I.- Introducción.
La resolución recaída en el PS-00482-2023 sobre datos biométricos para el control de accesos, en este caso, a un estadio “para agilizar” el mismo, es una de las más interesantes -a mi criterio- debido a la relación de hechos analizados durante la fase de investigación iniciada por la AEPD así como por el desenlace respecto a la infracción del principio de minimización del 5.1 c) del RGPD en relación con el consentimiento del interesado y, como no, la “necesidad” del tratamiento evaluada, en la EIPD presentada por la sancionada con una multa de 200.000.-€.
Asimismo, debe tenerse en cuenta que, aun tratándose los datos biométricos levantando la excepción general del art. 9.1. mediante el consentimiento (art. 9.1 y 6.1 a) RGPD) la AEPD no impone sanción alguna ni entra a valorar la licitud del consentimiento puesto que considera que, no siendo necesario el tratamiento de datos biométricos, no cabe analizar el resto de, en su caso, incumplimientos. Con ello conculca lo resuelto en otros procedimientos, por ejemplo en el PS-00419-2024, en que sanciono, vía art. 35 y 9 RGPD por el uso de datos biométricos para el registro horario.
Vaya por delante que en la presente no se va a dar la opinión personal de quien suscribe respecto de los criterios de una u otra parte, libertarios y/o proteccionistas, que podríamos resumir someramente en dos ideas: “mis datos son míos y yo decido lo que hago con ellos” y, en contraposición, “el interesado no puede decidir si un tratamiento es o no necesario”.
Téngase en cuenta, a su vez, que el procedimiento se inició en septiembre de 2023, esto es, un mes después de emitirse la guía de la AEPD sobre control de presencia mediante el tratamiento de datos biométricos.
II.- Antecedentes
El responsable del tratamiento (RT), un club de fútbol de primera división, procedió a la instalación de un sistema biométrico de reconocimiento facial (SBRF) para autorizar o denegar el acceso a su estadio. Dicho tratamiento, tras la realización de la correspondiente EIPD, documento sobre el que pivota todo el procedimiento, basó el tratamiento en el consentimiento del interesado, previo levantamiento de la excepción basada, también, en el consentimiento (art. 9.2 a) y 6.1 a) RGPD) ofreciendo, a su vez, un método alternativo de acceso a dicho estadio, esto es, el que venía utilizándose.
A saber, sobre el sistema:
- El registro en el sistema se realiza online, a través del encargado del tratamiento, solicitando los datos que más adelante se indicarán.
- Se trata de un sistema que incorpora inteligencia artificial y, consiguientemente, realiza la extracción de las características biométricas y su posterior comparación mediante el uso de redes neuronales.
- Indica el RT que se trata de un sistema que garantiza la irreversibilidad del vector generado y su no interoperabilidad con actualizaciones del propio software ni con otros lectores faciales.
- Los patrones faciales del DNI e imagen del usuario se comprueban para cursar el alta en el sistema.
- La precisión del sistema indicada por el RT es del 99,8%.
El sistema no compara puntos entre características biométricas, sino que el uso de IA supone la comparación de referencias digitales, creando un “vector facial” (en la resolución se indica que se trata de un vector “racial”, lo que entendemos, se trata de un inoportuno error de transcripción).
El SBRF utiliza las llamadas “Referencias Biométricas Renovables” (RBR), generando el vector por asociación y referenciación del rostro respecto de una serie de rostros utilizados en fase de entrenamiento del modelo y respecto de cada uno de los más de 500 rasgos distintivos que el mismo utiliza. A diferencia de los sistemas biométricos tradicionales, el uso de métodos de aprendizaje automático (Machine Learning) o incluso aprendizaje profundo (Deep Learning), supone que la plantilla no es un conjunto de características, sino los parámetros generados por una red neuronal y se le denomina “model” o “modelo” biométrico. Lo anterior supone que:
- Un mismo rostro puede dar lugar a distintos vectores en función, por ejemplo, de la versión de software, de los datos de entrenamiento o el orden atribuido a cada rasgo.
- El vector facial, por tanto, es siempre reversible y, en principio, no puede reconstruirse el rostro a partir del mismo.
