La AEPD sanciona a la Liga Nacional de Fútbol Profesional por el uso de datos biométricos en accesos a los estadios: un hito en la protección de los derechos fundamentales.
La Agencia Española de Protección de Datos (en adelante, AEPD) ha resuelto recientemente un procedimiento sancionador EXP202315637 de gran relevancia en el ámbito de la protección de datos y el deporte. La Liga Nacional de Fútbol Profesional (en adelante, LNFP) ha sido sancionada con una multa de 1 millón de euros por el uso de datos biométricos, principalmente huellas dactilares y sistemas de reconocimiento facial, para controlar el acceso a las gradas de animación en diversos estadios de fútbol de Primera y Segunda División. La resolución, que impone además la suspensión del tratamiento de dichos datos hasta la realización y superación de una evaluación de impacto relativa a la protección de datos (en adelante, EIPD), considera a la LNFP responsable del tratamiento por haber determinado los fines y medios de este, pese a que la ejecución material correspondía a los clubes. El caso sienta un precedente relevante sobre el tratamiento de categorías especiales de datos en contextos de alta exposición pública, como son los eventos deportivos.
El uso de datos biométricos en los estadios: contexto y funcionamiento.
Durante la temporada 2022/2023, la LNFP implementó un sistema para regular el acceso a las gradas de animación de varios estadios, con el objetivo declarado de mejorar la seguridad y evitar incidentes relacionados con la violencia en el deporte. Según la información recogida en el procedimiento sancionador, nueve clubes de Primera División y nueve de Segunda División utilizaban un sistema basado en el registro y posterior verificación de la huella dactilar de los abonados de dichas zonas. Asimismo, un club de Primera División y otro de Segunda implantaron sistemas de reconocimiento facial, siendo especialmente destacable el caso de un club de Primera División que extendió este sistema de reconocimiento facial al control de acceso de todo el estadio.
Este tipo de tecnologías suponían la captación, tratamiento y almacenamiento de datos biométricos de los abonados. El uso de estos sistemas se amparaba en el Reglamento General de la LNFP y en el Reglamento de Venta de Abonos y Entradas de la propia entidad, así como en normativa sectorial vinculada a la seguridad en los espectáculos deportivos. En concreto, la LNFP justificaba la implantación de estos sistemas en el cumplimiento de lo dispuesto en el artículo 15.3 del Real Decreto 203/2010, de 26 de febrero, por el que se aprueba el Reglamento de prevención de la violencia, el racismo, la xenofobia y la intolerancia en el deporte. Dicho precepto establece que, en los supuestos contemplados en el artículo 13.1 de la Ley 19/2007, “la comprobación y seguimiento de la identidad de quienes adquieran entradas o el control de la distribución de localidades se realizará implantando sistemas de venta de entradas nominativas y desarrollando procedimientos que permitan supervisar la distribución de localidades asignadas y conocer la identidad de los poseedores de títulos de acceso a las instalaciones deportivas”. Con base en ello, la LNFP elaboró una norma federativa de obligado cumplimiento para los clubes y SAD, mediante la cual se condicionaba el acceso a las gradas de animación a la recogida de datos biométricos, tratando de fundamentar así una excepción al principio general de prohibición del tratamiento de estas categorías especiales de datos conforme al artículo 9.1 del RGPD.
La intervención de la AEPD: denuncias y análisis jurídico.
La Agencia centró su análisis en la aplicación del artículo 9 del Reglamento (UE) 2016/679 (RGPD), que califica los datos biométricos tratados para identificar de manera unívoca a una persona física como categorías especiales de datos, cuyo tratamiento está prohibido salvo que concurra una de las excepciones del apartado 2 del citado artículo. Además, la AEPD examinó el cumplimiento del artículo 35 RGPD, que impone la obligación de realizar una EIPD cuando un tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
Antes de abordar la evaluación de impacto, la AEPD desarrolló un extenso razonamiento sobre la condición de la LNFP como responsable del tratamiento. Consideró que la Liga, al aprobar la normativa que condicionaba el acceso a las gradas de animación al uso de datos biométricos, ejerció un poder decisorio claro sobre los fines y medios del tratamiento. En particular, seleccionó los datos a recabar (filiación, contacto y biometría), definió su base jurídica en el consentimiento, y estableció la finalidad del tratamiento en el marco de la seguridad y prevención de la violencia en el deporte, conforme a lo previsto en el preámbulo del Libro XII del Reglamento General de la LNFP.
Asimismo, la AEPD destacó que la LNFP puso a disposición de los clubes y SAD los medios técnicos del tratamiento a través de su filial SEFPSA, especializada en infraestructuras de seguridad en estadios. Aunque los clubes fueran responsables del tratamiento en su fase de implantación y ejecución, la LNFP fue considerada responsable de las fases iniciales al haber diseñado, contratado y promovido el sistema de control de acceso. La Agencia descartó que se tratara de una situación de corresponsabilidad del artículo 26 RGPD y calificó el caso como una cadena de responsables sucesivos e independientes, según los criterios del Comité Europeo de Protección de Datos y del Tribunal de Justicia de la Unión Europea.
