Entradas

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (IV)

/en /por

Este es el cuarto y último post de esta serie sobre el uso del reconocimiento facial en los estadios de fútbol. En el primero, que puede leerse AQUÍ, se analizaron las cuestiones más generales acerca del reconomiento facial. En el segundo, disponible AQUÍ, se abordó la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que se analizó el caso danés. En el tercero, AQUÍ, se presentó la regulación francesa sobre la cuestión. Pasamos finalmente a analizar el caso de Países Bajos, el de Italia y el de España, tras lo que podrán encontrarse unas conclusiones.

10) Ajax (Países Bajos)

El Ajax Football Club ha recurrido a la tecnología de autentificación facial para verificar la identidad de los compradores de entradas y mejorar la seguridad de sus aficionados.

El club de fútbol holandés implantó hace unos años Mobile Verify, un sistema de verificación que desarrolló y que requiere que los clientes presenten una foto de su documento de identidad, además de un selfie. A continuación, el software utiliza la inteligencia artificial para analizar el documento de identidad presentado y asegurarse de que es un documento auténtico. También utiliza algoritmos de coincidencia biométrica para verificar que la identificación presentada es utilizada por su legítimo propietario.

Si leemos la política de privacidad del estadio de fútbol Johan Cruijff Arena (Ajax) hay una mención expresa al tratamiento realizado por reconocimiento facial. A saber:

“Para su seguridad y la nuestra, el Johan Cruijff Arena utiliza una cámara de vigilancia. No almacenamos las imágenes por más tiempo que el requerido por la ley. Conservamos las imágenes de las cámaras para cumplir con las obligaciones legales, como las órdenes judiciales relativas a la detección y persecución de delitos. Podemos transferir estos datos personales a las autoridades competentes para proteger nuestros derechos y propiedades. No es posible eliminarlos. En algunos casos, las imágenes de la cámara pueden ser procesadas para obtener servicios adicionales. Por ejemplo, el Arena puede darle acceso al estadio a través del reconocimiento facial. Esto sólo se hace si usted lo autoriza explícitamente. Además, durante los eventos que se celebran en el Johan Cruijff Arena, se toman fotos y vídeos del público para que tenga un recuerdo duradero de su visita. A continuación, puede ver y guardar estas imágenes para su uso personal. Estas tomas se retiran 48 horas después del evento. El Johan Cruijff Arena basa este servicio en el interés legítimo” [1].

En este caso, la base jurídica utilizada en el estadio del Ajax para autorizar el uso del reconocimiento facial parece ser el consentimiento del interesado. Y con respecto a las fotos y vídeos tomados por el público durante el partido, la base legal es el interés legítimo. Por lo tanto, a falta de más información, deducimos que estas fotos y vídeos no forman parte de un sistema de reconocimiento facial.

Por otro lado, el ayuntamiento de Ámsterdam está experimentando con tecnología de reconocimiento facial en el Johan Cruijff Arena y sus alrededores, en colaboración con la policía nacional. Este proyecto consiste en el reconocimiento automático de personas buscadas por la policía.

Pero, ¿por qué se realizan estos experimentos en torno al Johan Cruijff Arena?

El Johan Cruijff Arena quiere ser uno de los estadios de fútbol más seguros. El objetivo de la policía, el ayuntamiento y el Johan-Cruijff Arena es que, a partir de esta demostración, el debate sobre el uso y los riesgos del reconocimiento facial pueda llevarse a cabo mejor, sobre todo con más información práctica y que, en consecuencia, el reconocimiento facial en la esfera pública pueda utilizarse en situaciones específicas y tras una cuidadosa consideración y análisis. En este cuidadoso estudio la subsidiariedad es un principio importante. Esto significa que el reconocimiento facial no debe utilizarse si el uso de un medio menos intrusivo produce un resultado equivalente. Por lo tanto, este estudio también pretende examinar indirectamente esas posibles alternativas menos invasivas a nivel tecnológico.

11) Udinese y el caso Balotelli (Italia)

Un sistema de reconocimiento facial que permite identificar y bloquear en espacios de acceso al estadio a los aficionados que tienen prohibida la entrada al mismo fue probado por el Udinese con motivo de la final del Campeonato Europeo Sub-21.

En Italia el reconocimiento facial ha sido parte de un largo debate con voces que, para combatir el racismo dentro del mundo del fútbol, han apoyado el uso de esta tecnología, y opiniones que, en cambio, han sido mucho más críticas o cautelosas. El asunto estaba en el punto de mira de los medios de comunicación, principalmente por los reiterados cánticos e insultos racistas proferidos en 2019 y 2020 por aficionados del Verona, la Lazio y otros equipos contra Mario Balotelli.

Entre los críticos del uso de esta tecnología, en referencia a un caso aplicado a la Premier League, está Guido Scorza: una voz autorizada dado que hoy es miembro del Colegio del Garante para la protección de datos personales en Italia, que el 20 de agosto de 2019 escribió un artículo en L’Espresso criticando el uso de esta tecnología en los estadios de fútbol. “Nuestra identidad personal vale más que una tarde sin cola en el estadio” (…). En Manchester estarían pensando en usar la cara como entrada (ticket) cuando la tecnología pone ahora a disposición decenas de soluciones más respetuosas con la privacidad pero capaces de garantizar el mismo resultado o casi”.

