La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de un millón de euros a LaLiga por el uso indebido de sistemas de reconocimiento facial en los accesos a las gradas de los estadios de fútbol.

La resolución de la AEPD señala que LaLiga infringió el artículo 35 del Reglamento General de Protección de Datos (RGPD), al no realizar una evaluación de impacto previa sobre la protección de datos en el uso de sistemas biométricos. Esta falta de diligencia es considerada una infracción grave según el artículo 83.4 a) del RGPD.

Evaluación de impacto del tratamiento sobre protección de datos

Además de la multa económica, la AEPD ha ordenado a LaLiga que limite temporalmente el uso de estos sistemas hasta que se realice y supere una evaluación de impacto del tratamiento sobre protección de datos que sea válida. Esta evaluación debe analizar la necesidad, idoneidad y proporcionalidad del tratamiento de datos biométricos, así como los riesgos para los derechos y libertades de los interesados, y las medidas técnicas y organizativas adecuadas para mitigar dichos riesgos.

La investigación de la AEPD se inició a raíz de denuncias presentadas en 2022 y 2023, que alertaban sobre la implementación de mecanismos de control de acceso basados en datos biométricos en las gradas de animación de varios estadios españoles. Estos sistemas requerían que los abonados registraran previamente sus datos biométricos, como patrones faciales o huellas dactilares, con el objetivo de verificar su identidad en cada acceso y evitar la entrada de personas sancionadas o con antecedentes violentos.

La AEPD determinó que el uso de datos biométricos, considerados información extremadamente sensible e inmutable, implica un riesgo elevado para la privacidad. Además, señaló que LaLiga no realizó una Evaluación de Impacto de Protección de Datos previa a la implementación de estos sistemas, un requisito obligatorio para el tratamiento de datos de alto riesgo. También se destacó la falta de una base legal sólida que justificara el uso del reconocimiento biométrico, considerando la medida desproporcionada al existir métodos alternativos menos intrusivos, como la identificación mediante DNI o el uso de entradas nominales.

Sanción al Osasuna por la implementación de un sistema de reconocimiento facil

Esta sanción se suma a otras impuestas recientemente en el ámbito deportivo por el uso de tecnologías de reconocimiento biométrico que vulneran el principio de minimización de datos. Por ejemplo, el Club Atlético Osasuna también ha sido objeto de una sanción de 200.000 euros, por parte de la AEPD, debido a la implementación de un sistema de reconocimiento facial durante la temporada 2022-2023, en el estadio de El Sadar. El club ha anunciado su intención de recurrir la sanción ante la Audiencia Nacional, defendiendo que la tecnología utilizada cumple con los estándares internacionales de privacidad y seguridad, y que contó con el consentimiento explícito de los usuarios.

Guía de la AEPD sobre la utilización de sistemas biométricos para controles de acceso y presencia

Con el objetivo de adaptarse a las Directrices 05/2022 sobre el uso de la tecnología de reconocimiento facial en el ámbito de la aplicación de la ley del CEPD (Comité Europeo de Protección de Datos) de abril de 2023, la AEPD publicó una Guía sobre Tratamientos de Control de Presencia Mediante Sistemas Biométricos.

En ella, se establecen una serie de criterios en los casos en los que el tratamiento de datos personales biométricos de los interesados esté destinado al registro de la jornada laboral, al control de acceso para finalidades laborales o al control de acceso para finalidades no laborales.

Consulta más información aquí.