- El vector no es interoperable.
- El vector facial es revocable en caso de comprometerse, generándose uno nuevo mediante la modificación de la configuración del sistema, como la introducción de un elemento de comparación adicional (no se sabe en este supuesto como el sistema reconoce que debe introducir nuevos elementos de comparación).
A saber, sobre el proceso de identificación-comparación:
Para realizar la comparación, el interesado debe situarse a menos de un metro de la cámara a los efectos de que esta pueda realizar la captura del “frame”. La comparación no se realiza de la forma que podemos llamar “habitual”, ya que no compara puntos del rostro (o la distancia entre puntos). Si la similitud entre el vector presentado y el registrado supera el umbral establecido se identifica a la persona.
Tras identificar con éxito al interesado el sistema envía un ID (anónimo, según indica el RT) al servidor, gestionado por la Sociedad Española de Fútbol Profesional, que se encarga de accionar los tornos de entrada como encargado del tratamiento del club de fútbol. Este proceso supone el tratamiento de los siguientes datos: fecha y hora de la identificación, ID anónimo, ID del terminal biométrico y puntuación obtenida de la comparación.
El lector no se encuentra activado en todo momento, sino que solo lo hace cuando detecta la proximidad necesaria del interesado, es decir, cuando este se sitúa a menos de un metro del dispositivo, en el carril de acceso biométrico. La RT no indica, no obstante, cual es el mecanismo de detección de “proximidad” ni si existe tratamiento en caso de que, por ejemplo, un aficionado se equivoque de torno.
Respecto al sistema de acceso tradicional, la RT destaca que existe una mayor eficiencia, esto es, supone el acceso de 8 personas más por minuto.
A saber, sobre la EIPD:
El RT concluye que se trata de un tratamiento proporcionado ya que el mismo es idóneo “al permitir la plena identificación del abonado”, es necesario ya que permite el “acceso a través de un procedimiento ágil y sencillo” reconociendo, seguidamente, que existen otros medios menos intrusivos y es proporcional ya que “es el propio abonado quien pondera la preferencia entre uno y otro sistema”.
Sobre los datos (adicionales) tratados y su conservación:
El SBRF trata los siguientes datos del interesado que se registra en el sistema:
- Datos identificativos del abonado.
- Dirección de correo electrónico.
- QR del abono del socio, que contiene el DNI, núm. de abonado e ID de acceso.
- Número de socio.
- Copia del DNI (anverso y, por si ello fuera poco, para realizar la extracción biométrica, también, el reverso).
- Fotografía del interesado para la comparación.
- ID de usuario en la plataforma.
- Datos biométricos y vector obtenido a través de los mismos
Dichos datos se conservarán durante la generación del vector y serán eliminados una vez obtenido el mismo (siendo bloqueados durante 3 años, por la prescripción en materia de PD, salvo el ID único generado). El vector, el ID de acceso y el hash del ID de usuario se conservarán hasta la supresión, si es que la solicita el interesado.
Ojo, que no es baladí, el tratamiento puede realizarse si el interesado mayor de 14 años consiente, por tanto, se prevé el tratamiento de datos de menores de edad.
Por último, el RT indica, a pregunta de la AEPD, que no se producen decisiones automatizadas, cosa que no parece cierta si se tiene en cuenta que los usuarios de alta en el SBRF pueden no llevar su abono consigo en el momento del acceso y, consiguientemente, se les puede negar el acceso al estadio si el sistema biométrico, que, recordemos, es probabilístico, falla. La posible intervención humana posterior, en caso de existir, no supondría que no se tratara de una decisión automatizada del art. 22 RGPD.
III.- Normativa aplicable
La normativa aplicable sobre la venta de entradas y accesos de los espectadores se regula en la Ley 19/2007 contra la violencia, en racismo y la xenofobia y la intolerancia en el deporte (Ley Antiviolencia), estableciendo, entre otras, medias las que se relacionan a continuación:
El artículo 7.2 b) establece que los espectadores deberán mostrar el título de acceso si así lo requieren las FyCS u otro colaborador, si bien el RT indicaba que, precisamente, una de las ventajas de registrarse en el SBRF era no tener que portar el título consigo.
