| Resolución | REPOSICION-PS-00164-2025 |
| Firmado | 2026-03-02T00:00:00Z |
| Enlace | 📋 |
**Resumen de la decisión:**
**Denuncia o reclamo:**
Se imputa a **YOTI LTD** por tres infracciones al **Reglamento General de Protección de Datos (RGPD)** en su aplicación *Digital ID* (plataforma de verificación biométrica de edad):
1. **Tratamiento de datos biométricos de categoría especial (art. 9 RGPD):** La compañía recababa escaneos faciales (datos biométricos) sin base legal válida, ya que el consentimiento otorgado no cumplía los requisitos del RGPD al estar condicionado a su descarga (imposibilidad de rechazo sin perjuicio) y no era libre, específico ni informado.
2. **Falta de validez del consentimiento (art. 7 RGPD):** El consentimiento para tratamientos de investigación y desarrollo (I+D) o análisis se obtenía mediante **casillas premarcadas** (opción *opt-out*), lo que invalida su consentimiento explícito, requisito indispensable para datos biométricos.
3. **Conservación excesiva de datos (art. 5.1.e RGPD):** Los datos biométricos y otros (como geolocalización o documentos fraudulentos) se retenían **más tiempo del necesario** (ej.: 5 años para datos de localización de IP, 6 años para documentos de identidad fraudulentos), sin justificación proporcional a la finalidad del tratamiento.
—
**Sanción y fundamento:**
La **Presidencia resolvió sancionar con 950.000 euros** (500.000 € por la infracción del art. 9, 200.000 € por la del art. 7 y 250.000 € por la del art. 5.1.e), además de ordenar en 6 meses **acreditar el cumplimiento** de:
– Tratamiento conforme al RGPD de datos biométricos (con base en consentimiento explícito válido).
– Consentimientos legítimos para fines de I+D.
– Plazos estrictos de conservación.
**Razones de la sanción:**
1. **Gravedad de las infracciones:** Los datos biométricos son *especiales* y su tratamiento requiere condiciones estrictas (consentimiento explícito, art