Acerca de operadores lógicos
Última revisión
03/05/2024
Resolución de la Agencia Española de Protección de Datos PS-00483-2023 de 09 de abril de 2024
GPT Iberley IA
Copiloto jurídico
Relacionados:
Tiempo de lectura: 142 min
Órgano: Agencia Española de Protección de Datos
Fecha: 09/04/2024
Num. Resolución: PS-00483-2023
Cuestión
1 / 54Expediente Nº: EXP202213792
Procedimiento Sancionador PS/00483/2023.
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO : Con fecha 29 de diciembre...
Contestacion
1/54
? Expediente Nº: EXP202213792
Procedimiento Sancionador PS/00483/2023.
RESOLUCIÓN DE TERMINACIÓN DEL PROCEDIMIENTO POR PAGO
VOLUNTARIO
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base
a los siguientes
ANTECEDENTES
PRIMERO: Con fecha 29 de diciembre de 2023, la Directora de la Agencia Española
de Protección de Datos acordó iniciar procedimiento sancionador a BURGOS CLUB
DE FÚTBOL, S.A.D. (en adelante, la parte reclamada), mediante el Acuerdo que se
transcribe:
N º Expediente: EXP202213792.
N º Procedimiento Sancionador: PS/00483/2023.
ACUERDO DE INICIO DE PROCEDIMIENTO SANCIONADOR
De las actuaciones practicadas por la Agencia Española de Protección de Datos y en
base a los siguientes:
HECHOS.......................................................................................................................2
PRIMERO:.................................................................................................................2
SEGUNDO:................................................................................................................3
TERCERO:.................................................................................................................4
CUARTO:...................................................................................................................4
QUINTO:....................................................................................................................4
5.1. Partes intervinientes y documentos que forman parte del expediente.............4
5.2. Sobre el origen y situación actual de la implantación de sistemas biométricos
en los estadios de fútbol de primera y segunda división.........................................5
5.3. Hechos relacionados con el BURGOS CF.......................................................8
5.4 Conclusiones..................................................................................................12
FUNDAMENTOS DE DERECHO.................................................................................13
I Competencia..........................................................................................................13
II Datos biométricos como datos personales de categoría especial.........................13
2.1. Definición y características de los datos biométricos.....................................13
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
2/54
2.2. Las plantillas biométricas como datos personales de categoría especial y alto
riesgo....................................................................................................................15
2.3. El BURGOS CF como responsable de operaciones de tratamiento de datos
biométricos...........................................................................................................17
III. Sobre la necesidad de realizar una evaluación de impacto previa y adecuada al
tratamiento...............................................................................................................18
5.1. Obligación y requisitos legales de la evaluación de impacto (EIPD) en
tratamientos de alto riesgo....................................................................................18
5.2. Incumplimiento del deber de presentar una EIPD por parte del BURGOS CF.
.............................................................................................................................20
IV Concurrencia de una excepción del artículo 9 del RGPD, y base legitimadora del
artículo 6 del RGPD.................................................................................................20
4.1. Sobre la necesidad de que concurra excepción a la prohibición del
tratamiento de datos biométricos..........................................................................20
4.2. Necesidad de base de licitud del tratamiento del artículo 6.1........................22
4.3. Análisis de la concurrencia de una excepción y una base de licitud en el
supuesto presente................................................................................................23
V Sobre la exigencia de que el tratamiento sea necesario, idóneo y proporcional...25
VI Sobre el consentimiento de los menores.............................................................31
VII Sobre los deberes de información del artículo 13 del RGPD..............................33
VIII Tipificación de las infracciones y calificación a los efectos de la prescripción....36
8.1. Infracción del artículo 35 del RGPD...............................................................36
8.2. Infracción del artículo 9 del RGPD.................................................................36
8.3. Infracción del artículo 5.1.c del RGPD...........................................................37
8.4. Infracción del artículo 8 del RGPD.................................................................37
8.5. Infracción del artículo 13 del RGPD...............................................................38
X Determinación de las sanciones...........................................................................38
XI Adopción de medidas correctivas.........................................................................43
XI. Medidas provisionales.........................................................................................44
SE ACUERDA:.............................................................................................................46
HECHOS
PRIMERO:
Con fechas de 4 y 7 de noviembre de 2022, se reciben en esta Agencia Española de
Protección de Datos denuncia y reclamación contra la implantación de sistemas
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
3/54
biométricos para el control de acceso a las gradas de animación del estadio del
BURGOS CLUB DE FÚTBOL, S.A.D. con NIF A09012428 (en adelante, ?el
club?/BURGOS CF).