Por otro lado, Antonello Soro, ex presidente de la Garante per la protezione dei dati personali italiano, en una entrevista efectuada por parte de AlgorithmWatch cuando aún estaba en el cargo reconoció que “el contexto absolutamente peculiar de un estadio [de fútbol] es uno… en el que… el uso extensivo de tecnologías biométricas… es]… más evidente”. Por ello, las protecciones son aún más importantes. Y, dado que los “peculiares peligros” de la vigilancia biométrica – “especialmente cuando es instrumental para la toma de decisiones algorítmicas”-, Soro pidió “precauciones adicionales” antes de implantar estos sistemas. En particular, deben hacerse “de acuerdo con la ley y requerir una DPIA”, expresó.
En contraste con estas opiniones, el mundo del fútbol e incluso la política han defendido otras posiciones (al menos antes de que estallara la pandemia). En febrero de 2020, el ministro de Políticas de Juventud y Deportes, Vincenzo Spadafora, anunció que el gobierno italiano iba a probar y desplegar “nuevas tecnologías para apoyar el trabajo de las fuerzas policiales” en los estadios de fútbol de todo el país.

Spadafora no especificó a qué “nuevas tecnologías” se refería. Pero otros lo hicieron. Luigi De Siervo, director general de la Lega Serie A, la principal liga de fútbol italiana, dijo: “Tenemos que atrapar uno por uno a los que están arruinando este maravilloso deporte. Con el reconocimiento facial es posible: este es el trabajo silencioso que se está haciendo”.
El director de la Federación Italiana de Fútbol (FIGC), Gabriele Gravina, también se refirió a la misma idea: “Gravina también expresó el posible uso de la tecnología en la lucha contra el racismo en los estadios de la Serie A: “Puede ser un medio muy importante a medio-corto plazo. Nuestro proyecto a largo plazo implica un proceso de educación y formación en las escuelas, y el uso de la tecnología conducirá a un reconocimiento facial de alta definición de los individuos culpables de estos actos.”

12) Real Madrid (España)

Por otro lado, hay otros casos de grandes clubes de fútbol como el Real Madrid que, al parecer, o al menos ello se colige de su política de privacidad, todavía no utilizan el reconocimiento facial en el estadio. Tal es el caso del Santiago Bernabéu (se menciona la palabra videovigilancia, sin especificar el tipo de tecnología que lleva este dispositivo). Desconocemos si la proyección del nuevo estadio conllevará el uso de nuevas tecnologías que deberán cumplir, en caso de que se implanten realmente, con la normativa vigente en materia de protección de datos personales en España.
Compartimos por el momento el fragmento relacionado con el termino videovigilancia incluido en la política de privacidad de la web del Real Madrid, relativo a los adquirentes de entradas para eventos o partidos y asistentes. A saber:

“Control de cumplimiento y seguridad, lo que incluye el asesoramiento y defensa jurídica al Club, control de cumplimiento normativo, seguridad en nuestras instalaciones, incluso por medio de videovigilancia, así como seguridad en partidos fuera de nuestras instalaciones (incluida la realización de un listado de afición local), encontrándonos legitimados para ello por el interés legítimo que ostenta el Club en garantizar el correcto desarrollo y seguridad en nuestras actividades, así como por ser necesario para asegurar el interés público y el cumplimiento de normativa a la que estamos sujetos (entre otras, la Ley 19/2007 contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte y la normativa que la desarrolla)”

13) Conclusiones

La declinación concreta en cada nación europea del RGPD y la diferente cultura y sensibilidad a la hora de interpretar el trade off entre seguridad y privacidad puede dar lugar, aun compartiendo los mismos principios regulatorios, a diferentes interpretaciones sobre un tema que no podemos negar que es especialmente delicado porque protege dos derechos fundamentales esenciales en una sociedad democrática, que deben equilibrarse adecuadamente y aplicarse respetando todas las garantías constitucionales y normativas.

La tecnología de reconocimiento facial ofrece muchas posibilidades para el control de acceso al estadio, pero dicha tecnología está sujeta a requisitos especialmente estrictos en virtud del RGPD, ya que implica el tratamiento de datos biométricos y, como tal, entra en el ámbito del artículo 9 para categorías especiales de datos. El establecimiento de una base jurídica válida puede variar un poco de un país a otro dentro de la UE debido a las diferencias en la aplicación de las leyes y reglamentos nacionales. El uso de la DPIA y la consulta previa a través de la Autoridad Nacional de Protección de Datos es de suma importancia en estos casos. Pero no sólo eso, también será imprescindible que el club de fútbol se asegure de que el tratamiento de los datos personales es absolutamente necesario para las actividades que realiza, y que no existen otros métodos disponibles para lograr esta finalidad que no impliquen el tratamiento de datos personales, sensibles o especiales. Además, será fundamental documentar las decisiones relativas al uso del reconocimiento facial. Si el club decide que su tratamiento es legítimo y legal, debe justificar su decisión y las otras opciones que ha explorado para demostrar que ha explorado otras vías y que cree que su tratamiento sigue siendo legal.

