La AEPD recibió dos denuncias relacionadas con posibles vulneraciones del RGPD por organismos vinculados al acceso a estadios de fútbol mediante control biométrico. Una de ellas, en noviembre de 2022, por el acuerdo que adoptó la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte (CEVRXID) que establecía controles biométricos para el acceso a gradas de animación; el denunciante consideró este tratamiento un exceso respecto al artículo 5.1.c) del RGPD y sugirió alternativas como abonos nominales o exhibición del DNI. La segunda denuncia, en marzo de 2023, fue por la implantación de mecanismos de control de acceso basados en datos biométricos por parte de la Liga Nacional de Fútbol Profesional (LNFP), incluido el reconocimiento facial en algunos estadios; el denunciante destacó que estas medidas implican el tratamiento de datos personales sensibles, debiendo cumplir con el artículo 9 del RGPD.
La Subdirección General de Inspección de Datos solicitó a la LNFP información sobre normas y reglamentos relativos al tratamiento de datos personales en los controles de acceso a estadios.
La LNFP explicó que la regulación del control biométrico de acceso a gradas está reflejada en el reglamento de venta de abonos y entradas (RVAE), aprobado en 2015 y ratificado por el Consejo Superior de Deportes (CSD) en 2022, donde se establece que «en las gradas de animación, se exige un sistema de acceso por reconocimiento biométrico», aunque menciona la posibilidad de sistemas alternativos. Afirma, además, que no tiene funciones de responsable ni encargada del tratamiento, por lo que no dispone de acuerdos jurídicos ni actividades registradas relacionadas con estos datos.
Se solicitó también a la LNFP la identificación de clubes que utilizan sistemas biométricos, especificando información como el tipo de dato biométrico (huella dactilar, reconocimiento facial, etc.), zonas del estadio donde se aplican estos sistemas, si había medios alternativos de acceso y las fechas de inicio o retiro de estos sistemas.
La LNFP confirmó que algunos clubes en Primera y Segunda División utilizaron sistemas biométricos como reconocimiento facial y huellas dactilares, principalmente en las gradas de animación, y detalló el uso y alternativas de los sistemas biométricos siguiendo los requisitos legales de consentimiento y habilitando métodos alternativos para garantizar la identificación. Esto refleja una adaptación al marco de protección de datos.
También se solicitó información al CSD sobre disposiciones que impongan o recomienden instalar sistemas biométricos en los recintos deportivos, y evaluaciones de impacto en la protección de datos personales; y a la Sociedad Española de Fútbol Profesional (SEFPSA) sobre clubes con tecnología biométrica, el papel de SEFPSA en el tratamiento de datos, información sobre almacenamiento y seguridad en el tratamiento de datos, lugar de identificación biométrica, supresión de patrones biométricos, análisis de riesgos y evaluación de impacto.
SEFPSA actúa como proveedor tecnológico, dejando la responsabilidad del tratamiento y manejo de datos biométricos en manos de los clubes. Su sistema incorpora sólidas medidas de seguridad, pero no participa activamente en el cumplimiento del RGPD más allá de proporcionar la tecnología necesaria.
La AEPD inició un procedimiento sancionador contra la LNFP por infracción del artículo 35 del RGPD, relacionado con la falta de una evaluación de impacto de protección de datos (EIPD), clasificada como infracción grave bajo la LOPDGDD.
Como medida provisional, se ordenó la suspensión temporal del tratamiento de datos biométricos en las gradas de animación, a menos que se realice una EIPD válida o una consulta previa según el artículo 36 del RGPD.
La LNFP y SEFPSA niegan su responsabilidad en los tratamientos biométricos realizados por los clubes. SEFPSA se limita a actuar como proveedor tecnológico, mientras que la LNFP argumenta ser solo una intermediaria que aplica las directrices de la CEVRXID, lo que justificaría la ausencia de una EIPD.
La resolución de la AEPD reafirma su compromiso con la protección de los derechos fundamentales, aplicando estrictamente las normativas europeas de privacidad; para la Liga Nacional de Fútbol Profesional (LNFP) tiene implicaciones significativas. Aquí un resumen clave de sus disposiciones:
— Sanción económica de 1 000 000 euros impuesta por no realizar una EIPD para el tratamiento biométrico, considerada una infracción grave bajo el artículo 35 del RGPD.
— Suspensión definitiva del tratamiento biométrico para las gradas de animación, salvo que se valide una EIPD adecuada y se cumplan las exigencias normativas.
— Obligación de comunicación: la LNFP debe informar a sus clubes afiliados sobre la prohibición del tratamiento biométrico y garantizar la implementación de sistemas de control alternativos.
Fuente: https://www.aepd.es/documento/ps-00484-2023.pdf
░ Imagen de Pixabay a través de Pexels