La falta de evaluación de impacto y el incumplimiento del principio de proporcionalidad.
Uno de los aspectos clave de la resolución es el incumplimiento del artículo 35 RGPD. La LNFP no realizó una evaluación de impacto que permitiera identificar los riesgos asociados al tratamiento, valorar su necesidad y adoptar las medidas adecuadas para mitigar dichos riesgos. La AEPD recalca en su resolución que un tratamiento que afecta a datos biométricos requiere un análisis previo especialmente riguroso, dadas las implicaciones para la privacidad y la protección de los derechos y libertades de los interesados. En particular, el tratamiento de datos de los aficionados que acceden a las gradas de animación mediante herramientas biométricas de lectura y registro presenta, según la Agencia, altos riesgos para los derechos y libertades fundamentales de los interesados.
Sin embargo, no consta que, una vez solicitada a la LNFP la valoración del principio de proporcionalidad del tratamiento de dichos datos para esta finalidad, dicha valoración se hubiera llevado a cabo. La entidad alegó no ser responsable del tratamiento, motivo por el cual no realizó ningún análisis al respecto. La AEPD rechaza este argumento y sostiene que la LNFP sí ostenta la condición de responsable del tratamiento de datos biométricos para el acceso a las gradas de animación, no solo por haber aprobado la norma que instauraba dicha exigencia como obligatoria para sus clubes y SAD afiliados —con la finalidad de combatir la violencia, el racismo, la intolerancia y la xenofobia—, sino también por haber delimitado los medios técnicos a través del diseño del sistema facilitado por su filial SEFPSA. Por tanto, debió llevar a cabo y superar una evaluación de impacto en protección de datos antes de implantar dicho sistema.
Además, la Agencia subraya la importancia del juicio de necesidad y proporcionalidad. Para un tratamiento tan invasivo como el de datos biométricos, debe acreditarse no solo que el fin perseguido es legítimo, sino también que no existen alternativas menos lesivas para los derechos de los afectados. En este caso, no se demostró que el control de acceso no pudiera realizarse mediante métodos menos intrusivos, como el uso de abonos nominales con comprobación del DNI, controles visuales o verificaciones manuales. La AEPD tipificó la infracción como grave, conforme al artículo 83.4 del RGPD y el artículo 73.t de la LOPDGDD.
La sanción y las medidas impuestas.
La AEPD impuso una multa de 1 millón de euros a la LNFP, atendiendo a la gravedad de la infracción y al elevado número de personas afectadas. Además, ordenó la suspensión del tratamiento de los datos biométricos hasta que la Liga realice y supere una EIPD que cumpla con los requisitos legales y que, en su caso, incluya una consulta previa a la Agencia en aplicación del artículo 36 del RGPD. Esto supone, en la práctica, la paralización de los sistemas biométricos utilizados hasta ese momento para el acceso a las gradas de animación y otras zonas de los estadios.
Relevancia de la resolución y lecciones para el sector.
La resolución de la AEPD constituye un hito en la aplicación de la normativa de protección de datos en el ámbito deportivo y, en general, en contextos de eventos multitudinarios. Refuerza la necesidad de que cualquier entidad que pretenda implantar sistemas basados en tecnologías que implican tratamientos de alto riesgo para los derechos y libertades de las personas:
- Realice una evaluación de impacto previa que analice en profundidad los riesgos y las medidas de mitigación necesarias.
- Aplique de forma efectiva el principio de minimización de datos, optando por sistemas menos intrusivos cuando estos permitan alcanzar los mismos fines.
- Asegure que cualquier consentimiento obtenido para el tratamiento sea libre, informado y explícito, ofreciendo alternativas reales al interesado.
- Cumpla con los principios de proporcionalidad y necesidad, demostrando que no existen métodos menos lesivos para lograr los objetivos perseguidos.
Además, la resolución recuerda que la responsabilidad en materia de protección de datos no es necesario tener acceso directo a los datos personales. Basta con influir de forma determinante en la finalidad y los medios del tratamiento, como hizo la LNFP al aprobar una normativa interna que imponía el uso de datos biométricos y al definir las condiciones técnicas mediante el sistema facilitado por su filial SEFPSA.
La resolución, por tanto, no solo tiene impacto en el sector deportivo, sino que plantea reflexiones aplicables a cualquier entidad que contemple el uso de tecnologías biométricas, especialmente en entornos donde los interesados pueden encontrarse en situaciones de desequilibrio frente al responsable del tratamiento. Constituye también un aviso claro sobre la necesidad de alinear la normativa interna de las organizaciones con el RGPD, incluso cuando existan disposiciones sectoriales o recomendaciones de entidades públicas.
No es la primera vez que la actuación de la LNFP ha sido objeto de atención desde la óptica de la protección de datos: en anteriores publicaciones del blog ya analizamos tanto la falta de transparencia en la app oficial de LaLiga como la anulación de la sanción por parte del Tribunal Supremo, al entender que se cumplía con el principio de información.
