La LIGA comprometida por tratar datos biométricos

No es la primera vez que los expertos en Protección de Datos advertimos del cuidado que ha de tener una persona a la hora de tratar datos personales, haciendo especial puntualización cuando nos preguntan sobre la posibilidad de tratar datos biométricos mediante la implantación de sistemas de reconocimientos faciales o lectores de huella digital. El motivo de nuestras advertencias es porque cada vez son más las sanciones que impone la Agencia Española de Protección de Datos (AEPD), por tratar de manera ilícita estos tipos de datos. 

En los últimos tiempos, LALIGA se ha visto envuelta en continuas controversias legales, relacionadas con su lucha contra la piratería audiovisual. No obstante, hay otras controversias en las que LALIGA se encuentra inmersa, y que tienen relación directa con la privacidad de los aficionados al fútbol. 

El conflicto más reciente y mediático ha sido la sanción de un millón de euros que la AEPD ha propuesto contra la Liga Nacional de Fútbol Profesional (LNFP) por presuntamente incumplir lo dispuesto en el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

¿Qué ha pasado?

La propuesta de sanción se origina por la implementación, por parte de varios clubes de fútbol, de sistemas de acceso biométricos para los aficionados que acceden a las gradas de sus estadios. El funcionamiento de estos sistemas, es muy similar al usado para el registro horario que usan, a día de hoy, algunas empresas, es decir, capturan datos biométricos, tales como rasgos faciales o huellas dactilares, con objeto de prevenir actos violentos, racistas o xenófobos en los estadios.

Hasta aquí, puede parecer que la finalidad perseguida por los clubes poseen una legitimación bienintencionada: la lucha contra la violencia, racismo, xenofobia y la intolerancia en el deporte; sin embargo, el problema se encuentra en cómo se ha llevado a cabo dicho tratamiento de datos. Según la AEPD, LALIGA no ha realizado una Evaluación de Impacto en Protección de Datos (EIPD), requisito imprescindible cuando se tratan datos que pertenecen a categorías especiales según el artículo 9 del RGPD. Este tipo de datos, entre los que se encuentran los biométricos, están especialmente protegidos por su capacidad de identificar de manera única a una persona física.

Además, no se habría obtenido el consentimiento explícito de los aficionados para dicho tratamiento, ni se habrían respetado los principios de licitud, lealtad y transparencia establecidos en el artículo 5 del RGPD.

¿Quién es el responsable del tratamiento de los datos?

Uno de los aspectos más controvertidos de este procedimiento ha sido determinar quién debe asumir la responsabilidad por el tratamiento de los datos biométricos. LALIGA ha alegado que no mantiene una relación directa con los aficionados y que no trata ni almacena datos biométricos, ya que solo proporciona la tecnología a los clubes. Según su postura, serían los propios clubes, o incluso el Consejo Superior de Deportes (CSD), que autorizó el uso del sistema condicionado al consentimiento expreso del usuario, quienes deberían asumir esa responsabilidad.

Sin embargo, la AEPD no comparte esta visión. Según su criterio, LALIGA, al haber desarrollado y proporcionado la plataforma tecnológica de reconocimiento biométrico, no solo interviene activamente en el tratamiento de los datos, sino que también debe ser considerada responsable de dicho tratamiento, al menos de manera conjunta. De acuerdo con el artículo 26 del Reglamento General de Protección de Datos (RGPD), esta participación la convierte en corresponsable, lo que implica la obligación de cumplir con todas las exigencias legales en materia de protección de datos.

Contexto legal

El RGPD es claro en cuanto a los principios que rigen el tratamiento de datos personales, especialmente cuando se trata de categorías especiales como los biométricos:

• Artículo 5 RGPD: impone principios como la licitud, lealtad y transparencia; la limitación de la finalidad; la minimización de datos; la exactitud; la limitación del plazo de conservación; y la integridad y confidencialidad.
• Artículo 9 RGPD: prohíbe el tratamiento de datos sensibles salvo que exista una base jurídica clara, como el consentimiento explícito del interesado.
• Artículo 35 RGPD: exige una Evaluación de Impacto cuando el tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas.
• Artículo 26 RGPD: regula el tratamiento conjunto y la necesidad de establecer las respectivas responsabilidades mediante un acuerdo entre responsables conjuntos.

La LOPDGDD, por su parte, refuerza estos principios y exige, en su artículo 28, que cualquier sistema que implique el uso de tecnologías avanzadas que puedan afectar significativamente a los derechos de los interesados sea sometido a análisis previos adecuados.

Respuesta de LALIGA.

LALIGA ha rechazado la propuesta de sanción, alegando que la AEPD comete errores fundamentales al atribuirle la responsabilidad sobre datos que, según afirma, no trata directamente. Además, ha anunciado que presentará un recurso y recuerda que el Tribunal Supremo ya anuló en julio de 2024 una sanción anterior, al considerar que los usuarios habían dado su consentimiento válido en ese caso.

¿Tu empresa trata datos personales o biométricos?
En OZONIA Consultores S.L., somos expertos en protección de datos, cumplimiento del RGPD y elaboración de Evaluaciones de Impacto. Te ayudamos a prevenir riesgos, garantizar la legalidad de tus tratamientos y evitar sanciones que podrían comprometer tu negocio. 

Autor: Antonio Heredia

Suscríbete a nuestro Blog y recibe avisos de nuevas publicaciones

¿Le avisamos cuando publiquemos nuevos contenidos? Rellene este formulario:

Nombre*

Email*

 He leído la Política de Privacidad y acepto los términos.