Recientemente, la Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 500.000 euros al FC Barcelona. El motivo de la sanción ha sido por el uso de datos biométricos (imagen y, opcionalmente la voz) para la actualización de su censo de socios sin cumplir con las garantías que exige el Reglamento General de Protección de Datos (RGPD). Desde Metricson, como especialistas en derecho tecnológico y privacidad, analizamos este caso que marca un precedente crítico en la gestión de identidad digital para grandes entidades.
Problema: innovación sin garantías legales
El club buscaba modernizar sus procesos mediante una aplicación móvil que capturaba rasgos biométricos para autenticar a los socios afectando a unos 143.000 socios, incluidos menores. El error fundamental no fue la tecnología en sí, sino tratar datos de categoría especial sin haber superado previamente un análisis de riesgos riguroso. La AEPD no cuestionó la base legitimadora ni invalidó el uso de biometría por falta de necesidad frente a alternativas menos intrusivas. La sanción que se le impone es debido fue en la documentación de la Evaluación de Impacto de Protección de Datos (EIPD), qra genérica y no detallaba riesgos a derechos de los socios.
Solución: cumplimiento desde el diseño (“Privacy by design”)
En Metricson, siempre insistimos en que la tecnología debe nacer «legal». La solución para este tipo de proyectos no es renunciar a la innovación, sino implementar “protección de datos desde el diseño”. Esto implica que antes de que el primer socio se descargue la App, el sistema ya debe haber pasado un filtro riguroso de idoneidad, necesidad y proporcionalidad.
El papel crucial de la EIPD
La realización de una Evaluación de Impacto en la Protección de Datos (EIPD) — o PIA por sus siglas en inglés— rigurosa, detallada al caso en concreto y adecuada es el instrumento que habría evitado esta sanción. En este caso en concreto, la AEPD consideró que la documentación proporcionada era genérica, incompleta y no incluía elementos esenciales como descripción sistemática del tratamiento, evaluación detallada de riesgos para derechos fundamentales, análisis de necesidad/proporcionalidad ni medidas específicas de mitigación. En consecuencia incumplía con el artículo 35 RGPD. ¿Por qué es obligatoria en este caso? El RGPD exige una EIPD cuando un tratamiento supone un «alto riesgo», como ocurre con el tratamiento a gran escala de datos biométricos para identificar personas físicas.
Una EIPD correctamente realizada permite:
- Identificar riesgos: Detectar dónde puede haber fugas de datos o sesgos algorítmicos y mitigar los riesgos advertidos.
- Ad hoc: Debe ser adecuada al caso concreto, no genérica ni incompleta y ajustarse a los requisitos específicos del artículo 35 del RGPD.
- Justificar la proporcionalidad: Demostrar por qué el reconocimiento facial es estrictamente necesario y qué alternativas se ofrecen a quienes no quieran usarlo.
- Ahorrar costes: La multa de 500.000 € (que llegó a proponerse inicialmente por 6 millones) es infinitamente superior al coste de un asesoramiento adecuado.
Nuestra visión
Este caso demuestra que con tener la documentación no basta. En cualquier caso, esta debe ser adecuada y rigurosa para cumplir con la normativa de privacidad. El éxito de una transformación digital depende de una estrategia legal sólida. En Metricson, ayudamos a las empresas a navegar estas normativas para que la tecnología sea una ventaja competitiva, no un pasivo financiero. ¿Está su empresa planeando implementar sistemas biométricos o de reconocimiento facial? Podemos ayudarle a realizar su EIPD para asegurar que su innovación sea 100% conforme a la normativa vigente.
Artículo escrito por:
Sobre Metricson
Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas. Desde su nacimiento en 2009, ha asesorado a más de 1.400 empresas de 14 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.
Si quieres contactar con nosotros para cualquier aspecto de asesoramiento fiscal, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!