- En primer lugar, se recibe denuncia de 4 de noviembre de 2022 que manifiesta la
Comisión Estatal contra la violencia, el racismo, la xenofobia y la intolerancia en
el deporte adoptó un acuerdo según el cual el acceso a las gradas de animación
de los estadios de fútbol se debía llevar a cabo a través de control biométrico. En
consecuencia, algunos equipos de fútbol ya están adoptando estas formas de acceso
para sus gradas, como por ejemplo el BURGOS CF. La parte denunciante
considera que el citado tratamiento es excesivo. En este sentido, indica que se
pueden realizar los mismos controles solicitando los abonos nominales y, si por
cuestiones de seguridad fuese necesario, mediante la solicitud de exhibición del
Documento Nacional de Identidad.
El denunciante no acompaña documentación alguna a su escrito.
- Posteriormente, se recibe una reclamación de 7 de noviembre del mismo año manifiesta
que el BURGOS CF está solicitando, obligatoriamente, para acceder a la
grada de animación del campo de fútbol, el uso de huella dactilar. Literalmente
expone lo siguiente: ?Cuando te haces socio de la grada de animación, en ningún
momento firmas nada de protección de datos y tampoco te indican que podrá solicitarte
, para el acceso al campo, datos biométricos. Hasta el momento el sistema
para acceder al campo es: primero te piden DNI y CARNET DE SOCIO para
comprobar que eres el abonado, y luego pasas por un torno en el cual tienes que
introducir tu carnet de socio y quedas registrado. Por lo tanto, la justificación de
que es por seguridad es injustificada, ya que hay un medio menos invasivo. Es
discriminatorio que tan solo a una grada se le esté requiriendo esta medida de
control de acceso al campo, ya que a ninguno de los abonados de otra grada se
le impone, ni a las personas que acceden puntualmente con una entrada. Si alegan
seguridad, donde está la seguridad en el resto del campo?.
La reclamante acompaña el comunicado oficial publicado el 4 de noviembre de
2002 en la página web del burgoscf.es sobre ?Comunicado oficial | Acceso
biométrico en grada de animación realizado por el BURGOS CF? en el que se
hace constar lo siguiente:
?El Burgos Club de Fútbol, en cumplimiento de la Ley 19/2007, de 11 de julio
, el Real Decreto 203/2010, de 26 de febrero, y el Libro XII del Reglamento
General de LaLiga, después de una auditoría realizada por LaLiga, y tras
el acuerdo adoptado por la Comisión Estatal contra la violencia, el racismo,
la xenofobia y la intolerancia en el deporte, comunica que el acceso a su
grada de animación se tendrá que realizar a través de control biométrico.
En este sentido, la totalidad de los clubes de LaLiga, entre los que también
se encuentra el Burgos CF, han sido advertidos de que el incumplimiento de
esta normativa dará lugar a la actuación de la comisión a través de las correspondientes
propuestas de apertura de expedientes sancionadores en
virtud de la legislación vigente. De esta manera, LaLiga ha instalado un programa
de detección de huella dactilar para que todos los abonados de esta
zona del estadio acudan a las oficinas del club para fijar su huella y así acceder
al Estadio de El Plantío con este método. (?) Este movimiento es
solo un primer paso, ya que la entidad burgalesista tiene el objetivo y adquiere
el compromiso de implementar este mecanismo de acceso biométrico
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
4/54
para todo el estadio en un plazo estimado de dos temporadas. De hecho, siguiendo
la línea de actuación de otros clubes referencia en el fútbol español,
la entidad pretende desarrollar procesos de identificación facial, en pro de la
rapidez y la accesibilidad, cuando estos sistemas estén más desarrollados.?
Ninguno de los denunciantes aporta pruebas de las que se desprendan que se hayan
recabado sus datos biométricos.
SEGUNDO:
De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales (en adelante
LOPDGDD), con fecha de 1 de diciembre de 2022 se dio traslado de dicha
reclamación al BURGOS CF para que procediese a su análisis e informase a esta
Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los
requisitos previstos en la normativa de protección de datos.
El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de
1 de octubre, del Procedimiento Administrativo Común de las Administraciones
Públicas (en adelante, LPACAP), fue recogido en fecha 2 de diciembre de 2022, como
consta en el acuse de recibo que obra en el expediente. No obstante, el BURGOS CF
no respondió a este primer traslado.
TERCERO:
Con fecha de 2 de enero de 2023, la Directora de la Agencia Española de Protección
de Datos instó a la Subdirección General de Inspección de Datos (SGID) a iniciar las
actuaciones previas de investigación a las que se refiere el artículo 67 de la Ley
Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de
los derechos digitales (en adelante, LOPDGDD) para analizar las implicaciones que
pudiera tener en materia de protección de datos personales la aplicación práctica del
referido sistema biométrico en los estadios de fútbol, uno de los cuales era el
BURGOS CF.
