La Agencia Española de Protección de Datos (AEPD) ha sancionado a LaLiga con una multa de un millón de euros debido al tratamiento de los datos personales de los espectadores mediante un sistema de reconocimiento biométrico en los accesos a las gradas de los estadios. Esta decisión ha sido recurrida por la organización.
La AEPD, que ya había advertido a LaLiga en enero de 2024 sobre este asunto, considera que la liga infringió el Reglamento General de Protección de Datos (RGPD).
Además de la sanción económica, la AEPD ordena que LaLiga informe a sus asociados (clubes y sociedades anónimas deportivas) sobre la suspensión definitiva del tratamiento de datos biométricos, a menos que se cumplan ciertos requisitos. En particular, se subraya la necesidad de realizar una evaluación de impacto de protección de datos que sea «válida» y que examine la «necesidad, idoneidad y proporcionalidad» del tratamiento.
La AEPD también ha señalado que es necesario evaluar los riesgos para los derechos y libertades de los interesados, protegiendo así el derecho fundamental de los abonados a las gradas de animación.
Esta resolución llega un año después de que la AEPD emitiera una advertencia a LaLiga por la licitación de un contrato para desarrollar un sistema de reconocimiento facial para el acceso de los aficionados a los estadios.
En dicha advertencia, se recordó a la liga la necesidad de garantizar que el sistema cumpla con la legalidad, advirtiendo de que, en caso de no adoptar las medidas adecuadas, podría incurrir en una infracción que daría lugar a actuaciones previas de investigación y sanciones.
La implantación de cualquier sistema que implique el tratamiento de datos biométricos debe ir acompañada de una gestión y evaluación de riesgos, así como de medidas técnicas y organizativas adecuadas para demostrar que el tratamiento se ajusta a la ley.
Si se identifica un «alto riesgo», el sistema debe pasar una evaluación de impacto para la protección de datos que cumpla con los principios de «idoneidad, necesidad y proporcionalidad», establecidos tanto por la normativa de protección de datos como por la jurisprudencia del Tribunal Constitucional.
El RGPD prohíbe el tratamiento de datos sensibles, como los relativos a origen étnico o racial, opiniones políticas, creencias religiosas, datos biométricos, de salud, o relacionados con la vida sexual de una persona. No obstante, establece excepciones, como el consentimiento explícito del interesado o cuando sea necesario por razones de interés público esencial.
LaLiga rechaza la multa y recurre judicialmente
Por su parte, LaLiga ha recurrido judicialmente la multa de un millón de euros impuesta por la AEPD. La sanción se basa, según la liga, en «premisas erróneas».
En su comunicado, LaLiga defiende que la normativa que regula el uso de sistemas biométricos en las gradas de animación fue aprobada por el Consejo Superior de Deportes (CSD) y fue una exigencia de la Comisión Antiviolencia. Por tanto, sostiene que la adopción de estos sistemas no fue una «decisión arbitraria y unilateral» de LaLiga.
LaLiga argumenta además que no es responsable del tratamiento de los datos biométricos utilizados en los estadios, ya que no recopila ni gestiona dichos datos, ni mantiene relación con los aficionados de los clubes, ni toma decisiones sobre su tratamiento. Por lo tanto, considera «materialmente imposible» realizar una evaluación de impacto en términos de protección de datos según lo exige la ley.