Zabía-Abogados

Sanción de 200.000 euros al Burgos Club de Futbol por la instalación de sistemas de acceso biométrico a su estadio sin cumplir adecuadamente con la normativa de protección de datos

Con motivo del acuerdo adoptado por la Comisión Estatal contra la violencia, el racismo, la xenofobia y la intolerancia en el deporte relativo a la necesidad de controlar el acceso a las gradas de animación mediante sistemas biométricos, diversos equipos de fútbol adaptaron las formas de acceder a sus estadios a estas directrices, entre ello, el Burgos Club de Fútbol.

Posteriormente, en noviembre de 2022 se interpusieron diversas reclamaciones ante la AEPD con motivo de la implantación de este sistema de identificación biométrico (a través de la huella dactilar) con carácter obligatorio para el control del acceso a las gradas de animación del estadio municipal El Plantío, por cuanto se consideraba que dicho tratamiento era excesivo (ya que existen otros medios alternativos  y menos intrusivos que permiten lograr la finalidad pretendida) o no se había facilitado adecuadamente la información sobre el mismo.

Con ocasión del informe emitido por la autoridad de control en diciembre de 2022 por el que se hacía constar que, en el presente supuesto, “el tratamiento únicamente podría ampararse en el consentimiento de los afectados”, en marzo de 2023 se puso en conocimiento de los clubes esta cuestión por parte de La Liga para que pudieran adoptar las medidas necesarias. El Burgos Club de Futbol tomó la decisión de mantener la huella dactilar como sistema voluntario de acceso, informando de ello a sus socios. En este sentido, el club ha informado a la AEPD que en la actualidad este tratamiento se encuentra suspendido.

Con motivo del procedimiento incoado por la Agencia, el club ha alegado, entre otras cuestiones, que la implementación de este sistema con carácter obligatorio se llevó a cabo con ocasión del acuerdo de la citada Comisión Estatal y de la realización de una auditoría por parte de La Liga; que se han adoptado las medidas de seguridad adecuadas al tratamiento;  que una vez se notificó el informe de la AEPD, se mantuvo el sistema de forma voluntaria o que realizó la correspondiente Evaluación de Impacto.

La AEPD ha declarado que la tecnología usada por el responsable del tratamiento (consistente en almacenar un dato biométrico en forma de patrón para identificar a la persona que accede al estadio, distinguiéndolo de un tercero, pudiendo “singularizar a un individuo y ejecutar acciones de manera automática”) puede ser realmente intrusiva, por cuanto, además, los datos biométricos “están estrechamente vinculados a una persona”, siendo permanentes, sin que esta pueda cambiarlos en ningún momento. Habida cuenta de ello, el responsable debe evaluar cuáles son los riesgos de este tratamiento a efectos de identificarlos y aplicar medidas que permitan minimizarlos o mitigarlos. 

Debido a que nos encontramos ante un tratamiento de datos biométricos, la autoridad de control ha puesto de manifiesto que el responsable debía haber efectuado, con carácter previo al inicio del tratamiento, una evaluación de impacto que fuera superada y que contuviese la información que la normativa exige. En este sentido, la fecha de realización de la evaluación facilitada por el responsable es posterior a la implementación del sistema de acceso, lo que permite probar que se efectuó el tratamiento de datos biométricos durante más de tres meses sin que se hubiera dado cumplimiento a esta obligación. Con motivo de la infracción del artículo 35 del RGPD (evaluación de impacto relativa a la protección de datos), la autoridad de control ha impuesto al responsable una sanción de 50.000 euros.

Asimismo, se indica por la AEPD que, al ser considerados datos de categoría especial, su tratamiento está prohibido con carácter general, salvo que concurra alguna de las excepciones previstas en el artículo 9.2 del RGPD, debiendo existir asimismo una base de las previstas en el artículo 6 del mismo cuerpo normativo que legitime el tratamiento, siendo dos requisitos cumulativos. 

Afirma la AEPD que “la concurrencia de la falta de excepción que permitiese tratar los datos biométricos antes de la EIPD es clara y meridiana”, llegando a ser reconocida por el propio responsable que indica que no se recababa el consentimiento expreso, ni se facilitaba un método alternativo de acceso, estando obligado el usuario a otorgar sus datos biométricos, sin que las excepciones relativas al cumplimiento de una obligación legal o el interés público esencial justificasen el tratamiento. Con motivo de la infracción del artículo 9 del RGPD, se ha impuesto una sanción de 50.000 euros por la AEPD.

