con la actual normativa del RGPD. No es la primera vez que LaLiga es amonestada por temas de privacidad: la Audiencia Nacional le sancionó con 250.000 euros en 2019 al considerar que el tratamiento de datos que se realizaba a través de su app en los móviles de los usuarios, más concretamente de los micrófonos de estos, vulneraba el principio de transparencia.
LaLiga, por su parte, hace hincapié en que "no tiene competencias sancionadoras, y su capacidad de actuación se limita a la concienciación, prevención, detección y denuncia de estos hechos. Es por ello que toda herramienta que sirva para combatir más eficientemente la violencia y el odio en el fútbol debe ser respaldada dentro de la legalidad vigente".
La cruzada de la AEPD en España
Los requerimientos de la Agencia y las penalizaciones que tienen que ver con la recogida de datos biométricos en recintos se amontonan. Recientemente, se hacía pública una multa de 27.000 euros para el gimnasio Club Metropolitan, en Santander, por pedir la huella dactilar a los usuarios para poder acceder al centro. La denuncia la tramitó una clienta que se negó a facilitarla por considerarlo excesivo y la respuesta de Metropolitan fue darla de baja. Según su declaración, en el momento del registro no se indicaba en ningún momento el consentimiento para el tratamiento de los datos biométricos, ni tampoco el propósito o la posible comunicación de datos a terceros.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F410%2F575%2F89a%2F41057589aa10869ecede357de0031787.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F410%2F575%2F89a%2F41057589aa10869ecede357de0031787.jpg)
"La Agencia ha pasado de una actitud muy permisiva a una guía que ha corregido reglas muy flexibles con las empresas y ha puesto el listón mucho más alto que el del resto de las autoridades de control. Aunque esta tecnología no es moderna, el problema es ya está extendida por todos lados. Eso ha dejado a las empresas ojipláticas y ahora están todas mirándose unas a otras y pensando que hacer. Estas sanciones que estamos viendo están revolucionando el panorama”, apunta el experto.
En el epicentro de esta tendencia se encuentra también la decisión de la AEPD de impedir a Worldcoin seguir con su actividad de escaneo del iris de miles de usuarios a cambio de dinero en algunos centros comerciales de España. Lo hacía tras haber recibido al menos 13 reclamaciones denunciando una información insuficiente, captación de datos de menores o que no se permite la retirada del consentimiento, entre otros.
De la misma manera que en la recogida de huellas en los recintos, la investigación que llevó a cabo la Agencia y otras autoridades europeas no solo abarca el tratamiento que se hace de los datos, sino también si se les informa debidamente de los riesgos o se les pide el consentimiento. En materia de privacidad, los datos biométricos son muy delicados, ya que son irreversibles e inmutables. Si bien uno puede cambiar de contraseña, de domicilio, de tarjeta bancaria o incluso de nombre, el patrón que presenta el iris de cada persona o su huella dactilar es algo único y que no cambia con el paso de los años. Que caiga en manos de quien no toca supone un riesgo enorme, según llevan avisando los expertos. Algo que AEPD tiene muy claro y que está defendiendo con uñas y dientes.
La recogida indiscriminada de datos biométricos en España está llevando de cráneo a la Agencia Española de Protección de Datos (AEPD). En lo últimos meses, no han sido pocos los casos en los que la institución se ha puesto a repartir sanciones a diestro y siniestro: desde la prohibición a WorldCoin de escanear el iris por dinero hasta multas a algunos gimnasios que piden la huella para acceder a las instalaciones o a empresas que las usan para fichar las jornadas de sus trabajadores. El último azote de la Agencia ha caído sobre el mundo del fútbol, sobre algunos equipos españoles que pedían de manera obligatoria datos biométricos a los aficionados para acceder a las gradas de sus estadios.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F3a2%2F0ab%2Fc76%2F3a20abc762ff245606138167277dd0f6.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F940%2F79a%2F753%2F94079a7531437a55cdbf199621dc0a23.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F0c9%2Fa20%2F5e6%2F0c9a205e636497c0ef8c901303387ac5.jpg)