Identificación de fans en estadios: manéjese con cuidado

Ser aficionado al futbol mexicano y asistir a un partido contempla ahora un requisito: revelar datos personales y dejar imagen del rostro. De fondo, la intención de construir una base de datos de las personas que compran un boleto, responde a la necesidad de parar la violencia en los estadios; pero la forma de implementación puede generar problemas.

La violencia desatada al interior del estadio Corregidora en Querétaro, obligó a la Liga MX a acelerar el paso en su plan de credencializar a los aficionados, pues además de las riñas, la reventa ha sido otra batalla. El tiempo apremia y se une al sistema de recabación de datos que ya hizo la Federación Mexicana de Futbol (Femexfut) a finales de enero, para los partidos de la Selección Mexicana en el Estadio Azteca. Claro, el motivo es diferente: detectar a las personas del grito homofóbico, que se ha traducido en sanciones, multas y advertencia de que la FIFA pueda quitarle puntos al Tricolor.

La Liga MX y Femexfut hablan de sus objetivos al crear una gran base de datos del fan mexicano, con fines del Fan ID, la credencialización y sistemas de reconocimiento facial, pero es necesario detenerse en cómo se hace el tratamiento de la información y que esté a la luz de las autoridades que velan por la aplicación de la ley que protege los datos personales.

“La máxima autoridad administrativa en la protección de datos personales para el sector público a nivel federal y para el sector privado es el INAI. Hemos visto con atención y con legítima preocupación el proyecto que la Femexfut y la Liga MX plantean al respecto. Entendemos las razones de pretender hacer un padrón de aficionados constantes o permanentes. El problema son los cómo y en esto la Femexfut, que ya lo hizo, debería de acercarse al INAI para conseguir una orientación integral del proyecto, creo que es muy pronto que ahora se haya sumado la Liga MX y será en el territorio nacional”, explica a El Economista, el Comisionado presidente del INAI, Francisco Javier Acuña.

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) vela también por sus objetivos: “La protección de datos personales es un derecho humano, reconocido en el artículo 16 de la Constitución, que otorga el poder a toda persona física para que sus datos personales sean tratados de manera lícita y leal, a fin de garantizar su privacidad y derecho a la autodeterminación informativa, es decir, a decidir quién puede tratar sus datos personales y para qué fines”.

El futbol mexicano pretende la centralización de datos de fans, que serán procesados y resguardados por los sistemas de tecnología de la Femexfut.

_ ¿Garantía de un estadio seguro?

“Estamos hablando de un protocolo (Manual General de Seguridad Estadio Seguro) que se tiene que reforzar. De verdad, con sustancia, lo que necesitamos es saber quiénes son los fans. Con esta nueva norma, tenemos la capacidad de no dejar entrar al estadio y quien entre, ya sabe cómo comportarse porque si no lo hace, no va a poder adquirir boletos en el futuro”, responde a este diario el presidente de la Liga MX, Mikel Arriola.

_ ¿Garantía de que no habrá una intromisión cibernética?

“Afortunadamente, el desarrollo de la tecnología es de la Femexfut, probada, y la vamos a utilizar de la mano de gente de sistemas de la Liga MX y de sistemas de los clubes, para implementar el control de identificación. Día a día guardamos mucha información de transacciones y jugadores del país. Guardamos información de los clubes, propietarios, y en ese sentido la información de los fans será guardada con la misma importancia, relevancia y seguridad que operamos normalmente. Es un reto, pues instituciones financieras de otra índole han sufrido afectaciones, no estamos exentos a que el día de mañana pueda haber algún tipo de agresión a nivel de sistemas”, contesta enseguida, Yon de Luisa, titular de la Femexfut.

La manera de proceder de la Femexfut en los últimos dos partidos de Eliminatoria Mundialista de la Selección, en el estadio Azteca (ante Panamá y Costa Rica) y como lo hará ante Estados Unidos y El Salvador en marzo 24 y 30, recolecta datos personales como: nombre, apellidos, fecha de nacimiento, edad, sexo, estado civil, ocupación, dirección, teléfono de contacto, correo electrónico e identificación oficial (en éste se muestra el rostro y la huella digital).  

“El INAI como autoridad no puede quedar al margen, desoída por parte de la Femexfut y de todo lo que rodé este proyecto que ya comenzó. Indudablemente la protección de datos personales nos obliga a evaluar y en su caso, tomar medidas de autoridad, hay que cuidar la proporcionalidad de los datos personales y biométricos que les están requiriendo a las personas. Hemos visto que es un convenio de datos que incluye recabar para crear bases de datos personales de fans”,  argumenta el Comisionado Francisco Acuña. 

