La Agencia Española de Protección de Datos (“AEPD”) tuvo conocimiento de varias denuncias que señalaban a la Liga Nacional De Fútbol Profesional (la “Liga”) por haberimplantado mecanismos de control de acceso a los estadios de fútbol, basados en datos biométricos, sin cumplir con las garantías del Reglamento General de Protección de Datos (“RGPD”).
De las investigaciones llevadas a cabo por la AEPD se concluye que:
(i) La Liga contrató y puso a disposición de los clubes de fútbol un sistema de acceso biométrico a las gradas de animación de los estadios de primera y segunda división predisponiendo fines y medios para tratar dichos datos.
(ii) Dichos datos biométricos son datos de categoría especial porque identifican de manera unívoca a los abonados de esas gradas de animación. Se ha recordar la prohibición de tratamiento de este tipo de datos prescrita en el artículo 9.1 del RGPD.
(iii) La Liga debió contar y superar una evaluación de impacto previa. Sin embargo, no consta que se hubiese superado, dado que la reclamada no hizo ninguna valoración del tratamiento al no considerarse responsable del mismo.
(iv) La Liga es responsable del tratamiento, ya que estableció un régimen que vincula a sus asociados, proporcionando los medios y determinando los fines en pos de una definida finalidad. En concreto:
a. La Liga es garante de organizar las competiciones de fútbolprofesional de primera y segunda división y tiene potestad para regular el régimen de venta de entradas y de acceso a los estadios.
b. La Liga estaba ejerciendo una influencia no solo legal, sino también fáctica, condicionando los requisitos de acceso implantados por ella misma y comunicando mediante circulares la solución técnica ofrecida por su filial, y usada por la mayoría de los clubes que la implantaron.
c. No hay corresponsabilidad entre la Liga y lo clubes, sino que existe una responsabilidad independiente sucesiva de ambos responsables, puesto que estamos en presencia de un solo tratamiento para el que existe una “cadena de operaciones de tratamiento”.
Finalmente, la AEPD resuelve en el procedimiento sancionador:
(i) imponer a la Liga una multa de 1 millón de euros por no haber realizado una evaluación de impacto en materia de protección de datos (art. 35 RGPD).
(ii) limitar temporal o definitivamente el tratamiento, con el sistema de reconocimiento biométrico de accesos y trasladar a sus asociados la suspensión definitiva del tratamiento, en tanto no se ejecute y supere una evaluación de impacto.