La Agencia Española de Protección de Datos (AEPD) ha desestimado el recurso de reposición interpuesto por YOTI LTD y ha confirmado íntegramente la resolución sancionadora del 23 de noviembre de 2025. En dicha resolución, la AEPD impuso a YOTI multas de 500.000 euros por infracción del artículo 9 del RGPD, 200.000 euros por infracción del artículo 7 del RGPD y 250.000 euros por infracción del artículo 5.1.e) del RGPD, por un importe total de 950.000 euros. Además, ordenó a la entidad acreditar, en el plazo de seis meses desde que la resolución sea firme y ejecutiva, que el tratamiento de datos personales biométricos, los tratamientos basados en el consentimiento y los plazos de conservación se ajustan al RGPD.
La AEPD distingue entre los distintos servicios de verificación de edad ofrecidos por YOTI y la app Digital ID. Según los hechos probados, en los servicios SaaS de verificación de edad son los clientes de YOTI quienes actúan como responsables del tratamiento, mientras que en la App Digital ID es YOTI quien actúa como responsable. La resolución recoge que, en el marco de esta aplicación, se tratan datos como la fotografía del usuario, una plantilla biométrica almacenada de forma segura, documentos identificativos oficiales y datos utilizados para finalidades de investigación y desarrollo.
En relación con la infracción del artículo 9 del RGPD, la AEPD concluye que el tratamiento realizado mediante la app tiene como finalidad la identificación unívoca de una persona física y que, por ello, entra dentro del concepto de categorías especiales de datos del artículo 9.1 del RGPD. La resolución añade que YOTI, al no considerar que trataba categorías especiales de datos, no fundamentó ese tratamiento en ninguna de las excepciones del artículo 9.2 del RGPD.
Respecto del artículo 7 del RGPD, la AEPD aprecia que el consentimiento recabado no cumple los requisitos exigidos por la normativa. La resolución destaca, entre otros extremos, que en el proceso de alta se informaba al usuario de que no podría utilizar la App sin proporcionar sus datos biométricos y sin que se escaneara su rostro, que el consentimiento obtenido no aludía adecuadamente al tratamiento de datos biométricos como categoría especial y que, para determinados tratamientos con fines de investigación y mejora de servicios, se utilizaban casillas activadas por defecto.
Por lo que se refiere al principio de limitación del plazo de conservación del artículo 5.1.e) del RGPD, la AEPD toma en consideración que YOTI conservaba los datos de la cuenta mientras el usuario la mantuviera activa y durante los tres años siguientes de inactividad, incluyendo entre esos datos información biométrica, lo cual es contrario al principio señalado. La resolución también recoge que cuando se identificaban documentos fraudulentos estos podían conservarse hasta dos años para entrenar el software. Sobre esta base, la Agencia concluye que se conservaban datos personales durante un plazo superior al necesario para las finalidades perseguidas.
En reposición, YOTI alegó el alcance limitado de la actividad de la app en España, indicando que durante el periodo investigado solo 16 usuarios utilizaron Digital ID en España, así como la ausencia de daño real y la desproporción de la sanción. La AEPD desestima íntegramente el recurso y mantiene la publicación de la resolución, recordando el régimen legal de publicidad de este tipo de actos.