Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (IV)
Este es el cuarto y último post de esta serie sobre el uso del reconocimiento facial en los estadios de fútbol. En el primero, que puede leerse AQUÍ, se analizaron las cuestiones más generales acerca del reconomiento facial. En el segundo, disponible AQUÍ, se abordó la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que se analizó el caso danés. En el tercero, AQUÍ, se presentó la regulación francesa sobre la cuestión. Pasamos finalmente a analizar el caso de Países Bajos, el de Italia y el de España, tras lo que podrán encontrarse unas conclusiones.
10) Ajax (Países Bajos)
El Ajax Football Club ha recurrido a la tecnología de autentificación facial para verificar la identidad de los compradores de entradas y mejorar la seguridad de sus aficionados.
El club de fútbol holandés implantó hace unos años Mobile Verify, un sistema de verificación que desarrolló y que requiere que los clientes presenten una foto de su documento de identidad, además de un selfie. A continuación, el software utiliza la inteligencia artificial para analizar el documento de identidad presentado y asegurarse de que es un documento auténtico. También utiliza algoritmos de coincidencia biométrica para verificar que la identificación presentada es utilizada por su legítimo propietario.
Si leemos la política de privacidad del estadio de fútbol Johan Cruijff Arena (Ajax) hay una mención expresa al tratamiento realizado por reconocimiento facial. A saber:
“Para su seguridad y la nuestra, el Johan Cruijff Arena utiliza una cámara de vigilancia. No almacenamos las imágenes por más tiempo que el requerido por la ley. Conservamos las imágenes de las cámaras para cumplir con las obligaciones legales, como las órdenes judiciales relativas a la detección y persecución de delitos. Podemos transferir estos datos personales a las autoridades competentes para proteger nuestros derechos y propiedades. No es posible eliminarlos. En algunos casos, las imágenes de la cámara pueden ser procesadas para obtener servicios adicionales. Por ejemplo, el Arena puede darle acceso al estadio a través del reconocimiento facial. Esto sólo se hace si usted lo autoriza explícitamente. Además, durante los eventos que se celebran en el Johan Cruijff Arena, se toman fotos y vídeos del público para que tenga un recuerdo duradero de su visita. A continuación, puede ver y guardar estas imágenes para su uso personal. Estas tomas se retiran 48 horas después del evento. El Johan Cruijff Arena basa este servicio en el interés legítimo” [1].
En este caso, la base jurídica utilizada en el estadio del Ajax para autorizar el uso del reconocimiento facial parece ser el consentimiento del interesado. Y con respecto a las fotos y vídeos tomados por el público durante el partido, la base legal es el interés legítimo. Por lo tanto, a falta de más información, deducimos que estas fotos y vídeos no forman parte de un sistema de reconocimiento facial.
Por otro lado, el ayuntamiento de Ámsterdam está experimentando con tecnología de reconocimiento facial en el Johan Cruijff Arena y sus alrededores, en colaboración con la policía nacional. Este proyecto consiste en el reconocimiento automático de personas buscadas por la policía.
Pero, ¿por qué se realizan estos experimentos en torno al Johan Cruijff Arena?
El Johan Cruijff Arena quiere ser uno de los estadios de fútbol más seguros. El objetivo de la policía, el ayuntamiento y el Johan-Cruijff Arena es que, a partir de esta demostración, el debate sobre el uso y los riesgos del reconocimiento facial pueda llevarse a cabo mejor, sobre todo con más información práctica y que, en consecuencia, el reconocimiento facial en la esfera pública pueda utilizarse en situaciones específicas y tras una cuidadosa consideración y análisis. En este cuidadoso estudio la subsidiariedad es un principio importante. Esto significa que el reconocimiento facial no debe utilizarse si el uso de un medio menos intrusivo produce un resultado equivalente. Por lo tanto, este estudio también pretende examinar indirectamente esas posibles alternativas menos invasivas a nivel tecnológico.
11) Udinese y el caso Balotelli (Italia)
Un sistema de reconocimiento facial que permite identificar y bloquear en espacios de acceso al estadio a los aficionados que tienen prohibida la entrada al mismo fue probado por el Udinese con motivo de la final del Campeonato Europeo Sub-21.
