La sanción impuesta por la Agencia Española de Protección de Datos a Osasuna, de la que se acaba de hacer eco Diario de Navarra, no es, en nuestra opinión, ajustada a Derecho.

Los integrantes del grupo de investigación Administración Pública de la UPNA venimos desarrollando una intensa actividad investigadora sobre los aspectos jurídicos de la biometría desde hace más de seis años, que se ha reflejado en diversas publicaciones científicas y en encuentros académicos con otros especialistas de universidades españolas, europeas y latinoamericanas. Un ejemplo de esos encuentros fue el seminario celebrado en Alicante (enero de 2024) con grupos de investigación de otras tres universidades españolas sobre la Guía de la Agencia Española de Protección de Datos sobre tratamientos biométricos, en la que se concluyó que debe admitirse el uso de sistemas biométricos de acceso basados en el consentimiento, con cumplimiento de las disposiciones legales vigentes y los criterios mantenidos por la AEPD hasta el momento anterior a la publicación de la Guía.

Más recientemente, en el Congreso Internacional sobre “Biometría, Derecho Administrativo y Datos”, celebrado en Pamplona en noviembre de 2024, con participación de autorizados profesores en materia de inteligencia artificial y de protección de datos, así como tecnólogos, se analizó el actual estado del arte en las tecnologías biométricas de reconocimiento facial y se estudió la normativa aplicable. De las ponencias y debates del Congreso pudimos extraer unas conclusiones aplicables a diversos aspectos del régimen jurídico de la identificación biométrica, incluido el acceso a los estadios deportivos como el de Osasuna, y que queremos compartir con los aficionados rojillos y con la ciudadanía navarra. Los sistemas biométricos están regulados fundamentalmente por dos normas europeas: el Reglamento General de Protección de Datos (RGPD) y el Reglamento de Inteligencia Artificial (RIA). El RGPD autoriza el tratamiento de datos biométricos únicamente cuando concurran ciertas circunstancias de necesidad por razones de interés público o cuando las personas presten su consentimiento explícito, libre e informado al tratamiento de los mismos. Por su parte, el RIA clasifica los sistemas de inteligencia artificial en función del riesgo para los derechos fundamentales. Los sistemas biométricos de vigilancia pública, en remoto y sin la participación activa de los usuarios, son sistemas prohibidos o de alto riesgo. 

Sin embargo, los sistemas de identificación biométrica en proximidad y que cuentan con la participación activa del individuo, como es el caso del acceso a El Sadar, son considerados como sistemas de riesgo bajo o inexistente. Ratificamos que la Guía de la Agencia Española de Protección de Datos sobre tratamientos biométricos realiza una errónea interpretación del RIA y del RGPD al limitar el uso del consentimiento como base legitimadora del tratamiento de los datos personales. A nuestro juicio, esta restricción vulnera derechos fundamentales como el de disposición y control sobre los propios datos personales y el derecho a una verificación segura de la identidad.

Asimismo, en el Congreso se destacó que los sistemas biométricos aportan otras ventajas para la tutela de los derechos ciudadanos por la prevención de fraudes, la mejora de la accesibilidad universal y la reducción de brechas digitales. En particular, se mostró cómo las tecnologías actuales, basadas en Referencias Biométricas Renovables (RBRs), garantizan la privacidad por diseño y por defecto al ser irreversibles, no interoperables y revocables y, superan con ello, los requerimientos de privacidad que exige la AEPD.

Se resaltó también la necesidad de una supervisión activa por parte de las autoridades de protección de datos para que no obstaculicen la innovación en este ámbito y para que exijan, con el objetivo de proteger los derechos ciudadanos, que los sistemas biométricos tengan los estándares tecnológicos adecuados para que sean sistemas fiables, seguros y protejan los datos de los usuarios.

Cabe, por último, referirse al caso de la sanción a Osasuna.

El acceso al estadio de El Sadar mediante reconocimiento facial es voluntario para el socio, ya que puede optar por acceder por este medio o seguir haciéndolo a través de su tarjeta. Su consentimiento es doble porque lo hace al inscribirse en el sistema y, además, en cada uno de los partidos, ya que puede elegir en cada caso el sistema de entrada. El socio está en su derecho de acreditar su identidad por el medio que le resulta más conveniente. Además, si accede por reconocimiento facial sus datos están totalmente seguros, ya que no son reversibles ni son interoperables. Así acaba de afirmarlo el Centro Criptológico Nacional (máxima autoridad en ciberseguridad) en un informe de diciembre de 2024 sobre el uso de de Referencias Biométricas Renovables para la acreditación de la identidad.

También conviene advertir que la sanción a Osasuna no se ha impuesto porque haya habido un robo de datos o se haya producido algún perjuicio a los usuarios que han utilizado el sistema de reconocimiento facial para acceder a El Sadar. La sanción se impone por la infracción del “principio de necesidad” al entender la Agencia que, existiendo otros sistemas de acceso disponibles, el biométrico no era necesario. Es como si la Agencia determinara que no se puede viajar en coche o en avión, porque desplazarse a pie o a caballo tiene menos riesgos. 

La Agencia quiere impedir que usemos nuestros datos para identificarnos. Frente al consentimiento de las personas que, voluntariamente y conociendo otras alternativas, han decidido usar el reconocimiento facial para entrar en El Sadar, la AEPD quiere que hacer prevalecer su juicio. Estamos convencidos de que Osasuna peleará, como hacen en el campo sus jugadores, contra esta injusta sanción y que los tribunales le darán la razón.

Martín María Razquin Lizarraga y José Francisco Alenza García. Catedráticos de Derecho Administrativo de la Universidad Pública de Navarra