La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 200.000 euros al Burgos Club de Fútbol, S.A.D. (el Burgos o el Club) por utilizar datos biométricos como sistema de acceso a las gradas del estadio, una medida impulsada por el Reglamento de LALIGA, así como por la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte (CERXID).

El Club empezó a utilizar con carácter obligatorio el sistema biométrico de huella dactilar para acceder a una determinada zona de su estadio el 4 de noviembre de 2022. Más tarde, el 16 de febrero de 2023, realizó una Evaluación de Impacto relativa a la Protección de Datos del sistema y, como consecuencia de esta evaluación, quitó la obligatoriedad del acceso mediante el sistema biométrico de huella dactilar, manteniendo el sistema solo con carácter voluntario.

El tratamiento de datos biométricos, dada su naturaleza de categoría especial y de alto riesgo, está prohibido a nivel general, salvo que concurra alguna de las excepciones legales, exista una base de licitud y se cumpla con el principio de minimización.

En primer lugar, según la AEPD, no ha quedado acreditado que, antes de febrero de 2023 el tratamiento se amparase en una excepción legal válida, pues el mismo Club reconoce que la excepción alegada en un inicio (el cumplimiento de una obligación legal) no justificaba el inicio de un tratamiento de datos biométricos. Es por esto por lo que, en febrero de 2023, se cambió la base jurídica legitimadora, pasando de la base de cumplimiento de una obligación legal a la de consentimiento expreso del interesado.

Asimismo, el responsable tiene la obligación de realizar una evaluación de impacto, que justifique la idoneidad, necesidad y proporcionalidad del sistema de control biométrico para proteger los derechos y libertades de los interesados. El Club no realizó la evaluación hasta pasados 3 meses desde la implementación del sistema biométrico. Además, aún con la realización de la evaluación, la AEPD considera que no se ha podido demostrar que el tratamiento de datos biométricos fuera necesario, idóneo y proporcional para la finalidad de controlar el acceso a la grada de su estadio. Según la AEPD, el club implantó este sistema cuando ya contaba con un sistema de identificación-autenticación de la identidad mucho menos intrusivo, con idéntica finalidad.

Otros aspectos críticos por los que se sanciona al club deportivo son el tratamiento de datos biométricos de menores de 14 años sin el consentimiento adecuado de sus padres o tutores, y la no proporción de la información adecuada sobre la recogida de datos a sus abonados. Ambas actuaciones consisten en un incumplimiento del Reglamento.

En este contexto, es relevante mencionar que el Tribunal Supremo ha anulado recientemente (ST con número 1263/2024 de 15 de julio de 2024) una multa impuesta por la AEPD a LaLiga. El Tribunal sostuvo que, sobre todo en casos donde no hay precedentes y la empresa ha hecho una interpretación, que puede ser errónea o no, es necesario que la AEPD emita un requerimiento previo para corregir la conducta y establecer directrices antes de sancionar por incumplimientos de normativas no previamente definidas. Esta decisión subraya la importancia de la claridad y la comunicación en aplicación de las normativas de protección de datos.

En conclusión, tanto el caso del Burgos Club Futbol como el de LaLiga, destacan la necesidad de que las organizaciones que utilicen sistemas de tratamiento de datos biométricos tengan, revisen y actualicen su Evaluación de Impacto de Protección de datos tras la publicación de la Guía. Además, es fundamental que la AEPD proporcione directrices claras, y cuando sea necesario, requerimientos previos antes de imponer sanciones, asegurando así, una correcta interpretación y cumplimiento de las normativas de protección de datos.