En Italia el reconocimiento facial ha sido parte de un largo debate con voces que, para combatir el racismo dentro del mundo del fútbol, han apoyado el uso de esta tecnología, y opiniones que, en cambio, han sido mucho más críticas o cautelosas. El asunto estaba en el punto de mira de los medios de comunicación, principalmente por los reiterados cánticos e insultos racistas proferidos en 2019 y 2020 por aficionados del Verona, la Lazio y otros equipos contra Mario Balotelli.
Entre los críticos del uso de esta tecnología, en referencia a un caso aplicado a la Premier League, está Guido Scorza: una voz autorizada dado que hoy es miembro del Colegio del Garante para la protección de datos personales en Italia, que el 20 de agosto de 2019 escribió un artículo en L’Espresso criticando el uso de esta tecnología en los estadios de fútbol. “Nuestra identidad personal vale más que una tarde sin cola en el estadio” (…). En Manchester estarían pensando en usar la cara como entrada (ticket) cuando la tecnología pone ahora a disposición decenas de soluciones más respetuosas con la privacidad pero capaces de garantizar el mismo resultado o casi”.
Por otro lado, Antonello Soro, ex presidente de la Garante per la protezione dei dati personali italiano, en una entrevista efectuada por parte de AlgorithmWatch cuando aún estaba en el cargo reconoció que “el contexto absolutamente peculiar de un estadio [de fútbol] es uno… en el que… el uso extensivo de tecnologías biométricas… es]… más evidente”. Por ello, las protecciones son aún más importantes. Y, dado que los “peculiares peligros” de la vigilancia biométrica – “especialmente cuando es instrumental para la toma de decisiones algorítmicas”-, Soro pidió “precauciones adicionales” antes de implantar estos sistemas. En particular, deben hacerse “de acuerdo con la ley y requerir una DPIA”, expresó.
En contraste con estas opiniones, el mundo del fútbol e incluso la política han defendido otras posiciones (al menos antes de que estallara la pandemia). En febrero de 2020, el ministro de Políticas de Juventud y Deportes, Vincenzo Spadafora, anunció que el gobierno italiano iba a probar y desplegar “nuevas tecnologías para apoyar el trabajo de las fuerzas policiales” en los estadios de fútbol de todo el país.
Spadafora no especificó a qué “nuevas tecnologías” se refería. Pero otros lo hicieron. Luigi De Siervo, director general de la Lega Serie A, la principal liga de fútbol italiana, dijo: “Tenemos que atrapar uno por uno a los que están arruinando este maravilloso deporte. Con el reconocimiento facial es posible: este es el trabajo silencioso que se está haciendo”.
El director de la Federación Italiana de Fútbol (FIGC), Gabriele Gravina, también se refirió a la misma idea: “Gravina también expresó el posible uso de la tecnología en la lucha contra el racismo en los estadios de la Serie A: “Puede ser un medio muy importante a medio-corto plazo. Nuestro proyecto a largo plazo implica un proceso de educación y formación en las escuelas, y el uso de la tecnología conducirá a un reconocimiento facial de alta definición de los individuos culpables de estos actos.”
12) Real Madrid (España)
Por otro lado, hay otros casos de grandes clubes de fútbol como el Real Madrid que, al parecer, o al menos ello se colige de su política de privacidad, todavía no utilizan el reconocimiento facial en el estadio. Tal es el caso del Santiago Bernabéu (se menciona la palabra videovigilancia, sin especificar el tipo de tecnología que lleva este dispositivo). Desconocemos si la proyección del nuevo estadio conllevará el uso de nuevas tecnologías que deberán cumplir, en caso de que se implanten realmente, con la normativa vigente en materia de protección de datos personales en España.