El artículo 11 “control y gestión de accesos y de ventas de entradas”, señala: “1. Todos los recintos deportivos en que se disputen competiciones estatales de carácter profesional deberán incluir un sistema informatizado de control y gestión de la venta de entradas, así como del acceso al recinto“ (…), lo que se llevaba a cabo mediante la conexión de los tornos con los servidores de la SEFPSA, transmitiendo el ID de acceso.
El artículo 13 establece que la Comisión Antiviolencia podrá, en ciertos supuestos como eventos de alto riesgo, implantar medidas adicionales de seguridad como “b) Promover sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos y c) La implantación de sistemas de emisión y venta de entradas que permitan controlar la identidad de los adquirentes de entradas”, debiendo los organizadores insertar en las entradas información sobre el tratamiento de datos personales necesarios para poder identificar al espectador, cancelando los datos de los asistentes una vez finalizado el espectáculo salvo que deban conservarse por motivos de seguridad.
A su vez el RD 203/2010 que aprueba el reglamento de prevención de la violencia y desarrolla la anterior Ley establece que la venta entradas en los supuestos del art. 13 de la Ley debe ser nominativa, estableciendo procedimientos que permitan conocer la identidad de los asistentes.
El reglamento de La Liga, en sintonía con los anteriores criterios, eleva el nivel de seguridad, estableciendo los datos personales que deben suministrarse al Club en el momento de adquisición de los abonos de temporada.
Cabe recordar que el RT, en este supuesto, no disponía de gradas de animación, por lo que no le es aplicable lo dispuesto en dicho Reglamento sobre el tratamiento de datos biométricos para el acceso:
No hace falta recordar que dicho reglamento no tiene rango de Ley a los efectos del tratamiento de determinadas categorías especiales de datos personales.
Como vemos, por tanto, la normativa no prevé que los asistentes deban identificarse en el acceso al estadio mediante datos biométricos.
IV.- La “necesidad” del tratamiento y la base legal del consentimiento.
El RT indica que la base jurídica sobre las que se asienta el tratamiento (consentimiento) no necesita valorar la “necesidad” del tratamiento. Creo que en este punto se debe distinguir entre la “necesidad” en el sentido de lo establecido en el art. 5.1. c) RGPD, esto es, minimización de datos, y la “necesidad” que debe ser evaluada durante la realización de la EIPD.
Esta distinción la hace la propia AEPD en su guía de gestión del riesgo y evaluación de impacto:
Entendemos que la referencia realizada a la letra “b” del art. 5.1 RGPD debe entenderse realizadas a la letra “c”, sobre el principio de minimización.
Ambos conceptos de “necesidad” aparecen mezclados en los argumentos de una y otra parte.
La sancionada denuncia el argumento circular de la AEPD, que trae causa de la indicada guía sobre control de presencia en que se establece que, si existen otros medios alternativos y menos invasivos al propuesto, el tratamiento no será “necesario” y, consiguientemente, no se superará la EIPD. Este análisis, a su vez, debe hacerse en términos de efectividad de ambos sistemas. En ese caso, y según esta tesis, el tratamiento de datos biométricos no podría basarse ni en consentimiento ni en ninguna otra base si existe esa alternativa menos invasiva para los derechos y libertades de los interesados.
Volviendo a la necesidad en relación con el consentimiento, debe destacarse que el Dictamen 15/2011 del WP29 sobre la definición de consentimiento (WP 187), p. 7 indica que: “Además, la obtención del consentimiento no anula las obligaciones del responsable del tratamiento con arreglo al artículo 6 en lo que respecta a la imparcialidad, necesidad y proporcionalidad, así como a la calidad de los datos. Por ejemplo, incluso un tratamiento de datos personales basado en el consentimiento del usuario no legitimaría la recopilación excesiva de datos para un fin particular”. […] En principio, el consentimiento no debe considerarse una excepción a los otros principios de protección de datos, sino una salvaguardia. Es, principalmente, un fundamento de legalidad que no exime de la aplicación de otros principios”.
