Protecci¨®n de Datos impone una multa de un mill¨®n de euros a LaLiga por recoger datos biom¨¦tricos de los espectadores

La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha impuesto a LaLiga una multa de un mill¨®n de euros por hacer uso indebido de los datos biom¨¦tricos de los espectadores en los accesos de los estadios. Concretamente, la Agencia considera que el tratamiento de los datos recogidos por sistemas de reconocimiento biom¨¦trico no cumple con las garant¨ªas exigidas por el Reglamento General de Protecci¨®n de Datos (RGPD). Adem¨¢s de la multa, la AEPD ha ordenado la suspensi¨®n de...

La Agencia Espa?ola de Protecci¨®n de Datos (AEPD) ha impuesto a LaLiga una multa de un mill¨®n de euros por hacer uso indebido de los datos biom¨¦tricos de los espectadores en los accesos de los estadios. Concretamente, la Agencia considera que el tratamiento de los datos recogidos por sistemas de reconocimiento biom¨¦trico no cumple con las garant¨ªas exigidas por el Reglamento General de Protecci¨®n de Datos (RGPD). Adem¨¢s de la multa, la AEPD ha ordenado la suspensi¨®n del uso de estos sistemas autom¨¢ticos hasta que la propia Agencia corrobore que cumplen con el RGPD.

Seg¨²n el organismo, el uso de una tecnolog¨ªa como el reconocimiento facial debe estar justificado, entre otros principios, por el de proporcionalidad. Es decir, que el riesgo que supone procesar y almacenar un dato personal tan sensible e inmutable como los patrones del rostro se vea compensado por el peligro o la amenaza que se pretende solventar. La AEPD considera que hacer acopio de ese dato para detectar a personas fichadas o buscadas por la Polic¨ªa rompe con ese principio, ya que supone una erosi¨®n en la privacidad de decenas de miles de personas. Cuando inici¨® el procedimiento sancionador, la AEPD baraj¨® una posible multa de 10 millones de euros, que finalmente se ha reducido a un mill¨®n.

El Club Atl¨¦tico Osasuna fue multado en enero con 200.000 euros por el uso de un sistema de reconocimiento facial en algunos accesos a El Sadar en la temporada 2022-2023. El club anunci¨® que recurrir¨ªa la sanci¨®n. El Atl¨¦tico de Madrid, por su parte, puso en marcha un sistema parecido, pero lo retir¨® en 2023 despu¨¦s de que un informe de la AEPD diera la raz¨®n a una queja formal de la hinchada del Burgos CF denunciando la introducci¨®n de sistemas biom¨¦tricos en los estadios de Primera y Segunda.

El argumento principal de LaLiga para respaldar el uso de datos biom¨¦tricos en los accesos es que puede servir para mantener alejados de los estadios a los violentos a los que se les ha prohibido ya la entrada, pero que siguen yendo al f¨²tbol cada fin de semana. De ah¨ª que el uso de estos sistemas se realice solo en los accesos a las gradas de animaci¨®n, y no al resto del estadio. Fuentes de LaLiga confirman a EL PA?S que han recurrido la decisi¨®n de la AEPD al considerar que la resoluci¨®n ¡°se basa en premisas err¨®neas¡±, como que LaLiga pueda ser considerada legalmente responsable del tratamiento de los datos biom¨¦tricos utilizados en las gradas de animaci¨®n de los estadios (eso, aseguran, lo gestionan los clubes).

Desde la competici¨®n dicen tambi¨¦n que la normativa interna que regula el uso de los sistemas biom¨¦tricos en las gradas de animaci¨®n por parte de sus clubes ¡°no es una decisi¨®n arbitraria y unilateral de LaLiga¡±, sino que fue aprobada por el Consejo Superior de Deportes. LaLiga ya fue sancionada en 2019 por la AEPD con 250.000 euros de multa por no informar a los usuarios de su app de que se usaba el micr¨®fono y la geolocalizaci¨®n para detectar la se?al de televisi¨®n de establecimientos que emit¨ªan partidos de forma pirata.

Una vigilancia ¡°desproporcionada¡±

El procedimiento sancionador a LaLiga se inici¨® a partir de denuncias presentadas en 2022 y 2023 contra el uso de sistemas de reconocimiento facial y de lectores de huellas dactilares para entrar a las gradas de animaci¨®n. Esos datos biom¨¦tricos se recog¨ªan en el momento en el que el aficionado compraba el abono. Quedaban almacenados y se usaban cada vez que el interesado quer¨ªa acceder al estadio: se comparaba su rostro o huella digital (en la mayor¨ªa de estadios, lo segundo) con los registros, y si no coincid¨ªan, se le denegaba el acceso.

Una de las denuncias argumentaba que el mismo control en los accesos se podr¨ªa realizar ¡°a trav¨¦s de abonos nominales y, si por cuestiones de seguridad fuese necesario, mediante la solicitud de exhibici¨®n del DNI¡±. Los datos biom¨¦tricos, como el iris, el rostro o la huella dactilar, entran dentro de categor¨ªas especiales de datos personales, seg¨²n recoge el art¨ªculo 9 del RGPD. Al ser inmutables, la normativa exige un tratamiento mucho m¨¢s concienzudo de los mismos para tratar de evitar filtraciones o usos fraudulentos que perjudiquen a los interesados. ¡°Son datos personales de cuyo uso pueden desprenderse riesgos significativos para los derechos y las libertades fundamentales, y por ello, en principio su tratamiento est¨¢ prohibido en el art¨ªculo 9.1 del RGPD¡±, se especifica en el texto del procedimiento sancionador contra LaLiga.

El escrito dice que los datos biom¨¦tricos en cuesti¨®n se han alojado en ¡°bases de datos centralizadas en los Clubes, que se podr¨ªan conservar como m¨ªnimo durante toda la temporada o para, si no m¨¢s, para futuras temporadas, elementos que contribuyen a incrementar los riesgos¡±. Y que eso se empez¨® a detectar en la temporada 2015-2016. El RGPD entr¨® en vigor en mayo de 2016, pero es empez¨® a aplicar en 2018.

La Agencia recuerda que, para poder tratar esos datos personales especiales, en primer lugar debe realizarse un an¨¢lisis para determinar ¡°si las finalidades propuestas son susceptibles de obtenerse sin el tratamiento de datos personales biom¨¦tricos¡±. Por ejemplo, comprobando los DNI, tal y como se?alaba una de las primeras denuncias recibidas por la AEPD sobre estos sistemas.

Ese an¨¢lisis se debe realizar ¡°a trav¨¦s de una valoraci¨®n de la idoneidad, necesidad y proporcionalidad de las operaciones de tratamiento en relaci¨®n con su finalidad¡±, describe la Agencia. Es decir, determinar si el riesgo que supone gestionar estos datos est¨¢ justificado por la amenaza a la que se pretende hacer frente. En su resoluci¨®n, la AEPD dice que elaborar¨¢ su propio informe al respecto y que suspende temporalmente la utilizaci¨®n de sistemas biom¨¦tricos en los estadios hasta determinar si el resultado de esa evaluaci¨®n de impacto es o no positiva.