Hace unas semanas, la Agencia Española de Protección de Datos se pronunciaba sobre si la adopción de un acuerdo por parte de la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia (en adelante, CEVRXID), amparada en la competencia atribuida derivada de lo dispuesto en el artículo 13.1 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte y desarrollado en el artículo 15.3 del Real Decreto 203/2010, de 26 de febrero, por el que se aprueba el Reglamento de prevención de la violencia, el racismo, la xenofobia y la intolerancia en el deporte, es base de legitimación suficiente para que los clubes deportivos puedan instalar un sistema biométrico de identificación unívoca para el control de accesos a las gradas de animación.
En concreto, la normativa citada le otorga potestad para implementar medidas adicionales en competiciones o espectáculos calificados de alto riesgo y todos aquellos “recintos que hayan sido objeto de sanciones de clausura con arreglo a los títulos segundo y tercero de esta Ley”, entre las que se encontraría la promoción de “sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos”.
En base a ello, el tratamiento de los datos personales de los espectadores se realizaría de acuerdo con lo señalado en el artículo 6.1.e) del Reglamento (UE) 2016/679 General de Protección de Datos (RGPD), es decir, “para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”, en aras de garantizar la seguridad e integridad de las personas que acudan a los estadios, así como evitar las posibles vulneraciones a derechos fundamentales derivadas de los delitos de odio y discriminación.
En lo relativo al tratamiento de los datos biométricos, aplicaría la excepción del artículo 9.2.g) del RGPD, es decir, que el tratamiento “es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.”
En este sentido, y en línea con lo dispuesto en el párrafo anterior, el acuerdo establecería las medidas adecuadas y específicas para proteger los intereses y derechos fundamentales de los interesados, entre las que se encontraría la obligación de realizar:
- Un juicio de proporcionalidad, en el que se analice la idoneidad de la medida, la necesidad del tratamiento y la proporcionalidad en sentido estricto.
- Una Evaluación de Impacto de acuerdo con lo dispuesto en el artículo 35 del RGPD.
Siendo esta la casuística propuesta, la AEPD incide en que a pesar de la divergencia de criterio a la hora de concretar qué se entiende por dato biométrico, en este caso no hay dudas de que la consulta se refiere a un tratamiento de datos biométricos dirigido a identificar unívocamente a una persona física y, por tanto, se trata de un tratamiento de categorías especiales de datos personales.
A este respecto, no debemos olvidar que las Directrices 5/2022 del Comité Europeo de Protección de Datos sobre el uso de tecnología de reconocimiento facial en el ámbito de aplicación de la ley, desechan la diferenciación entre los conceptos de autenticación/verificación (comparación de los datos biométricos recopilados con una plantilla concreta que, en principio, correspondería a la misma persona – comparación 1 a 1 -) e identificación (comparación de los datos recopilados con una serie de plantillas biométricas almacenadas previamente en una base de datos – comparación 1 a varios -) al objeto de determinar si el tratamiento de datos biométricos es o no una categoría especial de datos, concluyendo que ambos supuestos caben bajo lo dispuesto en el artículo 9 RGPD, debiendo ser sometidos, por tanto, al régimen de prohibición general y excepciones aplicable.
Teniendo esto en cuenta, la AEPD toma como referencias los siguientes informes a la hora de analizar si en el presente caso concurren los presupuestos establecidos en el artículo 9.2.g) para levantar la prohibición general del tratamiento de datos biométricos, si bien ya adelanta que en ninguno de esos casos se concluyó que existiera una norma legal que amparara el tratamiento bajo dicho precepto.
- Informe 36/2020, relativo al uso de técnicas de reconocimiento facial en la realización de pruebas de evaluación online. Puedes leer más sobre este tema aquí y aquí.
- Informe 31/2019 sobre la incorporación de sistemas de reconocimiento facial en los servicios de videovigilancia al amparo del artículo 42 de la Ley de Seguridad Privada.
- Informe 97/2020 relativo al Proyecto de Orden Ministerial sobre los métodos de identificación no presencial para la expedición de certificados electrónicos cualificados.
En relación con lo que debe entenderse por interés público esencial, piedra angular sobre la que se sostiene la excepción, alude, entre otros, a los casos Dragojević contra Croacia, Peck contra Reino Unido, y Leander contra Suecia, en los que el Tribunal Europeo de Derechos Humanos, al amparo del artículo 8 del Convenio Europeo de Derechos Humanos, viene considerando que el tratamiento de datos personales constituye una injerencia lícita siempre que realice de conformidad con la ley y esté sujeto a un fin legítimo, respete el núcleo inexpugnable de los derechos y libertades fundamentales y sea necesario y proporcionado en una sociedad democrática, de tal forma que “el concepto de necesidad implica que la injerencia responda a una necesidad social acuciante y, en particular, que sea proporcionada con el fin legítimo que persigue”.