O lo establecido por el EDPB en sus Directrices 5/2020 sobre consentimiento: “Asimismo, la obtención del consentimiento tampoco niega o disminuye en modo alguno la obligación del responsable del tratamiento de respetar los principios del tratamiento consagrados en el RGPD, en particular, en el artículo 5 de dicho Reglamento en lo que se refiere a la lealtad, necesidad y proporcionalidad, así como a la calidad de los datos. Aunque el tratamiento de los datos personales se base en el consentimiento del interesado, ello no legitima una recogida de datos que no sean necesarios para un fin concreto de tratamiento, y la misma sería esencialmente injusta”.
Así, consentimiento y minimización no son, en ningún caso, incompatibles. Cuestión distinta, como se ha dicho, es la “necesidad” a tener en cuenta en la evaluación de la proporcionalidad del tratamiento.
V.- Sobre el análisis de la necesidad y proporcionalidad (EIPD).
Se trata, como no puede ser de otra manera, de un tratamiento de alto riesgo para los derechos y libertades de los interesados, debiendo tener en cuenta, además, el uso de IA (lo que sugiere un plus de trasparencia) y el potencial volumen de interesados.
El considerando 39 del RGPD establece que los datos personales únicamente deben tratarse si la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios, se entiende, de manera igual de eficaz y con menos riesgos.
El análisis de la necesidad y proporcionalidad requiere un análisis pormenorizado de las alternativas existentes menos intrusivas, por lo que debe documentarse la viabilidad de otras posibles opciones alternativas, compararlas y documentar las conclusiones.
Se debe valorar la necesidad valiéndose de pruebas que describan el problema, cómo se abordará con la medida planteada y porqué las medidas existes o menos intrusivas no pueden cumplir de manera suficiente.
Sobre la idoneidad de la medida, aparentemente, es una modalidad que facilitaría la agilidad en el acceso. El resultado es el mismo que con el sistema tradicional, si bien con el SBRF se logra mayor rapidez. Se alega también por la RT una dificultad en la suplantación de la identidad de los asistentes y una mayor comodidad “al no tener que presentar la tarjeta física”, sin que se aporte ningún estudio sobre si la suplantación, robo o extravío de la tarjeta son un problema real, presente o inminente para los abonados y mediante el SBRF ello se solucionaría.
Ambos medios no son equivalentes ya que mediante el SBRF se identifica de nuevo al asistente en el momento del acceso, cosa que no se hace si se accede con documento físico o en el móvil, además de, en el caso del SBRF, tratarse datos adicionales.
Asimismo, se desconoce como cumplen los abonados lo dispuesto en art. 7.2 b) si se les requiere el título de acceso si no lo portan consigo y se utiliza el SBRF.
Sobre la necesidad, la AEPD, como nos tiene acostumbrados, indica que no debe confundirse con utilidad, señalando, expresamente que “la necesidad no puede depender de lo que decida el afectado”, haciendo referencia, a su vez, al concepto de “estricta necesidad” acuñado por el TJUE (concepto, el de “estricto” que no aparece en el texto del 5.1 c) RGPD) que el RT deja a valoración de cada interesado sin proceder a su análisis -suficiente- en la EIPD. No se acredita que dicho método resuelva un problema real, presente o inminente y crítico.
El sistema informatizado de control y gestión de venta de entradas, así como de acceso está legalmente previsto y puede alcanzar, en algunos supuestos, a que las entradas sean nominativas, siendo ello mucho menos intrusivo que el uso de reconocimiento facial.
El club, igual que la AEPD parece incurrir igualmente en argumentos circulares al intentar justificar la “necesidad” del tratamiento con la voluntad del interesado de registrarse en el SBRF.
Sobre la ponderación de la medida, el RT, según indica la AEPD, no analiza la necesidad para la seguridad que el SBRF conllevaría para los accesos al estadio de conformidad con la Ley Antiviolencia. Si así fuera y se acreditara, el SBRF no sería voluntario sino obligatorio. Tampoco se han acreditado índices de suplantación de identidad o el modo en cómo se llevan a cabo.
