La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 500.000 euros al Fútbol Club Barcelona por infracción del artículo 35 del Reglamento General de Protección de Datos (RGPD), al considerar que el club no llevó a cabo de forma adecuada una evaluación de impacto relativa a la protección de datos (EIPD) antes de implantar un sistema de verificación biométrica para la actualización del censo de socios.
El procedimiento tiene su origen en una reclamación presentada por un socio en relación con el proceso digital de actualización del censo iniciado por el club en 2023. Dicho proceso requería que los socios realizaran un trámite de verificación de identidad que incluía la carga de una imagen del documento de identidad y la captura de una fotografía tipo selfie con movimientos de cabeza, con el fin de comparar ambas imágenes mediante un sistema de reconocimiento facial. Además, el sistema contemplaba la posibilidad de registrar la voz del socio, de forma voluntaria, para facilitar futuras autenticaciones telefónicas.
Según consta en la resolución, el objetivo del sistema era verificar la identidad de los socios y evitar fraudes o suplantaciones, en particular el uso indebido de carnés de socios por terceras personas o la utilización de carnés de titulares fallecidos, practica que según el Club es sumamente habitual. El proceso de actualización podía realizarse también de forma presencial en las oficinas del Club, pero debido a la gran cantidad de socios y al hecho de que muchos se encuentran fuera de Barcelona, se optó por establecer un canal digital prioritario.
En el acuerdo de inicio del procedimiento, la AEPD había considerado inicialmente que los hechos podían constituir dos infracciones: por un lado, un tratamiento ilícito de datos biométricos de categoría especial (artículo 9 RGPD) y, por otro, la falta de realización de una evaluación de impacto (artículo 35 RGPD). Sin embargo, tras la instrucción del expediente, la autoridad de control decidió archivar la imputación relativa al artículo 9 del RGPD.
No obstante, la AEPD concluye que los análisis de riesgos aportados por el Club no cumplían con los requisitos exigidos para ser considerados una evaluación de impacto conforme al artículo 35 del RGPD, al resultar insuficientes en varios de sus elementos esenciales. Por este motivo, la Agencia mantiene la imputación relativa a la falta de EIPD y propone la imposición de una multa administrativa de 500.000 euros.
Esta resolución recuerda a resoluciones recientes como la del caso AENA y resalta la importancia de que los responsables del tratamiento evalúen previamente los riesgos que determinados tratamientos pueden suponer para los derechos y libertades de los interesados a través de una EIPD, especialmente cuando implican el uso de tecnologías biométricas y afectan a un número elevado de personas.