Osasuna: la Necesidad golea al Consentimiento
En una sola semana hemos visto dos sanciones de la AEPD a controles biométricos por importe conjunto de 420.000 euros.
No se pueden sacar demasiadas conclusiones de la primera de ellas: un reguero de incumplimientos de una empresa con muy pocas ganas por cumplir la normativa.
En cambio la sanción a Osasuna sí tiene miga: para empezar, menciona por primera vez la Guía de control de presencia de 2023. Y otras cosas.
Detalles que encuentro relevantes en las 130 paginazas de resolución:
1.- Al Osasuna le hacen contestar unos requerimientos de información realmente exigentes.
El coste de las horas hombre empleadas en reunir info y contestar alegaciones no ha debido ser pequeño.
Y esta resolución a todas luces, navega rumbo a la Audiencia Nacional. Así que ese coste sólo se incrementará. Pero no me parece que vaya a ser éste el caso -el recurso- que rompa el dique argumental de la AEPD.
2.- Hay que tener muy en cuenta que el expediente sancionador se le abre al Club justo después de publicarse la Guía de la AEPD de control biométrico de presencia de 2023.
Esto despierta mi empatía: a un cliente le abrieron el sancionador por TID justo después de la publicación de las Recommendations 1/2020 y …
Es como empezar el partido perdiendo de dos goles y con uno menos.
3.- Las alegaciones del Club se pueden resumir así:
“Para qué voy yo a demostrar la necesidad del tratamiento, si el espectador me da su consentimiento prístino, le ofrezco otras tres alternativas de entrada no biométricas y además es seguro segurísimo que ni la CIA entra aquí”.
El Club se lo juega todo a la baza del «consentimiento todopoderoso».
Un problema no pequeño en las alegaciones del Osasuna es mezclar dos cosas tan distintas como las que aquí se mezclan:
Comparto parcialmente el argumento libertario-bro que late tras argumentación.
Dicho esto, estas dos afirmaciones no son afortunadas.
Y es que no la AEPD, sino el TJUE tiene declarado que ni las disposiciones legislativas nacionales, ni los convenios colectivos pueden determinar lo que es o no necesario, si contravienen al hacerlo los principios del RGPD. Y el art. 9 LOPDgdd por ejemplo, tampoco juega a favor de ese concepto todopoderoso de consentimiento que el club rojillo defiende.
4.- Les ahorro todo el rollo de la normativa antiviolencia en el deporte, porque… el estadio Sadar no tiene «grada de animación».
5.- Les ahorro las inevitables alegaciones sobre los principios de culpabilidad y confianza legítima.
6.- Los menores de edad podían optar a “consentir” el control. Esto es alucinante.
¿Recuerdan WorldCoin?
7.- Lo mollar: el Osasuna tira fatal la línea del fuera de juego al intentar justificar la necesidad del tratamiento.
Osasuna: ¿Es que la libertad de mis abonados no vale para nada?
AEPD: Correcto.
No estoy de acuerdo con esto.
El problema es que tal y como está planteado el tema, la AEPD sólo tiene que empujarla. Pero bien es cierto que el club estaba en una posición muy difícil: recordemos el punto 2 anterior.
Además, el Club incurre en sus propios argumentos circulares:
8.- “¿Y HENTONZES lo de la huella y la carita en los móviles”? ¿Por qué eso sí que vale?
Eso, otro día.
9.- “Es que mi sistema no es de alto riesgo”
Les ahorro todo el rollo técnico pero quédense con esto:
Osasuna:
AEPD:
Esta es la otra parte polémica de la resolución.
Esto ya ha pasado con las privacy enhancing techonogies en materia de cookies.
Si las autoridades de protección de datos hacen tábula rasa y piden consentimiento en cualquier caso (hablo ahora de cookies), sin distinguir entre churras o merinas, todos los esfuerzos que realizan las buenas gentes para hacer las cosas cada día un poco mejor en materia de privacidad, se van al arroyo. Porque da igual.
Dispensar el mismo trato a tecnologías con carencias más o menos acusadas, o directamente obsoletas (como algunos ejemplos que se citan por la AEPD en la resolución) y a sistemas pulidos para minimizar los riesgos para los derechos de los interesados, cuestiona la esencia de las colaboraciones win-win patrocinadas por Ann Cavoukian.
Y que todos buscamos.
Por otro lado, la AEPD menciona expresamente las brechas de seguridad que «diariamente» se le comunican todos los días sobre bases centralizadas de plantillas biométricas.
Sin embargo, aún no nos hemos enterado de ningún Armaggedon provocado por la suplantación de identidad de los afectados al reconstruirse y utilizarse sus datos biométricos. De las brechas de seguridad «ordinarias» sí. De esto otro, no.
Este sí es el tipo de batallas que se pueden ganar. Pero va a ser convenciendo a un juez, me temo.
No a la AEPD.
10.- La AEPD, en un movimiento curiosísimo (y entiendo que aplaudido por el Club) echa la pelota fuera: no entra en el incumplimiento del art. 9 RGPD.
Bonus track: «Una solución quiero»
En la actual situación beligerancia de la AEPD, los controles biométricos que se pueden legitimar con un confort legal mínimo son aquellos cuya necesidad caiga por su propio peso.
De este modo el consentimiento/convenio colectivo se convierte en la única vía de habilitación.
Y es ésta precisamente la situación que permite saltarse la estrategia «Flick» del fuera de juego de la AEPD.
No la de la supuestamente todopoderosa libertad del interesado. Especialmente cuando suele quedar, por lo que sea, muy alineada con los intereses del responsable.
Tengan MUCHO cuidado ahí fuera.
Jorge García Herrero
Abogado y delegado de protección de datos