Reza la AEPD que, como consecuencia, se desprende que el club “no ha examinado correctamente la necesidad y proporcionalidad de las operaciones de tratamiento del SBRF de acuerdo con los objetivos de su finalidad y en qué medida cumple ese objetivo”.
Tampoco se analizan las medidas de reacción y contención para el supuesto de materializarse los riesgos detectados, abordarlos y mitigar sus efectos.
VI.- Sobre el principio de minimización de datos (art. 5.1 c) RGPD).
El dictamen 11/2024, que trae la RT a colación, sobre el uso de RF para agilizar el flujo de pasajeros en aeropuertos, no entra a valorar la base de legitimación del consentimiento para dicha finalidad, quedando el mismo únicamente sujeto a la valoración de la compatibilidad de los art. 5.1 e) y f) y 25 y 32 del RGPD. A mayor abundamiento, respecto del principio de minimización y el uso de bases de datos centralizadas -como ocurre en el presente supuesto- con la clave de descifrado en poder del RT y en la nube, establece que:
(…)
Cabe tener en cuenta, a su vez, los sistemas coexistentes -y previos- a la implantación del SBRF, esto es, mediante venta de entradas nominativas y con posibilidad de llevar consigo la tarjeta física o en el móvil (con NFC o mediante QR), sistema que, en los tornos de acceso únicamente dejaba el log de acceso, si bien mediante el SBRF se trata, si la identificación es exitosa: la fecha y hora, ID de terminal biométrico, ID de acceso y la puntuación de similitud biométrica, conservando dichos datos hasta el inicio de la temporada siguiente. Ello sin contar con los datos adicionales para el registro en SBRF, entre ellos, copia del anverso y reverso DNI, que no consta se deba aportar en los otros sistemas, para acceder al estadio.
Y cuidado, que se puede contar con base jurídica que legitime el tratamiento y, en su caso, excepción que levante la prohibición general pero carecer de necesidad para tratar determinados datos.
VII.- Conclusiones
Parece que la resolución sancionadora de la AEPD se produce más que por el incumplimiento del art. 5.1 c) RGPD por una deficiente ejecución de la EIPD. Y así se indica, que si bien existen distintas formas de conseguir los fines a los que se oriente un tratamiento de datos personales, se plantean distintos riesgos en función de cómo se enfoca el mismo, pero no se ha logrado acreditar la necesidad y proporcionalidad con arreglo a la finalidad pretendida.
Pocas referencias (o no tantas) se realizan al exceso de datos tratados y muchas a la evaluación de la proporcionalidad y necesidad del tratamiento realizada en la EIPD.
Es más, la resolución repasa los déficits encontrados en la EIPD y parece que apunta aquello que debió cumplirse y no se hizo a través de la EIPD, pudiendo deducirse que no cierra la puerta al tratamiento, sino que debidamente fundamentado, quizá, el mismo pudiera llevarse a cabo. Estas deficiencias son, someramente, las siguientes:
- Falta de identificación y evaluación del problema, real, presente o inminente que se pretende resolver con el SBRF.
- Falta de documentación sobre la evaluación de las alternativas existentes y su comparación con el SBRF.
- Falta de análisis de la necesidad del tratamiento para resolver problemas de seguridad en el acceso al estadio.
- No se analizan medidas de reacción y contención para el supuesto de materializarse los riesgos.
Para la AEPD, basar toda la gestión del riesgo en el establecimiento de medidas de seguridad, en cualquier caso, no supone el cumplimiento de la norma ni permite el tratamiento de datos personales por el solo hecho de “minimizar los riesgos”. No solo deben preverse medidas de seguridad, sino también medidas técnicas y organizativas. Esto puede ser cierto, pero también lo es que deben valorarse los esfuerzos que un RT realiza para cumplir con la normativa sobre protección de datos.
Y para acabar, téngase en cuenta que, de conformidad con lo indicado por la AEPD, el hecho de estar en posesión de certificaciones como la ISO 27001 o la ISO 9001, no son certificaciones relativas a la protección de datos en el sentido de lo establecido en el art. 42, y es que se puede tener un perfecto sistema de gestión de seguridad de la información, pero un pésimo nivel de cumplimiento en materia de protección de datos.