Asimismo, utilizar las medidas técnicas y de seguridad adecuadas. Es esencial que, si el club de fútbol decide procesar datos personales, estos datos se mantengan organizados y seguros y se eliminen tan pronto como ya no sean necesarios.

Por otro lado, es interesante subrayar que existen contrastes y opiniones divergentes -por ejemplo, en Italia y Francia- sobre el uso de la tecnología en los estadios de fútbol entre, por un lado, los miembros del gobierno, los clubes de fútbol y/o los directivos de fútbol y, por otro, las autoridades de protección de datos.

El debate igualmente abierto a nivel técnico, además. ¿Es necesario utilizar el reconocimiento facial o hay otras tecnologías o procedimientos menos invasivos que pueden producir resultados similares? De hecho, la última resolución del Parlamento Europeo (21 de enero de 2021) pide a la Comisión que evalúe las consecuencias de una moratoria en el uso de sistemas de reconocimiento facial por parte de las autoridades estatales en lugares públicos y espacios semipúblicos, como los aeropuertos, hasta que se considere que las normas técnicas son plenamente conformes con los derechos fundamentales.

Finalmente, no podemos olvidar que un estadio de fútbol, aunque pueda ser de propiedad y gestión privada, acoge eventos abiertos al público, expuestos a riesgos colectivos. Entonces, ¿cuál es el coste que queremos pagar para entrar en el estadio? ¿Nuestra privacidad o nuestra seguridad?

NOTAS

[1] For both your and our own safety, the Johan Cruijff Arena uses camera surveillance. We do not keep the images longer than the legally required period. We keep these camera images to comply with legal obligations such as court orders regarding the detection and prosecution of criminal offenses. We may transfer this personal data to the competent authorities to protect our rights and property. It is not possible to unsubscribe from this. In some cases, camera images may be processed for additional services. For example, the Arena can give you access to the stadium by facial recognition. This only happens when you explicitly authorize it. In addition, photos and videos are made of the public during events in the Johan Cruijff Arena to give you a lasting memory of your visit. Later, you can view and save these images for personal use. This footage is removed 48 hours after the event. Hereby the Johan Cruijff Arena bases this service on legitimate interest.

 

LEA EL RESTO DE POST DE LA SERIE:

 

 

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (III)

/en /por

Este es el tercer post de esta serie sobre el uso del reconocimiento facial en los estadios de fútbol. En el primero, que puede leerse AQUÍ, se analizaron las cuestiones más generales acerca del reconomiento facial. En el segundo, disponible AQUÍ, se abordó la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que se analizó el caso danés. Pasamos ahora a presentar la regulación francesa sobre la cuestión.

9) Metz (Francia)

Recientemente, una herramienta de análisis de vídeo dotada de inteligencia artificial y aprendizaje automático desató una gran polémica en Francia. Sin ser nombrado específicamente, el FC Metz recibió una advertencia de la CNIL (Commission Nationale del’Informatique et des Libertés). En su comunicado, la CNIL explica cómo la práctica puesta en marcha por el club francés contraviene la legislación vigente, afirmando que el sistema de reconocimiento facial para identificar automáticamente a los aficionados en el estadio de fútbol no cumple la legislación sobre protección de datos.

Según informó el club FC Metz en Twitter “para hacer cumplir las prohibiciones del estadio, se ha probado una solución de coincidencia facial[1] (“comparaison faciale »). Por lo tanto, sólo se aplica a los que no pueden acceder al estadio”.

El debate se volvió aún más espinoso cuando el ministro de deportes francés comentó el 31 de enero de 2021 que “Estos experimentos [de reconocimiento facial] se quieren potenciar en  grandes eventos deportivos que organice Francia y en otros eventos deportivos en los que Francia pueda exportar sus conocimientos.”

¿Cuál es el marco normativo en Francia?

Además del GDPR y de las leyes francesas de protección de datos, aplica el código deportivo francés.

El artículo L. 332-1 del Código del Deporte establece que los organizadores de eventos deportivos pueden rechazar o anular la emisión de entradas para dichos eventos o negar el acceso a quienes hayan infringido las disposiciones de las condiciones generales de venta o de los reglamentos internos relativos a la seguridad de dichos eventos.

El mismo artículo autoriza a los organizadores de eventos deportivos a aplicar “el tratamiento automatizado de datos personales relativos a las infracciones” para garantizar la seguridad de los eventos deportivos. Este tratamiento debe estar previsto en las condiciones generales de venta o en el reglamento interno.

Estas prohibiciones de acceso a los estadios de fútbol, que tienen por objeto contribuir a la seguridad de los acontecimientos deportivos impidiendo el acceso a determinadas personas y que son decididas por los organizadores de los acontecimientos deportivos, deben distinguirse de las prohibiciones judiciales o administrativas de acceso a los estadios, que sólo pueden ser impuestas por las autoridades judiciales.

