Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (II)
Este es el segundo post de esta serie, y sucede a ESTE en que se analizaron las cuestiones más generales acerca del reconomiento facial. Ahora abordaremos la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que podremos comenzar a detenernos en algunos casos significativos, comenzando por el danés.
6) La importancia de la DPIA por parte de los clubes de fútbol antes de proceder al reconocimiento facial
La DPIA (Data Protection Impact Assessment), en virtud del artículo 35 del RGPD, debe llevarse a cabo si es probable que el tratamiento previsto de los datos personales suponga un alto riesgo para los derechos y libertades de una persona. Esto es especialmente importante cuando se trata de alguno de los siguientes aspectos:
a) Una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que afectan significativamente a dichas personas físicas;
b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o
c) Vigilancia sistemática a gran escala de una zona de acceso público utilizando soluciones de reconocimiento facial para el control de acceso.
La DPIA también puede ser necesaria después de que una operación de tratamiento se haya añadido a la lista de tipos de tratamiento sujetos a la obligación de realizar una evaluación de impacto sobre la protección de datos o se base en un requisito establecido en las leyes y reglamentos nacionales. Además, la consulta previa es necesaria en virtud del artículo 36 del RGPD si la DPIA muestra que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo y reducir el riesgo.
Es importante destacar que la consulta previa no puede tener lugar hasta que el responsable del tratamiento haya realizado la DPIA. Posteriormente, se debe consultar a la autoridad competente en materia de protección de datos, por ejemplo, si es probable que los interesados sufran consecuencias importantes o irreversibles que puedan ser difíciles de superar. Los responsables del tratamiento también deben exigir la consulta previa en las situaciones en las que la legislación nacional les obligue a consultar y/o a obtener la autorización previa de la autoridad competente en materia de protección de datos. Por lo tanto, en lo que respecta a las soluciones de reconocimiento facial para el control de acceso, especialmente cuando se realizan a gran escala, parece necesario realizar una consulta previa para garantizar que se cumplen todos los requisitos legales.
7) Heysel (Bélgica)
Yo era un niño, pero recuerdo, como si fuera ayer, las imágenes en la pantalla del televisor del salón de mi casa. La nerviosa espera, aguardando la reanudación del partido con jugadores legendarios como Zbigniew Boniek, Michel Platini, Marco Tardelli, Bruce Grobbelaar, Ian Rush, etc.; pero sin saber ni comprender la gravedad de los acontecimientos que estaban ocurriendo en el interior del Estadio de Heysel en Bruselas, Bélgica, el 29 de mayo de 1985.
Aproximadamente una hora antes del comienzo de la final de la Copa de Europa de 1985, un grupo de hinchas del Liverpool cruzó una valla que los separaba de una zona neutral en la que había principalmente hinchas de la Juventus.
Al huir de la amenaza, los hinchas de la Juventus quedaron atrapados en una zona delimitada por un muro de contención de hormigón, que acabó derrumbándose. Murieron 39 personas. Murieron 39 personas y 600 resultaron heridas.
El partido se jugó a pesar de la catástrofe para evitar más disturbios y la Juventus ganó 1-0.
El resultado fue la prohibición a todos los clubes de fútbol ingleses de jugar en Europa durante cinco años. Catorce hinchas del Liverpool fueron declarados culpables de homicidio involuntario y condenados a tres años de prisión cada uno.
Hoy la pregunta que debemos hacernos es si la tecnología puede ayudarnos a prevenir o predecir el desastre ocurrido en el estadio de Heysel u otras amenazas en un mundo cada vez más global. ¿Podríamos analizar y gestionar este acontecimiento hoy como si hubiera ocurrido hace 30 años?
¿Y entonces qué? ¿Qué ocurre en los templos del fútbol? ¿Hay lugar para el reconocimiento facial, o no? Veamos algunos ejemplos para entender el estado de la cuestión.
8) Brøndby IF (Dinamarca)
El 13 de junio de 2019, el equipo de fútbol danés Brøndby IF anunció que a partir de julio de 2019 se implementaría la tecnología de reconocimiento facial automatizado (AFR) en el estadio del Brøndby. Se utilizaría para identificar a las personas a las que se les ha prohibido asistir a los partidos de fútbol del Brøndby IF por infringir las normas de conducta del club. El sistema AFR utilizaría cámaras que escanearían las zonas de entrada del estadio, de modo que las personas de la lista podrían ser “seleccionadas” entre la multitud antes de llegar a la entrada.
