Sanción por pedir huella dactilar

Este nuevo ejemplo vuelve a estar en el marco de la actividad deportiva, ya que se refiere a la sanción de 200.000 euros impuesta al Burgos FC. Un equipo de segunda división B del nuestro fútbol.

Al parecer todo comenzó en noviembre del año 2022, cuando la AEPD recibió varias denuncias de algunos aficionados que informaban que el equipo burgalés exigía de manera obligatoria la huella dactilar para acceder a la grada del campo de fútbol.

Un año después la AEPD iniciaba el procedimiento sancionador cuya resolución a llegado hace unos días a la entidad deportiva denunciada, informando que se habían infringido los artículos 8, 9, 13 y 35 del Reglamento General de Protección de Datos (en adelante RGPD).

Según se informa en el periódico digital Confilegal, especializado en el mundo judicial y del derecho, la entidad deportiva sancionada ha tenido que pagar solamente 120.000 euros al haberse acogido a dos reducciones propuestas por la AEPD, que han sido reconocer los hechos y el pago de forma voluntaria. 

Este nuevo caso de sanción por la exigencia de datos biométricos para el control de accesos a recintos deportivos en España nos lleva a destacar varios hechos.

- La aplicación de las nuevas tecnologías sin tener en cuenta las exigencias en materia de derechos personales de los usuarios (casos de la sanción a un gimnasio y ahora a los aficionados a un club de fútbol), y de los trabajadores (caso de la empresa sancionada con 365.000 euros, aunque esta no pertenezca al ámbito deportivo).

- El desconocimiento por parte de la dirección y de los responsables de los tratamientos de datos personales, de la normativa de obligado cumplimiento en materia de protección de datos personales.

- El exceso de confianza sobre la consideración extendida de “lo tienen en muchos sitios y nunca pasa nada…” hasta que pasa. ¡Y ahora está pasando!

- La argumentación de que a nosotros nos dijeron que se podían pedir datos biométricos, o no nos dijeron que no se podían pedir.

Incluso respecto a este cuarto hecho que exponemos, según informa el diario El Confidencial, hay una cuestión polémica, y es qué al parecer, el Burgos CF, lo que hizo en su momento, fue seguir lo que La Liga y la Comisión contra la Violencia dijeron que había que hacer. Posteriormente la AEPD comunicó que los sistemas de identificación no tenían que ser biométricos, La Liga se retractó, pero el club de fútbol ya había implantado el sistema de huella dactilar y aunque intentó pedir el consentimiento más tarde, siempre según la información de El Confidencial, lo hizo pero de forma deficiente.

Todo esto nos lleva a las siguientes conclusiones:

La implantación de las nuevas tecnologías debe hacerse teniendo en cuenta los derechos personales, como son los de la privacidad e intimidad, que constituyen la razón principal que inspira la protección de los datos personales.

Los datos biométricos, que son el tipo de datos al que nos referimos en el caso que comentamos, están catalogados como datos especiales, al permitir la identificación o la autenticación unívocas de una persona física.

Los datos biométricos no son únicamente las huellas dactilares. Los datos biométricos pueden ser de tres tipos: 

Datos biométricos morfológicos: 

- Escaneo de huellas dactilares.

- Escáner de iris.

- Reconocimiento facial.

- Geometría de la mano.

- Control de retina. 

- Reconocimiento de venas de la mano. 

- Otros. 

Datos biométricos conductuales.

- Reconocimiento de voz.

- Ritmo del habla.

- Reconocimiento de escritura a mano.

- Dinámica de la firma.

- Reconocimiento de gestos.

- Forma de sostener un teléfono inteligente

- La forma de caminar.

- Otros. 

Datos biométricos biológicos:

- El ADN (Ácido desoxirribonucleico).

Pero todos ellos, tienen en común, cómo se ha dicho anteriormente la consideración de datos especiales y por ello, es necesario tener en cuenta lo que establece la siguiente normativa de aplicación:

Artículo 6.1 del RGPD, se establece lo siguiente:

“ El tratamiento solo será lícito si se cumple al menos una de seis condiciones que se exponen… (de las cuales, reproducimos los aparatos a) y f) por tener aplicación directa con el caso que nos ocupa:

a) El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

f) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

NOTA: Recordamos que:

- El responsable del tratamiento es: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento.

- El encargado del tratamiento es: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Por lo tanto, el responsable del tratamiento es la entidad que determina la implantación de un sistema de tratamiento biométrico de datos, y en consecuencia quien asume las consecuencias de dicha implantación, aunque el tratamiento lo lleve un encargado del mismo que sea de la propia entidad o de una empresa externa. 