En la práctica, el registro de una persona en un proceso de prohibición en un estadio de fútbol permitirá que el sistema de venta de entradas del estadio se niegue automáticamente a emitir una entrada en su nombre. Además, los guardias de seguridad pueden negar el acceso a la instalación deportiva a una persona inscrita en este tratamiento, aunque tenga una entrada válida.

En particular, las condiciones de aplicación de estos tratamientos se especifican en las disposiciones de los artículos L. 332-1 y R. 332-14 y siguientes del Código del Deporte, en particular en lo que respecta a:

  • La finalidad de dicho tratamiento;
  • Las categorías de datos que pueden tratarse
  • La duración de estos datos
  • Las categorías de destinatarios de estos datos;
  • Así como las normas aplicables a la información de los particulares (mediante la publicación o la entrega de un documento concreto).

A este respecto, si bien el artículo R. 332-15 del Código del Deporte francés prevé que la fotografía asociada de una persona puede ser tratada para la gestión de las prohibiciones de acceso a los estadios de fútbol, no permite expresamente la implantación de un dispositivo biométrico basado, en particular, en estas fotografías.

Veamos qué dice el artículo R332-15 citado anteriormente:

“En el tratamiento previsto en el artículo R. 332-14 sólo podrán registrarse los siguientes datos e informaciones personales:
1° Datos identificativos: apellidos; nombre; fecha y lugar de nacimiento; dirección o lugar de residencia; dirección de correo electrónico; número de teléfono; número de tarjeta de suscripción y fotografía asociada, si procede;
2° Los motivos de inscripción que constituyan una violación de las disposiciones de las condiciones generales o de los reglamentos internos relativos a la seguridad de los acontecimientos deportivos, en particular los que se deriven de los siguientes hechos:

a) Un acto que pueda provocar el odio o la violencia en los campos deportivos o en sus inmediaciones;

b) Un acto que pueda poner en peligro la seguridad de las personas y los bienes en el recinto deportivo o en las inmediaciones del evento deportivo;

c) Entrar en el recinto deportivo en estado de embriaguez o bajo la aparente influencia de las drogas; introducir y consumir bebidas alcohólicas y/o drogas en el recinto deportivo;

d) Introducir en el recinto deportivo cualquier objeto que pueda constituir un arma o poner en peligro la seguridad de personas o bienes;

3° Decisiones tomadas:

a) Naturaleza de la medida: suspensión, anulación o imposibilidad de suscribir un nuevo abono; negativa a vender una entrada; anulación de dicha entrada; denegación de acceso a un recinto deportivo;

b) Fecha de la decisión;

(c) Duración de la medida”.

Estos datos son registrados por las personas encargadas de la seguridad bajo la autoridad del organizador de eventos deportivos con animo de lucro.

Por último, el artículo R. 332-18 del Código del Deporte indica explícitamente que los interesados no pueden oponerse al tratamiento de los datos en estos casos.

A saber: Artículo R332-18 “El responsable del tratamiento informará a los interesados por correo, mediante el envío o entrega de un documento, o por cualquier otro medio equivalente, indicando la identidad del responsable del tratamiento, la finalidad del mismo, la obligatoriedad de las respuestas, las posibles consecuencias de la falta de respuesta, los destinatarios de los datos, el plazo de conservación y los procedimientos para el ejercicio de los derechos de los interesados

El derecho de oposición previsto en el artículo 38 de la Ley de 6 de enero de 1978 no se aplica a los tratamientos contemplados en el artículo R. 332-14.

Los derechos de acceso y rectificación previstos en los artículos 39 y 40 de la Ley de 6 de enero de 1978 se ejercen directamente ante el responsable del tratamiento.”

Por lo tanto, según la CNIL, “en ausencia de una disposición legislativa o reglamentaria especial, la implementación de dicho esquema por parte de un club deportivo con fines antiterroristas es ilegal“, ya que la recopilación y el uso de dichos datos biométricos están prohibidos, con excepciones, por el Reglamento General de Protección de Datos (RGPD) y la Ley de Protección de Datos (Loi Informatique et Libertés). En otras palabras, “en lo que respecta al marco jurídico, el tratamiento previsto no puede aplicarse legalmente”.

En este sentido, la CNIL ha advertido al club que si decide implantar su sistema de reconocimiento facial, “se expondrá a una o varias de las medidas correctoras previstas en el Reglamento de Protección de Datos y en la Ley de Protección de Datos y Libertades Civiles, incluida una sanción económica”.

