Multa de medio millón al Barça por identificar a sus socios con voz e imágenes

Varapalo desde los despachos para el FC Barcelona. La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de medio millón de euros al club azulgrana por la gestión del censo de sus socios, un sistema que incluía el tratamiento de datos biométricos a través de la voz y la imagen.

La institución presidida por Lorenzo Cotino considera que el sistema de identificación biométrica puesto en marcha por el club, destinado, entre otros usos, a facilitar la autenticación de socios y el acceso a las instalaciones del Barça, incluido el estadio, no contó con una evaluación de impacto en protección de datos que cumpliera con las exigencias del Reglamento General de Protección de Datos (RGPD).

Consultado por El Confidencial, el FC Barcelona señala que la sanción actual corresponde a un expediente que abrió la Agencia de Protección de Datos "a raíz de la regularización del censo, dado que existían criterios biomédicos diferentes entre Cataluña y España". Los servicios legales del club afirman que tramitaron el expediente e, inicialmente, "se nos proponía una sanción de casi 6 millones de euros, que hemos conseguido reducir hasta 500.000 euros".

No obstante, desde el Baça consideran de que "se trata de una sanción desproporcionada y, por este motivo, la hemos recurrido, ya que no entendemos que se haya producido ninguna infracción grave". Además, afirman que continuarán "defendiendo nuestra posición por todas las vías legales disponibles".

El proyecto se articulaba a través del denominado Perfil Digital del socio, una herramienta impulsada por el club para actualizar el censo y reforzar los mecanismos de identificación. La Junta Directiva del FC Barcelona aprobó el 21 de junio de 2022 impulsar esta actualización del censo de socios y socias, cuya campaña se inició el 21 de marzo de 2023 mediante herramientas digitales de verificación de identidad. En ese proceso, los socios podían aportar datos biométricos como imagen facial y registro de voz, con el objetivo de verificar su identidad y evitar suplantaciones.

TE PUEDE INTERESAR

Protección de Datos impone una multa récord de 10M a Aena por sus sistemas de reconocimiento facial

Alejandro Galisteo Javier Melguizo

Según recoge la resolución, el sistema permitía “generar vectores biométricos a partir de la imagen del socio y de su voz para su autenticación”. Ese mecanismo estaba concebido para “la autenticación del socio o socia e identificación para el acceso a las instalaciones del Club”, así como para la “validación de accesos a los socios y socias en las instalaciones del Club”, de acuerdo con la documentación analizada por la Agencia.

El propio Barça reconocía en el expediente que el sistema podría utilizarse para facilitar el acceso de los socios a distintos espacios del club, incluido el estadio, aunque quienes no quisieran emplear biometría podrían seguir accediendo mediante los sistemas tradicionales, como el código de barras.

Número elevado de socios

El proyecto se aplicaba además a una base social muy amplia. El censo del FC Barcelona ronda los 143.000 socios. De ellos, 124.872 completaron el proceso de actualización del censo, según los datos del expediente: 112.623 lo hicieron de forma telemática y 12.249 presencialmente, mientras 14.433 socios no realizaron la actualización.

Sin embargo, la Agencia concluye que el tratamiento planteado implicaba riesgos elevados para los derechos y libertades de los afectados, lo que obligaba a realizar una evaluación de impacto en protección de datos (EIPD) antes de su despliegue.

TE PUEDE INTERESAR

La Justicia reduce de 6 millones a 2 millones la megasanción de la AEPD a CaixaBank

Alejandro Galisteo

Durante la investigación, el FC Barcelona sostuvo que había realizado análisis de riesgos sobre los sistemas biométricos utilizados en el proyecto. En concreto, aportó informes relativos tanto al sistema de reconocimiento facial como al sistema de biometría de voz.

El club defendía que sus análisis permitían valorar los riesgos del sistema y su proporcionalidad. Según el propio documento aportado al expediente, el uso de la biometría de voz se justificaba para “la verificación de la identidad de los socios y socias cuando realicen trámites telefónicos con el Club”, con el objetivo de evitar fraudes o suplantaciones.

No obstante, la Agencia concluye que esos documentos no pueden considerarse una evaluación de impacto en los términos exigidos por el artículo 35 del RGPD. La resolución subraya que los informes aportados se limitaban a una valoración de riesgos y proporcionalidad, pero no cumplían con todos los requisitos exigidos por el Reglamento.

A juicio del regulador, el análisis presentado por el club no evaluaba de forma completa los riesgos derivados del tratamiento biométrico ni documentaba adecuadamente las medidas para mitigarlos, pese al elevado número de personas potencialmente afectadas.

Por este motivo, la AEPD considera acreditada la infracción del artículo 35 del RGPD, que obliga a realizar evaluaciones de impacto cuando un tratamiento puede implicar un alto riesgo para los derechos de las personas.

La resolución introduce, sin embargo, un matiz relevante para el club azulgrana. Durante el procedimiento también se analizó una posible vulneración del artículo 9 del RGPD, que regula el tratamiento de categorías especiales de datos, entre ellas los datos biométricos utilizados para identificar de forma unívoca a una persona.

Finalmente, la Agencia acuerda archivar esa infracción al no quedar acreditados los elementos necesarios para aplicar ese precepto, por lo que el expediente se centra exclusivamente en la falta de una evaluación de impacto adecuada. Tras ponderar los criterios de graduación previstos en el Reglamento europeo, la AEPD fija la sanción económica en 500.000 euros.