El procedimiento de identificación de fans en la Liga MX comenzará a una semana de los hechos violentos en Querétaro. En lo que resta del Clausura 2022, los grupos de animación locales deberán mostrar una identificación oficial. El requisito ya empieza a escalar a nivel clubes, algunos, ya pedirán que el 100% de los asistentes estén acreditados e identificados.

"Para ello, hemos desarrollado un proyecto que consta de varias fases, el cual iremos informando paso a paso. Adiós al anonimato en nuestros estadios", dicta el comunicado de Orlegi Sports, grupo propietario de Santos y Atlas.

La Liga MX determinó en las nuevas medidas de seguridad, que para la temporada 2022-2023 será obligatorio la implementación del Fan ID de todos los aficionados que ingresen en la zona de grupos de animación local, adicional a la credencialización y a la implementación de sistemas de reconocimiento facial, para posteriormente implementarlo a todos los aficionados. Con más énfasis sobre el sistema de reconocimiento facial, pide que todos los estadios lo implementen.

“La imagen del rostro es un dato biométrico, no se diga más allá de las huellas dactilares, la voz, esos merecen un tratamiento riguroso de protección, son datos personales asociados a otros elementos como el domicilio, la edad. Hay una preocupación inicial que seguramente pudiera ser un mecanismo entendible en términos de operación, pero de no hacerse con los deberes y cuidados, el pedir por ejemplo el INE, sabemos que tiene información por ambos lados como la firma, la huella, domicilio privado. No se diga la imagen, la CURP, que son datos que revelan edad y otros elementos. Esto se debe someter a un riguroso cuidado de los deberes”, advierte el INAI.

_¿Qué cuidados se deben contemplar con los datos de menores de edad? 

“Con mayor razón, los datos de menores todavía merecen un tratamiento más sofisticado, delicado, más cuidadoso y protegido por parte de la legislación vigente. En general, al aplicarse este proyecto en la Liga MX o Selección merece un tratamiento ordenado y responsable del manejo de datos. De tratarse de menores se agudiza la preocupación”.

Ejemplos de intervención del INAI

En México y en el mundo se han presentado “caídas de sistemas de redes sociales” que guardan información privada de personas tales como Whatsapp, Twitter y FaceBook. De acuerdo al Informe de Ciberseguridad 2021 'Check Point Software Technologies', múltiples organizaciones de alto perfil han tenido ataques cibernéticos tales como: Travelex, Estee Lauder, Marriott, Microsoft, easyJet, Universidad de California (UCSF), LG, Ciberseguridad y Seguridad de las Infraestructuras de la Oficina Federal de Investigación (FBI). 

Ejemplos hay más, lo relevante es que, la vulnerabilidad del robo de información pasa desde compañías que dan servicio básico como bancos, aseguradoras, hoteles, universidades hasta empresas u oficinas que parecieran cero vulnerables.

“Ningún sistema de concentración masiva de datos personales, biométricos está exento de sufrir una intromisión o incidente de ataque por error o manejo inadecuado de los datos”, asegura el Comisionado Francisco Acuña.

_¿Puede el INAI detener el proyecto de recabación de datos de la Selección Mexicana y de la Liga MX? 

“El INAI tiene plena potestades para intervenir en el caso de cualquier situación que consideramos de riesgo, de preocupación. También, ha intervenido de oficio y otras veces a través de denuncia concreta. La Femexfut debería ya haberse acercado al INAI para recibir una serie de advertencias, consejos y sugerencias y orientaciones para llevar a cabo el proyecto de la manera que la ley exige. Si esto pasa por una serie de procedimientos que se conoce como tratamiento correcto y jurídicamente válido de datos personales de diversa índole, pero especialmente los biométricos y otros datos". 

Durante la entrevista, el INAI hace énfasis en que entiende el objetivo de la Selección Mexicana y la Liga MX en cuanto a la erradicación de sus problemas en los estadios, pero deja claro la importancia de no marginarla como autoridad en el procedimiento.

 “No somos fiscalía de investigación de delitos y el INAI no puede bajo esa interpretación hacer formulaciones con posibilidad de que ingresen participantes de un cártel o de una banda o grupo de asociación delictuosa (a los estadios), pero indudablemente, los sucesos del sábado (en Querétaro) ponen en relieve la posibilidad. A nosotros nos toca verificar y en su caso, ver que se estén haciendo las cosas correctas. Sería conveniente que la Femexfut acudiera al INAI con esa urgencia por lo que generó el hecho de Querétaro, con mayor razón pedirle al INAI como Institución que se rige bajo la normatividad de datos personales entre particulares. Se necesita una evaluación del impacto para que tenga una ponderación exacta de qué datos personales se pueden o no recolectar y bajo qué modalidades, qué esquemas de protocolos de su recolección y de su custodia, protección y hasta de su destrucción eventualmente”.

marisol.rojas@eleconomista.mx