NOTAS

[1] (…), uniquement afin de faire respecter les interdictions commerciales de stade, une solution de comparaison faciale a été testée. Elle concerne donc exclusivement les personnes interdites d’accès au stade. (21) FC Metz ☨ en Twitter: “@streetpress @oliviertesquet @A_N_Supporters Dans le cadre de la loi Larrivé, uniquement afin de faire respecter les interdictions commerciales de stade, une solution de comparaison faciale a été testée. Elle concerne donc exclusivement les personnes interdites d’accès au stade.” / Twitter

 

LEA EL RESTO DE POST DE LA SERIE:

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (II)

/en /por

Este es el segundo post de esta serie, y sucede a ESTE en que se analizaron las cuestiones más generales acerca del reconomiento facial. Ahora abordaremos la importancia de la Evaluación de impacto sobre la protección de datos (DPIA por sus siglas en inglés), tras lo que podremos comenzar a detenernos en algunos casos significativos, comenzando por el danés.

6) La importancia de la DPIA por parte de los clubes de fútbol antes de proceder al reconocimiento facial

La DPIA (Data Protection Impact Assessment), en virtud del artículo 35 del RGPD, debe llevarse a cabo si es probable que el tratamiento previsto de los datos personales suponga un alto riesgo para los derechos y libertades de una persona. Esto es especialmente importante cuando se trata de alguno de los siguientes aspectos:

a) Una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que afectan significativamente a dichas personas físicas;

b) Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, o

c) Vigilancia sistemática a gran escala de una zona de acceso público utilizando soluciones de reconocimiento facial para el control de acceso.

La DPIA también puede ser necesaria después de que una operación de tratamiento se haya añadido a la lista de tipos de tratamiento sujetos a la obligación de realizar una evaluación de impacto sobre la protección de datos o se base en un requisito establecido en las leyes y reglamentos nacionales. Además, la consulta previa es necesaria en virtud del artículo 36 del RGPD si la DPIA muestra que el tratamiento entrañaría un alto riesgo si el responsable no toma medidas para mitigarlo y reducir el riesgo.

Es importante destacar que la consulta previa no puede tener lugar hasta que el responsable del tratamiento haya realizado la DPIA. Posteriormente, se debe consultar a la autoridad competente en materia de protección de datos, por ejemplo, si es probable que los interesados sufran consecuencias importantes o irreversibles que puedan ser difíciles de superar. Los responsables del tratamiento también deben exigir la consulta previa en las situaciones en las que la legislación nacional les obligue a consultar y/o a obtener la autorización previa de la autoridad competente en materia de protección de datos. Por lo tanto, en lo que respecta a las soluciones de reconocimiento facial para el control de acceso, especialmente cuando se realizan a gran escala, parece necesario realizar una consulta previa para garantizar que se cumplen todos los requisitos legales.

7) Heysel (Bélgica)

Yo era un niño, pero recuerdo, como si fuera ayer, las imágenes en la pantalla del televisor del salón de mi casa. La nerviosa espera, aguardando la reanudación del partido con jugadores legendarios como Zbigniew Boniek, Michel Platini, Marco Tardelli, Bruce Grobbelaar, Ian Rush, etc.; pero sin saber ni comprender la gravedad de los acontecimientos que estaban ocurriendo en el interior del Estadio de Heysel en Bruselas, Bélgica, el 29 de mayo de 1985.

Aproximadamente una hora antes del comienzo de la final de la Copa de Europa de 1985, un grupo de hinchas del Liverpool cruzó una valla que los separaba de una zona neutral en la que había principalmente hinchas de la Juventus.

Al huir de la amenaza, los hinchas de la Juventus quedaron atrapados en una zona delimitada por un muro de contención de hormigón, que acabó derrumbándose. Murieron 39 personas. Murieron 39 personas y 600 resultaron heridas.

El partido se jugó a pesar de la catástrofe para evitar más disturbios y la Juventus ganó 1-0.

El resultado fue la prohibición a todos los clubes de fútbol ingleses de jugar en Europa durante cinco años. Catorce hinchas del Liverpool fueron declarados culpables de homicidio involuntario y condenados a tres años de prisión cada uno.

Hoy la pregunta que debemos hacernos es si la tecnología puede ayudarnos a prevenir o predecir el desastre ocurrido en el estadio de Heysel u otras amenazas en un mundo cada vez más global. ¿Podríamos analizar y gestionar este acontecimiento hoy como si hubiera ocurrido hace 30 años?

¿Y entonces qué? ¿Qué ocurre en los templos del fútbol? ¿Hay lugar para el reconocimiento facial, o no? Veamos algunos ejemplos para entender el estado de la cuestión.

8) Brøndby IF (Dinamarca)

El 13 de junio de 2019, el equipo de fútbol danés Brøndby IF anunció que a partir de julio de 2019 se implementaría la tecnología de reconocimiento facial automatizado (AFR) en el estadio del Brøndby. Se utilizaría para identificar a las personas a las que se les ha prohibido asistir a los partidos de fútbol del Brøndby IF por infringir las normas de conducta del club. El sistema AFR utilizaría cámaras que escanearían las zonas de entrada del estadio, de modo que las personas de la lista podrían ser “seleccionadas” entre la multitud antes de llegar a la entrada.

