Los expertos en LOPD de Grupo Atico34 apuntan las principales claves, que tienen que ver con los dispositivos de reconocimiento biométrico.

La Agencia Española de Protección de Datos (AEPD) ha impuesto recientemente una multa de un millón de euros a LaLiga por el uso indebido de sistemas de reconocimiento biométrico en los accesos a las gradas de animación de los estadios de fútbol. Esta sanción se basa en una infracción del artículo 35 del Reglamento General de Protección de Datos (RGPD), considerada grave.

La AEPD ha determinado que el tratamiento de datos biométricos realizado por LaLiga no cumple con las garantías exigidas por el RGPD. Además de la multa económica, la Agencia ha ordenado la suspensión temporal del uso de estos sistemas automáticos hasta que se realice y supere una evaluación de impacto en la protección de datos que garantice su conformidad con la normativa vigente.

Esta resolución responde a denuncias presentadas en 2022 y 2023 sobre el uso de mecanismos de control de acceso basados en datos biométricos en los estadios de fútbol. La AEPD considera que el uso de una tecnología como el reconocimiento facial no es adecuada por no cumplir el principio de proporcionalidad, es decir, su uso se considera desproporcionado para el fin perseguido.

LaLiga ha anunciado que recurrirá la decisión de la AEPD, argumentando que la normativa que regula el uso de estos sistemas fue aprobada por el Consejo y que no son responsables directos del manejo de estos datos, ya que su gestión corresponde a los clubes.

Esta sanción se suma a otras similares en el ámbito del fútbol español como las multas de 200.000 euros que ya recibieron el CA Osasuna y el Burgos CF por el mismo motivo. Estas resoluciones reflejan la creciente preocupación de la AEPD por el uso de tecnologías biométricas y la necesidad de que las organizaciones realicen evaluaciones de impacto que garanticen la protección de los datos personales de los ciudadanos.

¿Se pueden usar dispositivos biométricos para controlar el acceso a los estadios?

Desde la legaltech Grupo Atico34 nos indican que esta prohibición se basa en que los datos biométricos, como huellas dactilares o reconocimiento facial, son considerados categorías especiales de datos según el Reglamento General de Protección de Datos (RGPD). Su tratamiento está generalmente prohibido, a menos que exista una excepción clara y una condición legal que lo legitime. ​

Miguel Quintanilla, responsable del área de privacidad de la consultora Grupo Atico34, señala que “las empresas de protección de datos como nosotros no nos cansamos de decirlo: el uso de dispositivos biométricos para identificar personas o autenticar usuarios queda totalmente prohibido, salvo excepciones muy concretas, como que exista una norma con rango de ley que lo autorice (…) y muy importante, NO sirve con tener el consentimiento expreso de los usuarios, en este caso de los aficionados“.

Y aquí hay un término esencial: “autenticación”. Hasta hace poco, se distinguía entre datos biométricos para identificación y autenticación. Los dispositivos biométricos, sí se podían usar si solo se empleaban como método de autenticación. Sin embargo, el Comité Europeo de Protección de Datos ha eliminado esta distinción, y ahora el uso de este tipo de dispositivos está prohibido tanto para identificar como para autenticar usuarios.

Para cumplir con la normativa de protección de datos, Grupo Atico34 recomienda que LaLiga y los clubes adopten sistemas de control de acceso que no impliquen el uso de datos biométricos. Por ejemplo, podrían implementarse abonos nominales combinados con la verificación del Documento Nacional de Identidad (DNI) en los accesos a las gradas de animación. Esta medida permitiría identificar a los asistentes sin recurrir al tratamiento de datos sensibles y cumpliría con el principio de minimización de datos establecido en el RGPD.​

Además, es fundamental que cualquier sistema de control de acceso sea proporcional al objetivo perseguido y que se realice una evaluación de impacto en la protección de datos antes de su implementación. Esta evaluación debe analizar la necesidad, idoneidad y proporcionalidad del tratamiento, así como los riesgos para los derechos y libertades de los interesados, y establecer las medidas técnicas y organizativas adecuadas para proteger sus datos personales.​

En resumen, Grupo Atico34 aconseja a LaLiga y a los clubes de fútbol que revisen sus sistemas de control de acceso para garantizar el cumplimiento de la normativa de protección de datos, evitando el uso de tecnologías biométricas salvo en casos excepcionales y debidamente justificados, y optando por alternativas menos intrusivas que salvaguarden la privacidad de los aficionados.