La Agencia Española de Protección de Datos (AEPD) está siendo muy clara con aquellas empresas que cometen irregularidades relacionadas con los datos biométricos al poner multas muy elevadas para que se cumpla con la normativa.

Primero fue el gimnasio Metropolitan, castigado con 27.000 euros por pedir la huella dactilar a los usuarios para poder acceder al centro deportivo.

Luego la empresa CTC, que le cayeron 365.000 euros por solicitar, también la huella, a sus empleados para fichar. Ello sin informarles adecuadamente y sin haber implementado las medidas de seguridad necesarias.

Y ahora, el Burgos Club de Fútbol, que ha sido sancionado con 200.000 euros por pedir a sus aficionados este dato biométrico sin cumplir con la normativa. Aunque eso sí, al haberse acogido a las dos reducciones propuestas por la AEPD, que eran la de reconocer los hechos y el pago de forma voluntaria, la multa ha quedado en 120.000 euros.

La AEPD aplica su guía de noviembre y establece que no se ha aprobado la necesidad de control.

Instaló para acceder al estadio el Plantío el sistema biométrico de detección de huella dactilar en la grada de animación, puerta 15, a través tres tornos.

El Reglamento General de Protección de Datos (RGPD) impone una serie de límites específicos para el uso de datos biométricos al considerar que la información que ofrecen es de alto riesgo. Al fin y al cabo, no sólo es capaz de validar la identidad de forma precisa, sino que tiene información única sobre personas físicas.

DOS RECLAMACIONES RECIBIDAS EN LA AEPD

Según se desprende en la resolución, publicada el pasado 9 de abril, todo comenzó cuando recibieron una denuncia y reclamación de dos socios en días distintos.

La primera llegó el 4 de noviembre de 2022, y la persona que la presentó consideró que pedir la huella era algo excesivo al poder realizar los mismos controles solicitando los abonos nominales o, incluso, el DNI.

Y en la segunda llegó el 7 de ese mismo mes y año. Otro aficionado manifestó que él no había firmado nada relacionado con la protección de datos cuando se hizo socio. Comentó que, hasta la fecha, el método de acceso era: primero enseñar el DNI, luego el carnet de socio y, por último, introducir el carnet tras pasar por el torno para quedar registrado.

Por lo que consideró que la explicación de que era “por seguridad” era injustificada porque había medios menos invasivos. Además manifestó que ello era discriminatorio porque sólo se pedían esos datos a su grada, y no a otras.

EL CLUB DE FÚTBOL INCUMPLÍA CON VARIOS REQUISITOS DEL REGLAMENTO

Para la AEPD, el club de fútbol no cumplía con varios requisitos y principios exigidos por la normativa de protección de datos.

El nuevo RGPD hace hincapié en que el responsable debe evaluar seriamente los riesgos del tratamiento que quiera establecer en los derechos y libertades de los interesados.

Ello optando por un enfoque de análisis de riesgos desde el diseño y por defecto para poder identificarlos, determinar la probabilidad de materialización y su impacto y prever medidas y garantías que eliminen o, cuando menos, mitiguen los riesgos detectados, evitando su materialización.

Para la AEPD, iniciaron ese tratamiento de datos sin que fuera necesario y proporcional. Pues el club ya contaba con un sistema de identificación-autenticación que era mucho menos intrusivo.

Por lo que «si existen alternativas disponibles para que en un momento dado todos los aficionados opten por un acceso no biométrico, y se articula un consentimiento libre, expreso y específico que permita optar entre estos otros métodos menos intrusivos, ello implica que el tratamiento de datos biométricos no es necesario para la finalidad de controlar la identidad de los que acceden a la grada de animación.», detalla la resolución.

NO RECABABA LA PRESTACIÓN DEL CONSENTIMIENTO PARA MENORES DE EDAD

Respecto al alegato que hizo el club de que instalaban este sistema para evitar la violencia en el deporte, la AEPD no pudo admitirlo como válido porque existen otros métodos para prevenir la violencia en los estadios e identificar a los responsables.

Por otro lado, la AEPD recordó que el Burgos CF estaba permitiendo que los menores de 18 accediesen a la grada de animación con consentimiento de padres o tutores legales. Sin embargo, el club no ha acreditado que esté recabando la prestación del consentimiento para el tratamiento biométrico de los menores de edad.

Y antes del 15 de febrero de 2023, que fue cuando emitieron un comunicado anunciado esta medida, “no cabe duda” que el Burgos CF estuvo recogiendo datos personales de estos abonados –unos 700– sin informar a los interesados de forma correcta de todos los aspectos exigidos a efectos de protección de datos.

Les ha sancionado por infringir cinco artículos del RGPD. El 35, el 9, el 5.1.c) el 8 y el 13. Pero el 5 de marzo se acogieron a las dos reducciones y la sanción se quedó en 120.000.

La sanción no es firme y se puede recurrir ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.

Fuente: confilegal.com

https://confilegal.com/20240412-la-aepd-multa-con-200-000-euros-al-burgos-cf-por-irregularidades-al-pedir-la-huella-dactilar-a-sus-socios/