Dinamarca no cuenta con una ley nacional específica que proporcione una base jurídica para el uso de AFR por parte de los responsables del tratamiento, junto con las garantías adecuadas para los interesados. Sin embargo, el apartado 4 del artículo 7 de la Ley danesa de protección de datos (nº 502 de 23 de mayo de 2018) puede utilizarse para permitir cualquier tratamiento de datos personales sensibles por ley, incluido el AFR, siempre que se alcance el umbral de interés público sustancial necesario. Los comentarios explicativos del apartado 4 del artículo 7 indican que la disposición debe interpretarse de forma restrictiva, pero el alcance real de la exención, para el tratamiento de datos, se deja a la decisión y ulterior autorización de la Agencia Danesa de Protección de Datos.
Veamos qué dice el apartado 4 del artículo 7 de la Ley danesa [1] de Protección de Datos:
7(4) “El tratamiento de datos a que se refiere el apartado 1 del artículo 9 del Reglamento General de Protección de Datos puede tener lugar si el tratamiento es necesario por razones de interés público sustancial (“substantial public interest”) véase la letra g) del apartado 2 del artículo 9 del Reglamento General de Protección de Datos. La autoridad de control dará su consentimiento a tal efecto si el tratamiento (…) no se lleva a cabo en nombre de una autoridad pública”.
En este punto, la Autoridad Danesa de Protección de Datos ha decidido que el tratamiento con AFR aplicado a una lista de prohibición de acceso al estadio del Brøndby IF es necesario por razones de interés público sustancial y que el tratamiento es proporcional al objetivo perseguido y será utilizado para tratar los datos personales sensibles de, por término medio, 14.000 personas por partido de fútbol.
Pero, ¿cuáles son los límites? ¿Qué significa el concepto de interés público sustancial desde la perspectiva del derecho danés?
En la ley danesa de protección de datos no existe una definición concreta y univoca de lo que se entiende por interés público sustancial, por lo que es necesario hacer una interpretación caso por caso, en el supuesto que nos ocupa relacionada con la seguridad en determinados eventos deportivos de gran envergadura y con gran participación.
Como expresó en su momento Astrid Mavrogenis, jefa de unidad de la Autoridad Danesa de Protección de Datos, “para decirlo sin rodeos, tienes que poder llevar a tus hijos a un partido de fútbol y sentirte seguro“.
Aunque en Dinamarca se ha debatido si existe un interés público sustancial suficiente, el organismo de control danés cree que el fútbol puede considerarse un evento de masas en el que el uso de la tecnología de reconocimiento facial sirve para tutelar un interés público sustancial al garantizar la seguridad del público asistente.
El ejemplo danés demuestra que el establecimiento de una base jurídica en la legislación nacional para un interés público sustancial cuando el tratamiento no se lleva a cabo en nombre de una autoridad pública es el factor clave, especialmente en los casos de control de acceso previo en los que la acción basada en el consentimiento no es potencialmente disponible o fácilmente aplicable.
Como sabemos, el artículo 9.2.g) [2] del RGPD establece un motivo de exclusión del consentimiento explícito del interesado si existe una base jurídica basada en el interés público; pero, como hemos visto, la norma danesa va más allá y especifica los casos en los que el motivo de interés público sustancial no se lleva a cabo en nombre de una autoridad pública.
Por otra parte, el Brøndby IF llevó a cabo una evaluación de impacto sobre la protección de datos (“DPIA”) de conformidad con el artículo 35 del GDPR y requirió la consulta con la Agencia Danesa de Protección de Datos en virtud del artículo 36 del GDPR antes de implementar el sistema de reconocimiento facial. En el sistema propuesto por Dinamarca, el personal de seguridad recibiría una alerta cuando el sistema detectara una persona cuyo acceso estuviera potencialmente prohibido. El personal de seguridad podía entonces comprobar si la persona identificada por el sistema estaba efectivamente en la lista de personas con entrada prohibida.
Por lo tanto, cuando se utiliza un interés público sustancial como base para el tratamiento del reconocimiento facial, la EIPD y la consulta previa son vitales.
NOTAS
[1] (4) The processing of data covered by Article 9(1) of the General Data Protection Regulation may take place if the processing is necessary for reasons of substantial public interest, see point g) of Article 9(2) of General Data Protection Regulation. The supervisory authority shall give its authorisation for this purpose if the processing pursuant to the first sentence of this subsection is not carried out on behalf of a public authority. Authorisation given by virtue of the second sentence of this subsection may lay down more detailed terms for the processing
[2] 9.2 g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;
LEA EL RESTO DE POST DE LA SERIE: