| Resolución | PS-00484-2023 |
| Firmado | 2024-12-20T00:00:00Z |
| Enlace | 📋 |
La Agencia Española de Protección de Datos (AEPD) resolvió un procedimiento sancionador tras recibir denuncias que alertaban sobre la utilización de sistemas de control de acceso basados en reconocimiento biométrico (como el reconocimiento facial o de huella dactilar) en estadios de fútbol, especialmente en las gradas de animación. Estas medidas, impulsadas por la Liga Nacional de Fútbol Profesional (LNFP) y respaldadas por la Comisión Estatal contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte (CEVRXID), fueron consideradas por la AEPD como un posible tratamiento indebido de datos personales sensibles.
### Qué se investiga
La AEPD investiga si la LNFP, mediante la implantación de controles biométricos para el acceso a los estadios, incurrió en un tratamiento ilícito de datos biométricos, considerados “categorías especiales de datos” por el Reglamento General de Protección de Datos (RGPD). También se analiza si dichos tratamientos se realizaron sin contar con una Evaluación de Impacto en Protección de Datos (EIPD) y si se cumplía con los principios de legalidad, necesidad y proporcionalidad.
### Por qué se investiga
La investigación se origina por dos denuncias recibidas en 2022 y 2023 que alertaban sobre la implantación de sistemas biométricos para acceder a las gradas de animación de determinados estadios. Los denunciantes alegaban que dichos controles eran excesivos y que existían medios menos intrusivos para garantizar la seguridad, como los abonos nominales y la identificación mediante DNI. También se advertía que se estaba tratando información biométrica sin garantías suficientes y sin base legal clara.
### Conclusiones de la AEPD
La AEPD concluye que la LNFP es responsable del tratamiento de datos biométricos que realizan los clubes, ya que impulsa, coordina y provee los medios técnicos necesarios para su implementación, incluyendo la provisión de dispositivos biométricos. Considera, además, que:
* No existe base legal suficiente para el tratamiento de datos biométricos, ya que la normativa invocada (art. 13 de la Ley 19/2007 y art. 15 del RD 203/2010) no cumple con los requisitos del RGPD.
* El consentimiento recabado no es válido, al no ser libre ni específico, al existir presiones para aceptar el tratamiento como requisito de acceso.
* La LNFP no realizó una Evaluación de Impacto en Protección de Datos (EIPD), como exige el artículo 35 del RGPD, a pesar de la elevada intrusión del tratamiento.
* Se vulneraron los principios de licitud, minimización de datos, transparencia y responsabilidad proactiva.
### Artículos incumplidos
La AEPD considera que la LNFP ha infringido los siguientes artículos del RGPD:
* **Artículo 5.1.a)** (licitud, lealtad y transparencia),
* **Artículo 5.1.c)** (minimización de datos),
* **Artículo 6** (licitud del tratamiento),
* **Artículo 9** (prohibición del tratamiento de datos sensibles salvo excepciones),
* **Artículo 35** (Evaluación de Impacto),
* **Artículo 25** (protección de datos desde el diseño y por defecto),
* **Artículo 24** (responsabilidad del responsable del tratamiento).
Como resultado, se impone una sanción a la LNFP, sin detallar el importe en este resumen.