El Cofidencial Digital.- La agencia estatal advierte que la Ley contra el racismo y la intolerancia en el deporte no permite el tratamiento de información biométrica de los aficionados en las gradas de animación.
Protección de Datos frena el plan de Antiviolencia para extender los sistemas de identificación de los ultras en los campos de fútbol.
Protección de Datos frena el plan de Antiviolencia para extender los sistemas de identificación de los ultras en los campos de fútbol.
La Agencia Española de Protección de Datos no ha avalado el plan con el que la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia pretendía establecer medidas para que los clubes deportivos, principalmente de fútbol, instalen “sistemas biométricos para el control de todos los accesos a las gradas de animación que permita la identificación unívoca de los aficionados que accedan a dichas gradas”.
Confidencial Digital ha consultado el informe reciente del gabinete jurídico de la Agencia Española de Protección de Datos, que responde a la consulta de esa comisión, prevista en la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte, y que integran representantes de los ministerios con competencias en Deporte, Interior, Inmigración, de la Fiscalía General del Estado, del Consejo Superior de Deportes, de las federaciones de fútbol y baloncesto…
Tras la reyerta mortal en Madrid
La comúnmente conocida como Comisión Antiviolencia planteó a la agencia si “sería viable jurídicamente conforme a la normativa reguladora de protección de datos” que la comisión, “en el ámbito de sus competencias”, estableciera esas medidas que deberían cumplir todos los clubes sobre los sistemas de identificación de los aficionados que entran en las gradas de animación.
Una de las medidas que aprobó la Liga de Fútbol Profesional (LFP) para controlar a los grupos ultras consistía en la instalación de controles especiales en las gradas de animación, donde tratan de mantener controlados a estos hinchas radicales. Algunos miembros especialmente violentos de estos grupos son sancionados y expulsados de los estadios, pero era muy habitual que se colaran cambiando los abonos con otros aficionados.
La cuestión de la violencia en el mundo ultra resurgió en noviembre de 2014. Miembros del Frente Atlético (peña ultra de extrema derecha del Atlético de Madrid) y de Riazor Blues (ultras de extrema izquierda e independentistas gallegos del Deportivo de la Coruña) protagonizaron una pelea junto al río Manzanares, no lejos del Estadio Vicente Calderón. Se apuntó también la presencia de ultras de otros grupos afines a cada bando.
En la pelea murió, agredido por otros radicales, un ultra del Deportivo, Francisco Javier Romero Taboada, ‘Jimmy’. Recientemente 75 implicados fueron condenados a multas económicas por riña tumultuaria, mientras la investigación sobre el homicidio ha dado muchas vueltas judiciales.
Esta muerte violenta elevó los llamamientos para expulsar del fútbol a los grupos ultras. El Atlético de Madrid anunció la prohibición de entrada al campo para los implicados, y también la expulsión del Frente Atlético, si bien lo que ocurrió en este caso es que la peña ultra dejó de poder exhibir su nombre y siglas.
Al inicio de la temporada siguiente, la Liga anunció la entrada en funcionamiento en los estadios de fútbol de un sistema de acceso a las gradas de animación mediante identificación biométrica, con la huella dactilar, para así evitar el acceso de “personas con prohibiciones de acceso a recintos deportivos en vigor”.
Aunque han pasado ya años, algunos estadios no tienen aún este sistema de vigilancia especial en las zonas que ocupan los sectores de las hinchadas más radicales.
Antiviolencia pretende aprobar medidas
La Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia planteó a la Agencia Española de Protección de Datos esa consulta para saber si estaba amparada a aprobar medidas para que los clubes instalen estos sistemas biométricos.
La comisión defendió que “dicha posibilidad se ampararía en la competencia legalmente atribuida por el artículo 13.1 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte, que la faculta para decidir la implantación de medidas adicionales de seguridad para el conjunto de competiciones o espectáculos deportivos calificados de alto riesgo, o para recintos que hayan sido objeto de sanciones de clausura con arreglo a los títulos segundo y tercero de esta Ley, incluida en particular la de b) Promover sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos”.
Argumentó la Comisión Antiviolencia que “el tratamiento de los datos personales de los aficionados, incluidos sus datos biométricos, se realizaría en aplicación del artículo 6.1.e) del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), es decir, que el tratamiento de los datos sería necesario “para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento””.
En este caso, la misión de los clubes deportivos en interés público “sería la de garantizar la seguridad e integridad de las personas que acudan a los estadios de fútbol, así como prevenir y evitar vulneraciones de los derechos fundamentales de las personas, como los delitos de odio y discriminación, a través de las medidas anteriormente enunciadas”.
La Comisión Antiviolencia se comprometió a que su plan “garantizaría que el tratamiento de los datos personales identificativos (incluidos los biométricos) que realicen los Clubes/SAD [Sociedades Anónimas Deportivas] se lleve a cabo respetando debidamente los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, conservación, seguridad, así como de responsabilidad proactiva”, que requiere el Reglamento General de Protección de Datos.
Datos biométricos
En su informe, el gabinete jurídico de la Agencia Española de Protección de Datos explicó que el reglamento europeo define los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos”.