Dinamarca no cuenta con una ley nacional específica que proporcione una base jurídica para el uso de AFR por parte de los responsables del tratamiento, junto con las garantías adecuadas para los interesados. Sin embargo, el apartado 4 del artículo 7 de la Ley danesa de protección de datos (nº 502 de 23 de mayo de 2018) puede utilizarse para permitir cualquier tratamiento de datos personales sensibles por ley, incluido el AFR, siempre que se alcance el umbral de interés público sustancial necesario. Los comentarios explicativos del apartado 4 del artículo 7 indican que la disposición debe interpretarse de forma restrictiva, pero el alcance real de la exención, para el tratamiento de datos, se deja a la decisión y ulterior autorización de la Agencia Danesa de Protección de Datos.

Veamos qué dice el apartado 4 del artículo 7 de la Ley danesa [1] de Protección de Datos:

7(4) “El tratamiento de datos a que se refiere el apartado 1 del artículo 9 del Reglamento General de Protección de Datos puede tener lugar si el tratamiento es necesario por razones de interés público sustancial (“substantial public interest”) véase la letra g) del apartado 2 del artículo 9 del Reglamento General de Protección de Datos. La autoridad de control dará su consentimiento a tal efecto si el tratamiento (…) no se lleva a cabo en nombre de una autoridad pública”.

En este punto, la Autoridad Danesa de Protección de Datos ha decidido que el tratamiento con AFR aplicado a una lista de prohibición de acceso al estadio del Brøndby IF es necesario por razones de interés público sustancial y que el tratamiento es proporcional al objetivo perseguido y será utilizado para tratar los datos personales sensibles de, por término medio, 14.000 personas por partido de fútbol.

Pero, ¿cuáles son los límites? ¿Qué significa el concepto de interés público sustancial desde la perspectiva del derecho danés?

En la ley danesa de protección de datos no existe una definición concreta y univoca de lo que se entiende por interés público sustancial, por lo que es necesario hacer una interpretación caso por caso, en el supuesto que nos ocupa relacionada con la seguridad en determinados eventos deportivos de gran envergadura y con gran participación.

Como expresó en su momento Astrid Mavrogenis, jefa de unidad de la Autoridad Danesa de Protección de Datos, “para decirlo sin rodeos, tienes que poder llevar a tus hijos a un partido de fútbol y sentirte seguro“.

Aunque en Dinamarca se ha debatido si existe un interés público sustancial suficiente, el organismo de control danés cree que el fútbol puede considerarse un evento de masas en el que el uso de la tecnología de reconocimiento facial sirve para tutelar un interés público sustancial al garantizar la seguridad del público asistente.

El ejemplo danés demuestra que el establecimiento de una base jurídica en la legislación nacional para un interés público sustancial cuando el tratamiento no se lleva a cabo en nombre de una autoridad pública es el factor clave, especialmente en los casos de control de acceso previo en los que la acción basada en el consentimiento no es potencialmente disponible o fácilmente aplicable.

Como sabemos, el artículo 9.2.g) [2] del RGPD establece un motivo de exclusión del consentimiento explícito del interesado si existe una base jurídica basada en el interés público; pero, como hemos visto, la norma danesa va más allá y especifica los casos en los que el motivo de interés público sustancial no se lleva a cabo en nombre de una autoridad pública.

Por otra parte, el Brøndby IF llevó a cabo una evaluación de impacto sobre la protección de datos (“DPIA”) de conformidad con el artículo 35 del GDPR y requirió la consulta con la Agencia Danesa de Protección de Datos en virtud del artículo 36 del GDPR antes de implementar el sistema de reconocimiento facial. En el sistema propuesto por Dinamarca, el personal de seguridad recibiría una alerta cuando el sistema detectara una persona cuyo acceso estuviera potencialmente prohibido. El personal de seguridad podía entonces comprobar si la persona identificada por el sistema estaba efectivamente en la lista de personas con entrada prohibida.

Por lo tanto, cuando se utiliza un interés público sustancial como base para el tratamiento del reconocimiento facial, la EIPD y la consulta previa son vitales.

 

NOTAS

[1] (4) The processing of data covered by Article 9(1) of the General Data Protection Regulation may take place if the processing is necessary for reasons of substantial public interest, see point g) of Article 9(2) of General Data Protection Regulation. The supervisory authority shall give its authorisation for this purpose if the processing pursuant to the first sentence of this subsection is not carried out on behalf of a public authority. Authorisation given by virtue of the second sentence of this subsection may lay down more detailed terms for the processing

[2] 9.2 g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

 

LEA EL RESTO DE POST DE LA SERIE:

Reconocimiento facial en los estadios de fútbol: entre la privacidad y la seguridad (I)

/en /por

1) Introducción

Imagina que pasas por delante de una cámara de vigilancia en la entrada de un estadio de fútbol; pero no te ve o más bien te ignora, porque no eres importante para ella. La cámara sólo es sensible a los rostros de los delincuentes conocidos o a las posibles amenazas a nuestra seguridad. No estás en la lista. Relájate.

Esto. sin embargo, te irrita, porque no consideras ético que una cámara en un estadio analice tu sonrisa, tus gestos o pueda averiguar de qué tipo de tela está hecha tu chaqueta.