Adicionalmente, la autoridad de control declara que, para que el tratamiento fuera considerado válido, tenía que superar el triple juicio de proporcionalidad, que el club afirma haber analizado en su evaluación de impacto.

  • Respecto al juicio de idoneidad (esto es, que el tratamiento es susceptible de conseguir el objetivo propuesto), afirma la AEPD que el responsable únicamente hacía referencia a que dicho sistema conseguía de manera más eficaz el objetivo de garantizar la seguridad durante los partidos (sin que se acreditase de ningún modo), siendo el único método válido para dar cumplimiento a los requerimientos de la Comisión Estatal. En este sentido, se expone por la Agencia que este juicio debe evaluar la “eficacia del sistema para la protección de los derechos y libertades de los interesados que proporcionan su dato biométrico, y no los que favorezcan a la organización”.

Adicionalmente, se declara que el hecho de que existiese un mandato de una entidad superior no justificaba que el responsable no evaluase adecuadamente si el sistema era válido.

  • Respecto al juicio de necesidad (que supone determinar si la finalidad perseguida no puede obtenerse mediante un sistema alternativo menos lesivo), se indica por la AEPD que la necesidad no debe confundirse con utilidad. Ello es así debido a que, si bien el control de acceso mediante huella dactilar facilita no tener que llevar una tarjeta, así como reducir el tiempo de espera para acceder al estadio o automatizar los procesos, pudiendo considerarse útil, ello no tiene por qué implicar que es “objetivamente necesario”, debiendo analizarse las distintas opciones y su viabilidad en la evaluación de impacto, lo que no se ha realizado en este caso (no se incluye ningún análisis del impacto de este sistema en relación con las alternativas que existen).

En este sentido, se concluye por la autoridad de control que se dispone de varias modalidades de verificación de identidad que ya se utilizaban con anterioridad (acceso al estadio con la entrada o abono físico -o código QR- y el DNI), resultando menos intrusivas y teniendo la misma eficacia identificando al abonado. 

Asimismo, respecto a que este sistema contribuye a reducir la violencia (según afirma el responsable), indica la AEPD que hay otros métodos que también logran esta finalidad, como, por ejemplo, que las entradas sean nominativas y cada asiento esté asignado a una persona o que existan sistemas de videovigilancia en el interior de los estadios sin que la huella dactilar pueda ser considerada como una medida de seguridad adicional en este sentido.

  • En relación con el juicio de proporcionalidad en sentido estricto (consistente en ponderar el beneficio que el tratamiento proporciona en relación con su intromisión en el derecho fundamental), se afirma en la resolución que el conflicto alegado por el responsable entre el derecho a la integridad física y el derecho a la protección de datos no se soluciona con la implementación del sistema biométrico, por cuanto “existe otro método alternativo preexistente que permite identificar y verificar la identidad de esas personas que tienen prohibido el acceso al estadio” que tiene la misma eficacia. 

Debido a que existen medidas alternativas menos intrusivas que permiten lograr la misma finalidad, la autoridad de control considera que el tratamiento no supera el triple juicio de proporcionalidad (mal realizado en la evaluación de impacto, que no supera los mínimos establecidos, pues ni describe bien las operaciones y fines del tratamiento, ni se han analizado adecuadamente los riesgos, ni propone medidas de seguridad necesarias). Con motivo de la infracción del artículo 5.1.c) del RGPD, se ha impuesto una sanción de 50.000 euros por la AEPD.

Asimismo, entre otras infracciones, en relación con el deber de informar por parte del responsable del tratamiento, se pone de manifiesto que el único documento facilitado al adquirir el abono eran las condiciones de pertenencia, acceso y permanencia, sin que se hiciera referencia al consentimiento para el tratamiento de sus datos biométricos (cuestión que se indicaba como obligatoria), por lo que se recabaron datos biométricos sin haber informado debidamente a los abonados, infringiendo el artículo 13 del RGPD, por lo que se impone una sanción de 25.000 euros.

El Burgos CF ha procedido al pago de 120.000 euros, haciendo uso de las dos reducciones previstas, reconociendo, en consecuencia, su responsabilidad.

Puede acceder a la resolución sancionadora de la autoridad de control aquí.

Share the Post:

Política de Cookies

En esta web utilizamos cookies de terceros para mejorar nuestros servicios y su experiencia de navegación, para permitirle una navegación más rápida y sencilla.

Si está de acuerdo, pulse ACEPTAR. Si no está de acuerdo, pulse RECHAZAR.

Ir al contenido