La reciente resolución de la Agencia Española de Protección de Datos en relación con el sistema de verificación de socios del Fútbol Club Barcelona no es un mero expediente sancionador. Es, en realidad, una advertencia clara y cada vez más frecuente sobre los límites jurídicos del uso de tecnologías biométricas en contextos donde su necesidad resulta, cuanto menos, cuestionable.
El caso parte de una problemática real y perfectamente identificable: el fraude en la gestión de abonos y la reventa irregular de entradas. Para afrontarlo, el club diseñó un sistema de actualización del censo de socios basado en la verificación de identidad mediante documento oficial, reconocimiento facial (selfie) y validación por voz.
Desde el punto de vista tecnológico, la solución es avanzada. Desde el punto de vista jurídico, plantea problemas estructurales.
No es una verificación reforzada: es tratamiento de categorías especiales
Uno de los errores más habituales en este tipo de proyectos es conceptual: considerar la biometría como un simple mecanismo de identificación mejorado. Sin embargo, el RGPD establece un marco completamente distinto.
Cuando se utilizan datos biométricos con la finalidad de identificar de manera unívoca a una persona física, estamos ante una categoría especial de datos. Y esto no es un matiz técnico, sino un cambio radical en el régimen jurídico aplicable.
El artículo 9 del RGPD no añade requisitos adicionales. Parte de una premisa mucho más exigente: la prohibición del tratamiento.
Esto desplaza el enfoque habitual. La cuestión ya no es si existe una base de legitimación, sino si el tratamiento puede llevarse a cabo en absoluto. Y solo será posible si se encaja de forma estricta en alguna de las excepciones previstas.
Es precisamente en este punto donde muchas organizaciones intentan forzar el encaje jurídico de soluciones tecnológicas previamente decididas.
El consentimiento explícito: formalmente correcto, materialmente insuficiente
El sistema se articulaba sobre el consentimiento del socio, recabado durante el proceso mediante casillas específicas.
En términos formales, el planteamiento parece alineado con el RGPD. Sin embargo, el análisis material revela importantes debilidades.
En el ámbito de los datos especialmente protegidos, el consentimiento no solo debe ser explícito, sino también libre. Y la libertad implica que el interesado pueda negarse sin sufrir consecuencias negativas o limitaciones relevantes.
Cuando la relación con el club o el acceso a determinados servicios asociados al abono queda condicionada a la aceptación del tratamiento biométrico, el consentimiento deja de ser una opción real. Se transforma en una aceptación condicionada.
El RGPD es especialmente estricto en este punto: el consentimiento no puede utilizarse como mecanismo para legitimar tratamientos intrusivos cuando existen alternativas menos invasivas que permiten alcanzar la misma finalidad.
El fallo estructural: ausencia de evaluación de impacto
Más allá de la base jurídica, el elemento que define esta resolución es la falta de una Evaluación de Impacto en Protección de Datos.
El tratamiento analizado reúne varios factores que, de forma prácticamente automática, lo sitúan en un escenario de alto riesgo: uso de reconocimiento facial, identificación unívoca, tratamiento a gran escala y potencial impacto significativo sobre los derechos y libertades de los interesados.
En este contexto, la realización de una EIPD no es una recomendación ni una buena práctica, es una obligación jurídica.
Su ausencia no es un defecto formal. Es un indicador claro de que el tratamiento no ha sido diseñado desde el enfoque de protección de datos desde el diseño y por defecto. Es decir, no se ha evaluado adecuadamente si el sistema era necesario, proporcional o incluso viable desde una perspectiva de cumplimiento.
Finalidad expansiva: cuando el alcance desborda la necesidad
Otro aspecto especialmente relevante es la amplitud de las finalidades asociadas al tratamiento.
El sistema no se limitaba a la actualización del censo o a la prevención del fraude. Se proyectaba también hacia otros usos, como la autenticación en distintos canales o la gestión general de la relación con el socio.
Este tipo de extensión funcional resulta especialmente problemática cuando se trata de datos de categorías especiales.
El principio de limitación de la finalidad exige que el tratamiento sea específico, explícito y acotado. No es admisible diseñar una solución biométrica para una finalidad concreta y, posteriormente, expandir su uso a otros contextos sin una justificación independiente y reforzada.
En el ámbito de la biometría, la elasticidad en la finalidad no es compatible con el RGPD.
Proporcionalidad: el verdadero núcleo del problema
En el fondo, toda la resolución pivota sobre una idea esencial: la proporcionalidad.
El fraude en la reventa de entradas es una preocupación legítima. Pero el RGPD no permite combatir problemas legítimos mediante cualquier medio disponible.
El uso de biometría implica un nivel de entrometimiento elevado en los derechos de las personas. Y, por ello, exige superar un test riguroso basado en tres elementos:
- la necesidad estricta del tratamiento,
- la inexistencia de alternativas menos intrusivas,
- y la adecuada ponderación del impacto sobre los derechos y libertades de los interesados.
Cuando estos elementos no concurren de forma clara y acreditada, el tratamiento deja de ser jurídicamente sostenible. Y eso es, precisamente, lo que pone de manifiesto esta resolución.
Más allá del FCB: una advertencia al mercado
El valor de esta resolución no reside únicamente en el caso concreto, sino en el criterio que consolida.
Cada vez más organizaciones están incorporando tecnologías biométricas como soluciones estándar para problemas operativos, de seguridad o de experiencia de usuario. La facilidad de implementación y la aparente eficacia técnica están impulsando su adopción.
Pero el RGPD no evalúa la eficiencia ni la innovación, evalúa el impacto sobre los derechos fundamentales. Y, en materia de biometría, ese impacto se presume especialmente elevado.
Reflexión final
La resolución del Fútbol Club Barcelona refuerza una idea que debería guiar cualquier proyecto tecnológico que implique tratamiento de datos personales: la sofisticación de una herramienta no legitima su uso.
La biometría no es una solución neutra. Es uno de los mecanismos más intrusivos disponibles desde la perspectiva de la protección de datos. Precisamente por ello, exige el máximo rigor en su diseño, justificación y aplicación.
Antes de implantar este tipo de sistemas, cualquier organización debería enfrentarse a una pregunta incómoda, pero imprescindible:
¿estoy utilizando biometría porque es necesario… o porque es lo más fácil?
En la respuesta a esa pregunta suele encontrarse (casi siempre) la verdadera medida del cumplimiento.
Si te interesa profundizar en los límites jurídicos del uso de la biometría y su encaje en el RGPD, puedes consultar otros artículos relacionados pinchando aquí y aquí.