Supongamos que otro estadio no se molesta en utilizar la tecnología de reconocimiento facial y, por tanto, no consigue evitar una amenaza importante.

¿Seria, entonces, ético desde nuestro punto de vista o desde la perspectiva de los responsables de los estadios de fútbol no utilizar la tecnología de reconocimiento facial u otra equivalente? Tal vez la ética nos obligue a enfocar el problema desde otros ángulos. Por otro lado, es cierto que no podemos abandonar el espíritu crítico necesario para analizar la cuestión con la profundidad que merece.

En esta serie de post analizaré la cuestión poniendo en relación diversos ejemplos y pruebas con esta tecnología y la legislación pertinente al respecto, mostrando sus ventajas e inconvenientes, lo que permitirá un análisis sosegado y basado en datos de una cuestión que afecta a un derecho fundamental como es la privacidad.

2) Los problemas de la privacy y el reconocimiento facial

Este estudio debe comenzar con una pregunta clave: ¿es el uso del reconocimiento facial proporcional a los riesgos que se pretende mitigar en los estadios? Probablemente el 99% de los aficionados van al estadio sólo para divertirse y disfrutar del fútbol. Entonces, ¿Merece la pena escanear a todo el mundo? Además, si tiene sentido aplicar el reconocimiento facial en un aeropuerto [1], ¿por qué no en un estadio de fútbol? ¿Cuál es la diferencia?

Tal vez todas estas preguntas sean inútiles y nuestra sensación de malestar choque con la realidad. Los estadios de fútbol más modernos son ya el paradigma físico de plataformas que, como Facebook, empiezan a conocernos muy bien, incluso cuando salimos del estadio. Lo curioso es que esta excesiva atención a nuestros datos puede incluso ser aceptada por nosotros con agrado si nos sentimos cuidados y mimados por el equipo de fútbol que amamos.

Pero lo cierto es que sólo experimentando con estas tecnologías es posible perfeccionarlas y comprender hasta qué punto pueden protegernos o hasta qué punto pueden poner en riesgo nuestros derechos fundamentales. Y como las pruebas ya se están realizando, hay que preguntarse: ¿Debemos acostumbrarnos a algo inevitable, o es el momento de poner freno a la embestida de estas tecnologías? ¿Estamos preparados para probar estas tecnologías con certeza y seguridad jurídica? ¿Cómo podemos implementar el reconocimiento facial en los estadios de fútbol de la manera más “fair” posible y sin violar la normativa vigente? ¿Es esto posible, o no, en suelo europeo?

Cada vez más, los avances tecnológicos nos enfrentan a un inevitable trade-off entre seguridad y privacidad. Tal vez no haya una única verdad, sino un equilibrio de derechos e intereses en juego, porque buscamos una solución que más que ninguna otra persiga de forma equilibrada la máxima expansión de todos los derechos y valores. Aclaremos ahora: ¿Qué entendemos por tecnologías de reconocimiento facial?

3) ¿Qué es el reconocimiento facial?

Según la CNIL, la autoridad francesa de protección de datos, el reconocimiento facial es una técnica que permite, a partir de las características faciales, autenticar a una persona, es decir, verificar que una persona es quien dice ser (en el contexto del control de acceso); o que permite identificar una persona, es decir, encontrar una persona en un grupo de individuos, en un lugar, una imagen o una base de datos.

En la práctica, el reconocimiento puede hacerse con imágenes fijas (fotos) o animadas (grabaciones de vídeo) y se realiza en dos etapas:

  1. A partir de la imagen, se crea un modelo o “plantilla” que representa, desde el punto de vista informático, las características de ese rostro. Los datos extraídos para componer esta plantilla son datos biométricos en el sentido del RGPD.
  2. La fase de reconocimiento se lleva a cabo comparando estas plantillas previamente creadas con las plantillas calculadas en vivo sobre los rostros de la imagen candidata.

En el caso de la autenticación, el sistema verifica si la identidad reivindicada es realmente la correcta comparando el modelo facial presentado con el modelo previamente registrado correspondiente a la identidad reivindicada. En el caso de la identificación, el sistema comprueba si el modelo de rostro presentado coincide con uno de los modelos contenidos en la base de datos. Los resultados de la comparación corresponden a aquel o aquellos con la mayor puntuación de similitud entre los que superan un determinado umbral predeterminado.

El reconocimiento facial no debe confundirse con la detección de rostros, que caracteriza la presencia o ausencia de un rostro en una imagen independientemente de la persona a la que pertenece. Esta técnica biométrica de reconocimiento automático de una persona, basada en las características de su rostro, no debe confundirse, por otra parte, con otras técnicas de tratamiento de imágenes (por ejemplo, con dispositivos de “vídeo inteligente” que pueden detectar eventos o emociones sin, a pesar de todo, reconocer a las personas), con las que a veces puede combinarse.

Sobre todo, hay una gran variedad de posibles usos detrás del “reconocimiento facial”, que van desde el desbloqueo de ordenadores hasta el reconocimiento de una persona buscada por la policía en una multitud, pasando por la apertura de cuentas bancarias. No todos estos usos plantean los mismos problemas, sobre todo en cuanto al control de los ciudadanos sobre sus datos personales. Por eso, como señala la CNIL, es necesario razonar caso por caso.