Esa misma norma comunitaria regula el tratamiento de categorías especiales de datos, entre los que se encuentran los datos biométricos, estableciendo que “quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física”.
“En el presente caso no hay dudas de que la consulta se refiere a un tratamiento de datos biométricos dirigido a identificar unívocamente a una persona física y, por tanto, que implica el tratamiento de categorías especiales de datos personales”, consideró la agencia.
Resulta que “el tratamiento de datos biométricos, tanto en los supuestos de autenticación / verificación como de identificación implica un tratamiento de categorías especiales de datos, sometido al régimen de prohibición general y excepciones del artículo 9 del RGPD”.
Una de las excepciones es la esgrimida por la Comisión Antiviolencia: que el tratamiento sea necesario por razones de un interés público esencial. El informe analizó si concurrían los requisitos para que encajara en esa excepción.
Interés creciente por el reconocimiento facial
La Agencia Española de Protección de Datos revela en este informe que las consultas que recibe sobre sistemas de reconocimiento facial revelan “el interés creciente en utilizar estos sistemas”.
Eso a su vez ha motivado que la agencia haya ido pronunciándose sobre estas cuestiones, y que el mismo organismo muestre “y la constante preocupación de esta autoridad de control” por los sistemas de reconocimiento facial u otras formas de obtención de datos biométricos, “al tratarse de sistemas de identificación muy intrusivos para los derechos y libertades fundamentales de las personas físicas”.
En muchas de las consultas, la agencia determinó “que no existía norma legal en el ordenamiento jurídico español que reuniera los requisitos del artículo 9.2.g) del RGPD, por lo que el tratamiento únicamente podría ampararse en el consentimiento de los afectados siempre que quedara garantizado que el mismo es libre”.
Una norma con rango de ley
El informe cita extensamente un informe de 2020, y subraya sobre todo la parte en la que se indicaba que “el tratamiento de datos biométricos al amparo del artículo 9.2.g) requiere que esté previsto en una norma de derecho europeo o nacional, debiendo tener en este último caso dicha norma, según la doctrina constitucional citada y lo previsto en el artículo 9.2 de la Ley Orgánica de Protección de Datos, rango de ley”.
En esa ley se tendría que “especificar el interés público esencial que justifica la restricción del derecho a la protección de datos personales y en qué circunstancias puede limitarse, estableciendo las reglas precisas que hagan previsible al interesado la imposición de tal limitación y sus consecuencias, sin que sea suficiente, a estos efectos, la invocación genérica de un interés público”.
También regularía la ley “las garantías adecuadas de tipo técnico, organizativo y procedimental, que prevengan los riesgos de distinta probabilidad y gravedad y mitiguen sus efectos”, y todo ello respetando en todo caso el principio de proporcionalidad, según la doctrina del Tribunal Constitucional.
Las conclusiones reflejadas en el informe de 2020 “son trasladables al presente” caso, sobre los controles biométricos en los estadios de fútbol.
No existe norma legal que lo ampare
Los asesores jurídicos de la Agencia Española de Protección de Datos concluyeron que la Ley contra la violencia en el deporte “hace referencia a sistemas de verificación de la identidad”, sí, pero sin embargo “no contempla la posibilidad de que dichos sistemas puedan implicar tratamientos de datos biométricos, ni establece las garantías pertinentes y adecuadas para la protección del derecho fundamental a la protección de datos personales”.
Apuntaron que “dicha posibilidad tampoco aparece prevista en el artículo 15.3 del Real Decreto 203/2010, de 26 de febrero, aunque debe adelantarse que dicha norma carecería, tal y como se viene exponiendo, del rango legal adecuado para proceder a la regulación del tratamiento de categorías especiales de datos personales”.
Por tanto, no existe norma legal “que habilite dicho tratamiento al amparo del artículo 9.2.g) del RGPD, ya que el artículo 13.1. no cumple con los requisitos previstos legal y jurisprudencialmente, tal y como se ha venido analizando en el presente informe”.
Protección de Datos respondió a la consulta que esa laguna normativa no puede suplirse mediante un acuerdo de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia, ya que dicho acuerdo no tendría el rango normativo adecuado para regular este tipo de cuestiones.
“La jurisprudencia del Tribunal Constitucional es clara respecto de la norma que ha de contener las garantías adecuadas que no puede deferirse a un momento posterior a la regulación legal del tratamiento de datos personales de que se trate”, remacha el informe.
Y es que “las garantías adecuadas deben estar incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión expresa y perfectamente delimitada a fuentes externas que posean el rango normativo adecuado (Sentencia 76/2019 de 22 mayo, FJ 8)”.
Todo ello le lleva a concluir que “la adopción de un acuerdo de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia, en el ámbito de sus competencias, estableciendo medidas para el cumplimiento de los clubes consistentes en la instalación de sistemas biométricos para el control de todos los accesos a las gradas de animación que permita la identificación unívoca de los aficionados que accedan a dichas gradas, no es conforme con la normativa reguladora de protección de datos”.