El 21 de abril de 2023, un socio del Fútbol Club Barcelona (FCB) interpuso una reclamación ante la Agencia de Protección de Datos (AEPD) por la puesta en marcha de una campaña de actualización del censo de socios, anunciada en su página web. Dicha campaña se inició con los objetivos de regularizar a los socios en estado de baja, promover la transformación digital del Club, mejorar comunicaciones futuras con los socios y evitar el uso fraudulento tanto de carnés. Al momento de iniciar la campaña el club contaba con 143.000 socios repartidos por todo el mundo.
Así, FCB realiza dos tratamientos de datos personales:
(i) Para realizar la actualización del censo, se implementa un sistema biométrico de reconocimiento facial que solicita a los socios que aporten una imagen del DNI, así como una captura fotográfica (selfie) mediante la cámara del dispositivo.
(ii) Tras el registro por el sistema biométrico, se ofrece a los socios la recogida de voz de modo voluntario para la futura venta de boletos de forma telefónica.
La información sobre estos tratamientos se proporcionaba una vez iniciado el proceso de registro, antes de la captura biométrica, y también aparecía en la página web del club.
Tras las alegaciones del FCB y en base a las averiguaciones hechas por la AEPD, en noviembre de 2024 la directora de la AEPD acordó iniciar procedimiento sancionador contra FCB, por la presunta infracción de los artículos 9 (tratamiento ilícito de datos biométricos de categoría especial) y 35 del RGPD (no haber realizado una evaluación de impacto correspondiente en base a los riesgos percibidos).
Finalmente, se resuelve por la AEPD acordando únicamente una sanción por la infracción del artículo 35 RGPD, dictando el archivo de la causa en lo que respecta a la infracción del artículo 9 RGPD debido a que, el tratamiento ejecutado por FCB, se produjo antes de que el Comité Europeo de Protección de Datos se pronunciara sobre la nueva regulación mucho más estricta en el tratamiento de datos biométricos.
Esa resolución fue recurrida por el FCB alegando que, conforme a los criterios y guías entonces vigentes de la propia AEPD, el tratamiento biométrico usado para autenticación (no para identificación masiva) no se consideraba “categoría especial” del artículo 9, por lo que entendía que la obligación de realizar una evaluación de impacto era discutible y que no podía exigírsele con criterios posteriores.
Ante dichas alegaciones, la AEPD concluyó que los datos tratados por el club sí tenían la consideración de datos biométricos conforme al art. 9.1 RGPD, ya que el sistema utilizaba imágenes del DNI y fotografías para identificar de forma única a los socios mediante comparación biométrica. Una conclusión similar se alcanzó respecto al sistema de reconocimiento de voz.
Asimismo, la autoridad consideró que el uso de tecnologías en ambos tratamientos implica la toma de decisiones automatizadas (ya que el reconocimiento facial se produce automáticamente sin intervención humana) lo que suponía un alto riesgo para los derechos y libertades de las personas físicas afectadas, especialmente porque el tratamiento afectaba a un gran número de personas (más de 143.000 socios), incluía menores de edad y se realizaba a gran escala y con alcance internacional.
Ante estas circunstancias, el artículo 35 RGPD exigía a FCB la realización previa de una Evaluación de Impacto. Sin embargo, el club únicamente había elaborado una evaluación de riesgos, que la AEPD consideró insuficiente para cumplir con las exigencias del reglamento. Asimismo, se destaca que las medidas tomadas para paliar los daños y perjuicios sufridos resultaron insuficientes, y no suponen medidas preventivas para prevenir cualquier riesgo conforme al RGPD.
Por todo lo anterior, se impone una sanción a FCB de 500.000 euros por la infracción del artículo 35 RGPD.