4) Los riesgos vinculados al reconocimiento facial

Por otro lado, es importante destacar los riesgos tecnológicos, éticos y sociales asociados al reconocimiento facial. Estos riesgos están relacionados con la naturaleza biométrica del reconocimiento facial. Cualquier violación de datos o uso indebido supondría riesgos importantes (bloqueo del acceso a un servicio, robo de identidad, etc.) El reconocimiento facial también se basa en una probabilidad, no en una certeza absoluta, de que las caras coincidan. Por tanto, los errores pueden tener consecuencias muy importantes para las personas. En el entorno digital actual, en el que los rostros de las personas están disponibles en múltiples bases de datos y son captados por múltiples cámaras, el reconocimiento facial puede convertirse en una herramienta especialmente omnipresente e intrusiva. Por lo tanto, según la CNIL, esta evaluación de riesgos es necesaria para determinar cuáles no son aceptables en una sociedad democrática y cuáles pueden tomarse con las debidas garantías.

Las dudas técnicas que ofrece esta tecnología llevaron ciertamente al Parlamento Europeo a publicar una resolución el pasado 21 de enero de 2021. sobre la inteligencia artificial y las cuestiones relacionadas con la interpretación y aplicación del Derecho internacional en lo que respecta a la UE en relación con los usos civiles y militares y la autoridad estatal fuera del ámbito de la justicia penal (2020/2013(INI)), que (56) pide a la Comisión que evalúe las consecuencias de una moratoria en el uso de los sistemas de reconocimiento facial y, en función del resultado de dicha evaluación, considere la posibilidad de introducir una moratoria en el uso de dichos sistemas por parte de las autoridades estatales en lugares públicos y locales educativos y sanitarios así como una moratoria en el uso de sistemas de reconocimiento facial por parte de las autoridades policiales en espacios semipúblicos como los aeropuertos, hasta que se considere que las normas técnicas son plenamente respetuosas con los derechos fundamentales, los resultados obtenidos estén libres de sesgos y discriminación, y existan estrictas salvaguardas contra el uso indebido que garanticen la necesidad y proporcionalidad del uso de dichas tecnologías.

Además, el 28 de enero de 2021, el Comité del Convenio 108 adoptó unas directrices sobre reconocimiento facial que proporcionan un conjunto de medidas de referencia que los gobiernos, los desarrolladores de reconocimiento facial, los fabricantes, los proveedores de servicios y las entidades que utilizan tecnologías de reconocimiento facial deben seguir y aplicar para garantizar que no afectan negativamente a la dignidad humana, los derechos humanos y las libertades fundamentales de ninguna persona, incluido el derecho a la protección de los datos personales.

Otros documentos de interés sobre este tema son: -Line 3/2019 sobre el tratamiento de datos personales a través de dispositivos de vídeo (EDPB) y el documento emitido por la Agencia de Derechos Fundamentales de la Unión Europea, titulado: Facial recognition technology: fundamental rights considerations in law enforcement (November 2019)

5) ¿Qué dice el RGPD sobre el reconocimiento facial?

El considerando 51 especifica que: El tratamiento de fotografías no debe considerarse sistemáticamente tratamiento de categorías especiales de datos personales, pues únicamente se encuentran comprendidas en la definición de datos biométricos cuando el hecho de ser tratadas con medios técnicos específicos permita la identificación o la autenticación unívocas de una persona física. El artículo 4.14, por su parte, nos da la definición de datos biométricos“: datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos;

Según el RGPD, los datos biométricos se consideran una categoría especial de datos personales. El artículo 9 del RGPD prohíbe expresamente el tratamiento de categorías especiales de datos personales sin una base jurídica especial o a menos que se aplique una excepción. Es posible procesar los datos biométricos sobre la base del consentimiento del interesado, sin embargo, esto puede ser difícil de aplicar en el contexto del proceso de entrada a un estadio de fútbol¸ a menos que el consentimiento se haya dado inequívocamente, por ejemplo, durante el proceso de compra de entradas para los partidos de fútbol en línea.

El artículo 9, apartado 2, del RGPD establece motivos adicionales en los que pueden basarse los clubes de fútbol para el tratamiento de categorías especiales de datos, incluidos los datos biométricos, como cuando el tratamiento es necesario por razones de interés público importante, basado en el Derecho de la Unión o de los Estados miembros, que debe ser proporcional a la finalidad perseguida, respetar la esencia del derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los derechos e intereses fundamentales del interesado.

 

Analizadas estas cuestiones más generales sobre la naturaleza y regulación del reconocimiento facial, en siguientes post entraremos al detalle, prestando especial atención a algunos casos en que ya se ha puesto en marcha en estadios.

 

NOTAS

[1] Reconnaissance faciale dans les aéroports : quels enjeux et quels grands principes à respecter ? | CNIL

 

LEA EL RESTO DE POST DE LA SERIE: