Revés administrativo para el FC Barcelona, que suma a su crisis deportiva una sanción de 500.000 euros impuesta por la Agencia Española de Protección de Datos (AEPD).
El organismo ha sancionado al club por deficiencias graves en la Evaluación de Impacto (EIPD) exigida por el artículo 35 del Reglamento General de Protección de Datos durante su masiva campaña de actualización del censo, que empleó sistemas de reconocimiento facial y biometría de voz para identificar a un total de 134.000 socios.
Aunque el club blaugrana ha logrado el archivo de la infracción relativa al tratamiento de categorías especiales de datos (artículo 9) gracias a un giro interpretativo del propio regulador sobre la biometría, no ha podido eludir la multa tras acreditarse que formalizó los contratos con sus proveedores antes de finalizar el análisis de riesgos y que su evaluación técnica resultó genérica e insuficiente para un tratamiento de tan alto riesgo.
El Barcelona rechazó realizar el EIPD
En 2023 el F.C. Barcelona inició una campaña de actualización de datos del censo de personas asociadas a la entidad deportiva blaugrana. Su objetivo era actualizar el censo de socios para tener controlados a todos loas aficionados y controlar prácticas fraudulentas (reventa de abonos y carnés de fallecidos).
Para ello, y mediante carta a cada aficionado, solicitó que, a través de la aplicación móvil o la página web del club, siguieran una serie de 8 pasos para llevar acabo dicha campaña. Entre ellos, mostrar el documento oficial de identidad a la cámara, una foto ‘selfie’ y grabar su voz durante cinco segundos.
El Barcelona justificó la elección del tratamiento biométrico del reconocimiento facial como «necesario para la ejecución de un contrato en el que el interesado es parte», siguiendo lo redactado en el artículo 6.1.b) del Reglamento General de Protección de Datos (RGPD).
Y al hacer uso de datos biométrico, el siguiente paso era hacer una valoración de riesgos. Para ello, se realizó un doble análisis para determinar si se debía realizar una EIP (Evaluación de Impacto en la Protección de Datos) —un procedimiento para identificar y minimizar los riesgos que el tratamiento de datos personales puede generar sobre los derechos y libertad de las empresas—.
Sin embargo, la entidad deportiva consideró que no era necesario realizar dicho EIPD. Decisión que ahora la AEPD reprocha y por la que sanciona al club blaugrana.
Tras llegar estos hechos a la Agencia, se estimó una sanción inicial de seis millones de euros.
Las alegaciones del F.C. Barcelona
El F.C. Barcelona defiende que los rasgos faciales y de voz obtenidos no constituyen categorías especiales de datos biométricos según lo establecido en el artículo 9.1. del RGPD porque estos se basan en la «autentificación 1:1» (comparar la fotografía del DNI con una imagen selfie) y no en la identificación unívoca.
A quedar fuera de la definición de datos biométricos, el club considera su tratamiento no tiene la consideración de categoría especial de datos y que, por tanto, no precisa el consentimiento de los socios.
Además, reprocha que cuando inició el periodo de la campaña de actualización de socios (que comenzó el 20 de marzo y finalizó el 30 de noviembre de 2023) la Agencia mantenía dicho criterio que diferencia la autentificación y la identificación «implicando principalmente que la autenticación no se consideraba dato sensible ni de categoría especial acorde al artículo 9.1 del RGPD».
Sin embargo, pocos días antes de la fecha límite fijada para la conclusión del proceso, la AEPD cambió de criterio con la “guía sobre tratamientos de control de presencia mediante sistemas biométricos” de 23/11/2023, cuando «la casi totalidad de los tratamientos ya habían sido hechos», alega la entidad.
El criterio de la AEPD para sancionar al Barcelona
La Agencia analiza si el Barcelona ha vulnerado artículo 9, relativo al tratamiento de categorías especiales de datos personales, y el artículo 35.
Respecto al primer precepto, entiende la Agencia que los tratamientos ejecutados por FCB fueron ideados y ejecutados antes de que el CEPD se pronunciase al respecto, en concreto, en las Directrices 05/2022 del CEPD, cuando éste fijó su posición al respecto de la nueva regulación contenida en el artículo 9 del RGPD.
Esta posición fue adoptada por la Agencia el 23 de noviembre de 2023, cuando se publicó la Guía sobre tratamientos de control de presencia mediante sistemas biométricos tal y como formuló el Fc Barcelona en sus alegaciones.
Por tanto, la AEPD estima las alegaciones en relación con la culpabilidad de la conducta y archiva este punto por falta de culpabilidad del club ante el cambio de criterio de la propia Agenicia.
Sin embargo, no tendría la misma suerte cuando la AEPD se detiene a analizar el artículo 35. La entidad veladora de la protección de los datos recuerda que el RGPD requiere que se aplique medidas adecuadas para garantizar y poder demostrar el cumplimiento de dicho riesgo.
Añade además que cualquier tratamiento de datos personales no requiere realizar una EIPD, pero sí que es obligatorio cuando entrañe un alto riesgo.
Y en este caso, la Agencia considera que sí era necesario realizar una EIPD para los tratamientos de reconocimiento fácil y voz. Ello, porque según la lista de tipos de tratamiento de datos que requieren evaluación de impacto relativa a protección (recogida en el artículo 35.4), si se cumple dos o más criterios pasa a ser necesaria.
En este caso, la elección de esta forma de actualizar el censo de socios implica una toma de decisiones automatizadas o que contribuyan en gran medida a la toma de tales decisiones (apartado número 2); tratamientos que impliquen el uso de datos a gran escala (apartado número 7); tratamiento de datos sujetos vulnerables o en riesgo de exclusión social, incluyendo datos de menores de 14 años (apartado número 9) y los tratamientos que impliquen la utilización de nuevas tecnologías o un uso innovador de tecnologías consolidadas (apartado número 10).
«El FCB debería de haber realizado dos EIPD en los tratamientos y, por otra, los análisis de riesgos referenciados adolecen de virtualidad y no cumplen con el RGPD al haberse realizado en un momento temporal posterior a la firma de los contratos de prestación de servicio y de encargo de tratamiento por el FCB y por adolecer de graves defectos en su planteamiento y realización que le
imposibilitan cumplir con lo dispuesto por el RGPD», reprocha la Agencia.
Finalmente, la cuantía se moduló en el medio millón de euros tras ponderar la negligencia del club y el volumen de socios afectados (143.000 socios), pero valorando como atenuante que el polémico sistema de reconocimiento por voz nunca llegó a implementarse y que los registros fueron eliminados ante el giro interpretativo del regulador.
