Protección de Datos impone una multa de un millón de euros a LaLiga por recoger datos biométricos de los espectadores

La Agencia Española de Protección de Datos (AEPD) ha impuesto a LaLiga una multa de un millón de euros por hacer uso indebido de los datos biométricos de los espectadores en los accesos de los estadios. Concretamente, la Agencia considera que el tratamiento de los datos recogidos por sistemas de reconocimiento biométrico no cumple con las garantías exigidas por el Reglamento General de Protección de Datos (RGPD). Además de la multa, la AEPD ha ordenado la suspensión del uso de estos sistemas automáticos hasta que la propia Agencia corrobore que cumplen con el RGPD.

Según el organismo, el uso de una tecnología como el reconocimiento facial debe estar justificado, entre otros principios, por el de proporcionalidad. Es decir, que el riesgo que supone procesar y almacenar un dato personal tan sensible e inmutable como los patrones del rostro se vea compensado por el peligro o la amenaza que se pretende solventar. La AEPD considera que hacer acopio de ese dato para detectar a personas fichadas o buscadas por la Policía rompe con ese principio, ya que supone una erosión en la privacidad de decenas de miles de personas. Cuando inició el procedimiento sancionador, la AEPD barajó una posible multa de 10 millones de euros, que finalmente se ha reducido a un millón.

El Club Atlético Osasuna fue multado en enero con 200.000 euros por el uso de un sistema de reconocimiento facial en algunos accesos a El Sadar en la temporada 2022-2023. El club anunció que recurriría la sanción. El Atlético de Madrid, por su parte, puso en marcha un sistema parecido, pero lo retiró en 2023 después de que un informe de la AEPD diera la razón a una queja formal de la hinchada del Burgos CF denunciando la introducción de sistemas biométricos en los estadios de Primera y Segunda.

El argumento principal de LaLiga para respaldar el uso de datos biométricos en los accesos es que puede servir para mantener alejados de los estadios a los violentos a los que se les ha prohibido ya la entrada, pero que siguen yendo al fútbol cada fin de semana. De ahí que el uso de estos sistemas se realice solo en los accesos a las gradas de animación, y no al resto del estadio. Fuentes de LaLiga confirman a EL PAÍS que han recurrido la decisión de la AEPD al considerar que la resolución “se basa en premisas erróneas”, como que LaLiga pueda ser considerada legalmente responsable del tratamiento de los datos biométricos utilizados en las gradas de animación de los estadios (eso, aseguran, lo gestionan los clubes).

Desde la competición dicen también que la normativa interna que regula el uso de los sistemas biométricos en las gradas de animación por parte de sus clubes “no es una decisión arbitraria y unilateral de LaLiga”, sino que fue aprobada por el Consejo Superior de Deportes. LaLiga ya fue sancionada en 2019 por la AEPD con 250.000 euros de multa por no informar a los usuarios de su app de que se usaba el micrófono y la geolocalización para detectar la señal de televisión de establecimientos que emitían partidos de forma pirata.

Una vigilancia “desproporcionada”

El procedimiento sancionador a LaLiga se inició a partir de denuncias presentadas en 2022 y 2023 contra el uso de sistemas de reconocimiento facial y de lectores de huellas dactilares para entrar a las gradas de animación. Esos datos biométricos se recogían en el momento en el que el aficionado compraba el abono. Quedaban almacenados y se usaban cada vez que el interesado quería acceder al estadio: se comparaba su rostro o huella digital (en la mayoría de estadios, lo segundo) con los registros, y si no coincidían, se le denegaba el acceso.

Una de las denuncias argumentaba que el mismo control en los accesos se podría realizar “a través de abonos nominales y, si por cuestiones de seguridad fuese necesario, mediante la solicitud de exhibición del DNI”. Los datos biométricos, como el iris, el rostro o la huella dactilar, entran dentro de categorías especiales de datos personales, según recoge el artículo 9 del RGPD. Al ser inmutables, la normativa exige un tratamiento mucho más concienzudo de los mismos para tratar de evitar filtraciones o usos fraudulentos que perjudiquen a los interesados. “Son datos personales de cuyo uso pueden desprenderse riesgos significativos para los derechos y las libertades fundamentales, y por ello, en principio su tratamiento está prohibido en el artículo 9.1 del RGPD”, se especifica en el texto del procedimiento sancionador contra LaLiga.

El escrito dice que los datos biométricos en cuestión se han alojado en “bases de datos centralizadas en los Clubes, que se podrían conservar como mínimo durante toda la temporada o para, si no más, para futuras temporadas, elementos que contribuyen a incrementar los riesgos”. Y que eso se empezó a detectar en la temporada 2015-2016. El RGPD entró en vigor en mayo de 2016, pero es empezó a aplicar en 2018.

La Agencia recuerda que, para poder tratar esos datos personales especiales, en primer lugar debe realizarse un análisis para determinar “si las finalidades propuestas son susceptibles de obtenerse sin el tratamiento de datos personales biométricos”. Por ejemplo, comprobando los DNI, tal y como señalaba una de las primeras denuncias recibidas por la AEPD sobre estos sistemas.

Ese análisis se debe realizar “a través de una valoración de la idoneidad, necesidad y proporcionalidad de las operaciones de tratamiento en relación con su finalidad”, describe la Agencia. Es decir, determinar si el riesgo que supone gestionar estos datos está justificado por la amenaza a la que se pretende hacer frente. En su resolución, la AEPD dice que elaborará su propio informe al respecto y que suspende temporalmente la utilización de sistemas biométricos en los estadios hasta determinar si el resultado de esa evaluación de impacto es o no positiva.