La reciente multa de más de 42 millones de pesos impuesta por la Secretaría Anticorrupción y Buen Gobierno (SACBG), a la Federación Mexicana de Futbol (FMF) por la operación del Fan ID, marca un mensaje importante en la protección de datos personales en México. Este caso no es un simple diferendo administrativo, sino un recordatorio contundente de que el uso tecnológico y el loable deseo de convivir pacíficamente en los estadios, no eximen a nadie de cumplir con la ley.
El Fan ID nació para mitigar la violencia en las tribunas. Sin embargo, la FMF no midió los efectos de usar fotografías y rasgos faciales de miles de aficionados, ya que estos constituyen datos biométricos de categoría sensibles. El riesgo de su tratamiento indebido es crítico, ya que filtraciones de estas bases de datos masivas pueden afectar gravemente la esfera más íntima de la persona o causar discriminación al exponerse a los particulares, con la consecuencia de ser víctimas de delitos como suplantación de identidad, extorsión o violencia digital, lo cual provoca daños reputacionales, sociales y patrimoniales irreparables.
Sin conocer los detalles y solo los detalles públicos, pero con una visión de gobernanza y rigor técnico, la falta medular pudo radicar en pretender validar la recolección biométrica en el FAN ID, es decir de datos sensibles, mediante solo el marcado automático de una casilla web, omitiendo dejar constancia del consentimiento libre, informado, expreso y por escrito que exige la ley o con mecanismos indudables de identificación.
Recordemos que todo sistema de identificación masiva tiene la obligación de alinearse con los principios de licitud, consentimiento, información, calidad, proporcionalidad, finalidad, seguridad y responsabilidad. Además de cumplir cabalmente con los deberes de seguridad y confidencialidad, al prescindirse de un consentimiento que se exige al tratar datos de esta naturaleza especialmente protegida, se fracturó la confianza del público.
Esta decisión de la autoridad de datos en México, puede generar un profundo impacto institucional, jurídico, social y reputacional que haga pensar no solo a los organizadores de eventos masivos sino a cualquier otra autoridad o particular que pretenda usar sin el cuidado debido datos sensibles y ahora tan de moda, como son los biométricos. Este caso también evidencia que la tensión entre seguridad y derechos fundamentales es una falsa dicotomía. La seguridad pública o privada jamás debe justificarse en la vulneración de la privacidad y la protección de datos; al contrario, se deben armonizar ambos derechos y asegurarse los dos con la medida que se tome, respetando el estado de derecho.
Para el futuro, instituciones públicas y privadas deben prepararse adoptando una cultura preventiva de cumplimiento normativo. Esto exige medidas concretas: evaluaciones de impacto en protección de datos, previas al despliegue tecnológico, avisos de privacidad claros, proporcionalidad y minimización de datos para recabar solo lo estrictamente necesario, controles de seguridad técnicos, auditorías periódicas, supervisión independiente, protocolos eficaces ante incidentes, gobernanza interna y capacitación continua del personal.
La lección de esta sanción es categórica –la cual además, será histórica cuando sea firme, ya que la anterior multa más alta fue por 36 millones de pesos efectivamente pagados– esto es, que la protección de datos personales no es un obstáculo para la seguridad, sino una condición indispensable de legitimidad democrática.