La Agencia Española de Protección de Datos ha sancionado al Fútbol Club Barcelona en la resolución sancionadora del expediente EXP202305134, documento PS-00450-2024, con una multa de 500.000 euros por infracción del artículo 35 del RGPD, al considerar insuficiente la evaluación de impacto relativa al tratamiento biométrico desplegado en la campaña de actualización del censo de socios. La resolución archiva, en cambio, la imputación relativa al artículo 9 del RGPD, de modo que el reproche definitivo se centra en la falta de una EIPD válida y completa para un tratamiento que la propia Agencia califica de alto riesgo.
El procedimiento tiene su origen en la campaña desarrollada por el club entre el 20 de marzo y el 30 de noviembre de 2023 para actualizar el censo de 143.000 socios, incluyendo menores de edad. El sistema permitía realizar el trámite por vía digital mediante la exhibición del documento identificativo ante la cámara, la toma de un selfie con movimientos de cabeza para la comparación facial y, adicionalmente, la grabación de la voz durante unos segundos para futuros trámites telefónicos. El FC Barcelona defendió que este mecanismo respondía a la necesidad de mantener un censo veraz y evitar usos fraudulentos de carnés y abonos, especialmente dada la dimensión del colectivo afectado y su dispersión geográfica.
Sin embargo, la AEPD concluye que el club debió realizar una evaluación de impacto específica y rigurosa antes de implantar estos tratamientos, al concurrir varios factores de alto riesgo, entre ellos el tratamiento a gran escala, el uso de tecnologías innovadoras y la afectación a menores de 14 años. La resolución reprocha además que los análisis de riesgos presentados fueran posteriores a la contratación con proveedores y adolecieran de defectos sustanciales en su planteamiento, hasta el punto de impedir que cumplieran realmente la función preventiva exigida por el RGPD. En la práctica, la Agencia lanza un mensaje muy claro: en proyectos biométricos masivos no basta con un análisis genérico ni con justificar la conveniencia operativa del sistema; es imprescindible acreditar, con carácter previo, la necesidad, proporcionalidad y gestión real de los riesgos.
La cuantía final se redujo de forma muy significativa respecto de la sanción inicialmente planteada, al valorar la Agencia como elemento atenuante que el sistema de biometría de voz finalmente no llegó a desplegarse para los trámites telefónicos y que los registros de voz fueron suprimidos después de que el club optara por no ponerlo en marcha. Aun así, el caso se convierte en una referencia relevante para entidades deportivas, asociaciones y organizaciones con grandes bases de usuarios, porque confirma que los tratamientos biométricos de autenticación, incluso cuando se presentan como herramientas de digitalización o antifraude, exigen una gobernanza reforzada y una EIPD técnicamente solvente desde el inicio del proyecto.