En el plano español, la AEPD menciona diversa doctrina del Tribunal Constitucional para hacer cuenta de que un derecho fundamental como es la protección de datos personales (STC 292/2000, de 30 de noviembre) implica que toda injerencia, límite o restricción del bien jurídicamente protegido debe estar fijado por ley, respetando en todo caso lo dispuesto en la propia Carta Magna y en el contenido esencial del mismo (STC 57/1994, de 28 de febrero), de modo que la base de legitimación bajo la que cualquier actor pueda recoger, almacenar, tratar, usar y, en su caso, ceder datos personales, sólo está justificado si responde a la protección de otros derechos fundamentales o bienes constitucionalmente protegidos, pues de lo contrario se estarían imponiendo límites constitucionalmente ilegítimos que vaciarían de contenido al derecho fundamental, quedando desfigurado e irreconocible (STC 11/1981, de 8 de abril).
Pero además, aun existiendo un fundamento constitucional y resultando proporcionadas las limitaciones impuestas por ley al derecho fundamental establecidas por una Ley en el plano formal, se podría seguir vulnerando la Constitución si aun estando previsto en la ley, se rompe el equilibrio “entre el derecho y su limitación” (STC 178/1985, de 19 de diciembre).
Como resultado de dichas injerencias e indeterminaciones, la Ley ya no cumpliría esa función de garantizar al propio derecho fundamental que pretende restringir, pues lo deja a voluntad de aquel que la aplica, menoscabando así la eficacia del derecho fundamental y la seguridad jurídica, razones por las que la Ley que restrinja este derecho debe expresar con precisión “todos y cada uno de los presupuestos materiales de la medida limitadora” (STC 110/1984, de 26 de noviembre), pues de permitir que esta función sea concretada a través de un instrumento de rango inferior, sería otorgar a terceros distintos de los señalados en la Constitución del poder de fijar los límites al derecho fundamental (STC 37/1989, de 15 de febrero).
Es decir, es el legislador en virtud de la reserva de Ley del artículo 53.1. CE quien debe determinar cuándo concurre ese bien o derecho que justifica la restricción del derecho a la protección de datos personales y bajo qué circunstancias puede limitarse, concretando los extremos precisos que hacen posible la imposición de tal limitación y sus consecuencias.
Por último, la AEPD alude a la Sentencia 76/2019, de 22 mayo, única oportunidad que ha tenido el Tribunal Constitucional para pronunciarse específicamente sobre el artículo 9.2.g) del RGPD, objeto de nuestro artículo, tras la impugnación del artículo 58 bis de la Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General, introducido por la disposición final tercera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, relativo a la legitimación de la recopilación de datos personales relativos a las opiniones políticas de las personas que lleven a cabo los partidos políticos en el marco de sus actividades electorales, precepto que fue declarado inconstitucional.
La sentencia señala que el RGPD obliga a los Estados Miembros a establecer garantías concretas, no pudiendo retorcer el concepto de interés público esencial bajo conceptos genéricos o vagos, envolviéndolo en el indeterminismo.
Por otro lado, y tal y como mencionábamos en párrafos anteriores, el legislador no puede renunciar a ser quien restrinja el derecho, pues la Administración pasaría a ser juez y parte, dejando en la “más absoluta incertidumbre” al interesado, así como dejar ineficaz cualquier mecanismo de tutela jurisdiccional relativo al control de la actuación administrativa. Además, tampoco podría llegar a valorarse el fondo de la constitucionalidad de la medida, ni de su necesidad, idoneidad y proporcionalidad, si la redacción de la norma no precisa la finalidad, ni establece las garantías técnicas y organizativas adecuadas que busquen respetar el contenido esencial del derecho fundamental, porque estas se pospongan a un momento posterior bajo un actor diferente, es decir, que “ese mandato de predeterminación respecto de elementos esenciales, vinculados también en último término al juicio de proporcionalidad de la limitación del derecho fundamental, no puede quedar deferido a un ulterior desarrollo legal o reglamentario, ni tampoco se puede dejar en manos de los propios particulares” (FJ 8).
Por consiguiente, la AEPD concluye que las conclusiones alcanzadas en los citados casos son trasladables al presente, pues el tratamiento de las categorías especiales de datos busca ampararse en la competencia atribuida a la Comisión de promover sistemas de verificación de la identidad de las personas que traten de acceder a los recintos deportivos, a pesar de que la norma no establece las garantías pertinentes y adecuadas para la protección del derecho fundamental a la protección de datos personales, ni tan siquiera alude al uso de sistemas de identificación biométrica para la consecución de los fines, debiendo concluirse que la adopción de un acuerdo del CEVRXID “no es conforme con la normativa reguladora de protección de datos”.