Finalmente, aun siendo lícito el tratamiento de la huella dactilar, como dato biométrico siempre y cuando se cumpla lo dispuesto en el citado artículo 6.1 del RGPD. En la Guía sobre tratamientos de control de presencia mediante sistemas biométricos” se recuerda lo expuesto en las Directrices 3/2019 del Comité Europeo de Protección de Datos, respecto a las consideraciones generales para el tratamiento de datos biométricos:

El uso de datos biométricos (…) conlleva elevados riesgos para los derechos de los interesados. Es fundamental que el recurso a dichas tecnologías tenga lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD. 

Aunque la utilización de estas tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su fin legítimo del tratamiento

Una vez más, tecnología y derechos de las personas, necesitan “ir de la mano”.

Quien sea responsable del tratamiento de los datos, aunque tenga un encargado de dicho tratamiento, tendrá la responsabilidad civil “in eligendo”  e “in vigilando” respecto a dicho encargado y respecto a cualquier empresa externa que contrate para la protección de los datos personales que sean objeto de tratamiento.

Una vez más conviene recordar lo que establece el artículo 6.1 del Código Civil: “La ignorancia de las Leyes no excusa de su cumplimiento”

Finalmente, la cuantía de las sanciones económicas que puede imponer la AEPD, aunque se pueda recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional, en los casos que así proceda, hace que haya que poner especial atención en el cumplimiento de lo que establece el RGPD y la LOPDGDD (Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.

Nos alertan de forma permanente respecto al riesgo de ciberataques a las bases de datos, y a sus consecuencias en forma de daños económicos además de otros tipos de daños.

Si el daño económico es la principal consecuencia a temer, tengamos en cuenta que se produce el mismo resultado, si dicho daño es debido a un ciberataque, o a la sanción de la AEPD por una infracción debido a la implantación de una tecnología como la huella dactilar para el control de accesos, que requiriendo determinadas medidas obligatorias para la citada implantación no se han llevado a cabo. 

Recordemos que, el RGPD en su artículo 83.5 establece que determinadas infracciones, pueden llegar a ser sancionadas con multas administrativas de 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Aunque veinte millones de euros, es la máxima sanción económica y corresponde a infracciones que en ocasiones han sido cometidas por grandes compañías o corporaciones, no dejan de ser un referente para establecer tramos menores, pero de cuantías elevadas. Por ejemplo, los 600.000 euros con que ha sido sancionada la compañía de crédito Vivus al quedar desprotegidos los datos de 9.500 clientes y haber notificado la brecha de seguridad ocho meses después de haberla detectado, según la información del diario digital Confilegal del 10/05/2024. 

Por ello conviene alertar igualmente por las posibles brechas de seguridad, que por el incumplimiento del RGPD y de la LOPDGDD, aunque no se haya llegado a producir un ciberataque. No obstante, en el caso de un ciberataque, si este se ha producido por la falta de medidas obligatorias, a la pérdida económica debida al propio ataque, habría que sumar el coste de la sanción.

Respecto a la evolución que está teniendo el empleo de la huella dactilar en cuanto a la identificación segura, el diario El Confidencial en su edición del 28/02/2024, ha dado a conocer lo siguiente:

 “Aunque parezca increíble para nuestros oídos humanos, los dedos producen ruido cuando los deslizamos sobre las superficies lisas de las pantallas de nuestros teléfonos o tablets. Pero más increíble aún es que esos imperceptibles sonidos se pueden usar para determinar los relieves microscópicos que forman nuestras huellas dactilares y recrearlas con una fidelidad extraordinaria.

Poner el dedo para desbloquear el móvil o el ordenador es un gesto sencillo que nos proporciona unos buenos niveles de seguridad, así que no es de extrañar que la verificación de la identidad mediante huella dactilar sea uno de los sistemas que más se ha extendido en los últimos años. Y los datos dicen que la cosa va a más. Se espera que el valor de mercado de esta tecnología alcance los 100.000 millones de dólares en 2032. 

Sin embargo, que sea un sistema relativamente seguro ahora, no quiere decir que vaya a seguir siéndolo en el futuro. Como apunta el medio especializado Tom’s Hardware, los hackers ya están pendientes de cazar imágenes donde se ven detalles de nuestros dedos que puedan permitirles hacer copias de las huellas y usarlos en los diferentes programas que ya existen para engañar fácilmente a cualquier escáner de huellas dactilares”.

La modernidad y el empleo de las nuevas tecnologías nos obliga a adoptar ciertas medidas que hagan compatible su uso con la seguridad y con la protección de los derechos personales.