Compartimos por el momento el fragmento relacionado con el termino videovigilancia incluido en la política de privacidad de la web del Real Madrid, relativo a los adquirentes de entradas para eventos o partidos y asistentes. A saber:
“Control de cumplimiento y seguridad, lo que incluye el asesoramiento y defensa jurídica al Club, control de cumplimiento normativo, seguridad en nuestras instalaciones, incluso por medio de videovigilancia, así como seguridad en partidos fuera de nuestras instalaciones (incluida la realización de un listado de afición local), encontrándonos legitimados para ello por el interés legítimo que ostenta el Club en garantizar el correcto desarrollo y seguridad en nuestras actividades, así como por ser necesario para asegurar el interés público y el cumplimiento de normativa a la que estamos sujetos (entre otras, la Ley 19/2007 contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte y la normativa que la desarrolla)”
13) Conclusiones
La declinación concreta en cada nación europea del RGPD y la diferente cultura y sensibilidad a la hora de interpretar el trade off entre seguridad y privacidad puede dar lugar, aun compartiendo los mismos principios regulatorios, a diferentes interpretaciones sobre un tema que no podemos negar que es especialmente delicado porque protege dos derechos fundamentales esenciales en una sociedad democrática, que deben equilibrarse adecuadamente y aplicarse respetando todas las garantías constitucionales y normativas.
La tecnología de reconocimiento facial ofrece muchas posibilidades para el control de acceso al estadio, pero dicha tecnología está sujeta a requisitos especialmente estrictos en virtud del RGPD, ya que implica el tratamiento de datos biométricos y, como tal, entra en el ámbito del artículo 9 para categorías especiales de datos. El establecimiento de una base jurídica válida puede variar un poco de un país a otro dentro de la UE debido a las diferencias en la aplicación de las leyes y reglamentos nacionales. El uso de la DPIA y la consulta previa a través de la Autoridad Nacional de Protección de Datos es de suma importancia en estos casos. Pero no sólo eso, también será imprescindible que el club de fútbol se asegure de que el tratamiento de los datos personales es absolutamente necesario para las actividades que realiza, y que no existen otros métodos disponibles para lograr esta finalidad que no impliquen el tratamiento de datos personales, sensibles o especiales. Además, será fundamental documentar las decisiones relativas al uso del reconocimiento facial. Si el club decide que su tratamiento es legítimo y legal, debe justificar su decisión y las otras opciones que ha explorado para demostrar que ha explorado otras vías y que cree que su tratamiento sigue siendo legal.
Asimismo, utilizar las medidas técnicas y de seguridad adecuadas. Es esencial que, si el club de fútbol decide procesar datos personales, estos datos se mantengan organizados y seguros y se eliminen tan pronto como ya no sean necesarios.
Por otro lado, es interesante subrayar que existen contrastes y opiniones divergentes -por ejemplo, en Italia y Francia- sobre el uso de la tecnología en los estadios de fútbol entre, por un lado, los miembros del gobierno, los clubes de fútbol y/o los directivos de fútbol y, por otro, las autoridades de protección de datos.
El debate igualmente abierto a nivel técnico, además. ¿Es necesario utilizar el reconocimiento facial o hay otras tecnologías o procedimientos menos invasivos que pueden producir resultados similares? De hecho, la última resolución del Parlamento Europeo (21 de enero de 2021) pide a la Comisión que evalúe las consecuencias de una moratoria en el uso de sistemas de reconocimiento facial por parte de las autoridades estatales en lugares públicos y espacios semipúblicos, como los aeropuertos, hasta que se considere que las normas técnicas son plenamente conformes con los derechos fundamentales.
Finalmente, no podemos olvidar que un estadio de fútbol, aunque pueda ser de propiedad y gestión privada, acoge eventos abiertos al público, expuestos a riesgos colectivos. Entonces, ¿cuál es el coste que queremos pagar para entrar en el estadio? ¿Nuestra privacidad o nuestra seguridad?
NOTAS
[1] For both your and our own safety, the Johan Cruijff Arena uses camera surveillance. We do not keep the images longer than the legally required period. We keep these camera images to comply with legal obligations such as court orders regarding the detection and prosecution of criminal offenses. We may transfer this personal data to the competent authorities to protect our rights and property. It is not possible to unsubscribe from this. In some cases, camera images may be processed for additional services. For example, the Arena can give you access to the stadium by facial recognition. This only happens when you explicitly authorize it. In addition, photos and videos are made of the public during events in the Johan Cruijff Arena to give you a lasting memory of your visit. Later, you can view and save these images for personal use. This footage is removed 48 hours after the event. Hereby the Johan Cruijff Arena bases this service on legitimate interest.
LEA EL RESTO DE POST DE LA SERIE: