Multa de un millón de euros a LaLiga por el tratamiento de los datos personales de los espectadores

La Agencia Española de Protección de Datos (AEPD) ha sancionado a LaLiga con una multa de un millón de euros debido al tratamiento de datos personales mediante sistemas de reconocimiento biométrico en los accesos a las gradas de los estadios.

Según informó la AEPD, esta medida se tomó tras determinar que la organización incumplió el Reglamento General de Protección de Datos (RGPD), al no realizar una evaluación de impacto válida que garantizara la protección de los derechos de los aficionados. La sanción ha sido recurrida por LaLiga, que argumenta que la decisión está basada en “premisas erróneas”.

De acuerdo con la resolución de la AEPD, además de la multa económica, se ha solicitado a LaLiga que comunique a sus clubes asociados y sociedades anónimas deportivas la suspensión definitiva del uso de datos biométricos hasta que se cumplan ciertos requisitos legales.

Entre estas condiciones, se encuentra la realización de una evaluación de impacto que examine la necesidad, idoneidad y proporcionalidad del tratamiento de estos datos, así como los riesgos que puedan representar para los derechos y libertades de los aficionados.

La agencia ya había advertido a LaLiga

La decisión de la AEPD llega un año después de que la agencia emitiera una advertencia a LaLiga en enero de 2024. En aquel momento, la organización había licitado un contrato para desarrollar un sistema de reconocimiento facial destinado a controlar el acceso de los aficionados a los estadios.

Según detalló la AEPD, ya entonces se recordó a LaLiga la necesidad de que cualquier sistema de este tipo cumpliera con la normativa vigente en materia de protección de datos.

La advertencia también señalaba que, en caso de no adoptar las medidas necesarias, se podrían iniciar investigaciones y aplicar sanciones. La AEPD subrayó que el tratamiento de datos biométricos requiere una gestión previa de riesgos y la implementación de medidas técnicas y organizativas que aseguren el cumplimiento de la ley.

El uso de datos biométricos, como los relacionados con el reconocimiento facial, está estrictamente regulado por el RGPD. Este reglamento prohíbe el tratamiento de datos sensibles, salvo en casos excepcionales, como cuando el interesado otorga un consentimiento explícito o cuando el uso de estos datos es necesario por razones de interés público esencial.

Evaluaciones de impacto

La AEPD ha insistido en que cualquier sistema que implique el uso de datos biométricos debe superar una evaluación de impacto que cumpla con el triple criterio de idoneidad, necesidad y proporcionalidad. Este estándar no solo está establecido en el RGPD, sino que también ha sido respaldado por la doctrina del Tribunal Constitucional.

En su resolución, la agencia destacó que el objetivo principal de estas medidas es proteger el derecho fundamental de los abonados a las gradas de animación, quienes podrían verse afectados por el uso indebido de sus datos personales. Además, se enfatizó que el tratamiento de datos biométricos conlleva riesgos significativos para los derechos y libertades de los individuos, lo que hace imprescindible una evaluación rigurosa antes de implementar cualquier sistema de este tipo.

LaLiga recurre la sanción

En un comunicado emitido tras conocerse la sanción, LaLiga confirmó que ha recurrido la decisión de la AEPD ante los tribunales.

La organización calificó la multa como una medida basada en “premisas rotundamente erróneas” y defendió que la normativa que regula el uso de sistemas biométricos en las gradas de animación fue aprobada por el Consejo Superior de Deportes (CSD) y exigida por la Comisión Antiviolencia.

Según LaLiga, la adopción de estos sistemas no fue una decisión unilateral, sino una medida impulsada por las autoridades competentes para garantizar la seguridad en los estadios. Además, la organización argumentó que no tiene acceso directo a los datos biométricos de los aficionados ni mantiene relación alguna con ellos, lo que, según su postura, le exime de la responsabilidad de realizar una evaluación de impacto en protección de datos.

“LaLiga no puede ser legalmente responsable del tratamiento de los datos biométricos utilizados en las gradas de animación de los estadios, al no tratar ningún dato biométrico, no mantener ninguna relación con los aficionados de los clubes, ni tomar decisiones sobre dichos datos”, afirmó la organización en su comunicado.