CUARTO:
Con fecha 3 de febrero de 2023, de conformidad con el artículo 65 de la LOPDGDD,
se admitieron a trámite y acusaron recibo de la denuncia y reclamación.
QUINTO:
Siguiendo instrucciones del acuerdo de la Directora de la AEPD, la Subdirección
General de Inspección de Datos inició expediente de actuaciones previas de
investigación (AI/00444/2022) para el esclarecimiento de los hechos contenidos en la
denuncia de 4 de noviembre y en la reclamación de 7 de noviembre de 2022. Todo
ello, en virtud de las funciones asignadas a las autoridades de control en el artículo
57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad
con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD.
5.1. Partes intervinientes y documentos que forman parte del expediente.
Para esclarecer los hechos, fue necesario realizar diversos requerimientos de
información y documentación dirigidos a todas aquellas entidades que participaron en
la implantación del sistema biométrico en los estadios de fútbol de primera y segunda
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
5/54
división a nivel estatal, y en concreto, en el estadio del Plantío del BURGOS CF, tales
como:
- CONSEJO SUPERIOR DE DEPORTES (en adelante, CSD).
- COMISIÓN ESTATAL CONTRA LA VIOLENCIA, EL RACISMO, LA
XENOFOBIA Y LA INTOLERANCIA EN EL DEPORTE (en adelante,
CEVRXID).
- LIGA NACIONAL DE FUTBOL PROFESIONAL (en adelante, LALIGA)
- SOCIEDAD ESPAÑOLA DE FÚTBOL PROFESIONAL, S.A.U (en adelante,
SEFPSA)
- BURGOS CF.
Con fecha de 22 de septiembre de 2023, se emite informe de actuaciones previas de
investigación, de acuerdo con el cual se ponen en conocimiento y unen al expediente
los siguientes documentos y actuaciones realizadas:
- Las practicadas antes del inicio de las actuaciones previas, con la denuncia y
reclamación y documentos que ya han sido mencionadas en los antecedentes
primero a cuarto de este acuerdo.
- Respecto al BURGOS CF, se realizan 3 requerimientos que corren la siguiente
suerte:
1. Con fecha de 16-02-2023 se requiere por primera vez al BURGOS CF,
que es notificado por vía electrónica y postal. BURGOS CF responde al
mismo con fecha de 16-03-23 (en adelante, EscritoBurgos1).
2. Con fecha de 06-07-2023 se reitera el requerimiento al BURGOS CF,
frente al que éste responde mediante escrito de 27-07-23 (en adelante,
EscritoBurgos2).
3. Con fecha de 22-08-2023 se requiere al BURGOS CF que aporte cierta
documentación adicional, y éste responde mediante escrito de 04-09-
2023 (en adelante, EscritoBurgos3).
- Respecto a LALIGA, se realizan dos requerimientos de información. El primero de
17-02-23, es contestado con fecha de 10-03-23 (EscritoLaliga1). El segundo fue
efectuado el 06-07-23, solicitando LALIGA una ampliación de plazo que se concedió
el 13-07-23. Finalmente, LALIGA presentó alegaciones en respuesta del mismo
con fecha de 27-07-23 (EscritoLaliga2).
- Respecto al CSD, se formuló un primer requerimiento el 23-02-2023 y un segundo
de 6-07-23. En respuesta a los mismos, el CSD presenta tres escritos con fechas
de 28-03-2023 (EscritoCSD1), 21-07-23 (EscritoCSD2), y el 24-07-23 (EscritoCSD3
). Y un segundo requerimiento el 6-07-2023, frente al que respondiendo
este el 21-07-23.
- Por último, con fecha de 22-08-2023 se requiere de información a SEFPSA, reiterado
el 4-09-2023, que recibe respuesta el 15-09-2023 (EscritoSEFPSA1).
5.2. Sobre el origen y situación actual de la implantación de sistemas biométricos en
los estadios de fútbol de primera y segunda división.
De conformidad con la información recabada, y antes de analizar el caso particular del
BURGOS CF, debe hacerse referencia sucinta a las actuaciones (cronológicamente
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
6/54
ordenadas) realizadas por el inspector al objeto de dilucidar cuál fue el origen y cuál es
el estado actual de la implantación de sistemas biométricos de huella dactilar o
reconocimiento facial que se llevó a cabo de forma general para poder acceder a los
estadios de fútbol de los clubes de primera y segunda división de LALIGA.
- Con fecha de 23 de septiembre de 2015 se autoriza por el CSD la nueva
versión del Libro XII del Reglamento de la Liga (en adelante, RGLALIGA), que
está actualmente vigente, cuyo artículo XII, establece lo siguiente en sus
apartados 2, 3, y 4:
? 2. La venta de títulos o documentos de acceso de temporada o media temporada,
con independencia de su denominación, en las gradas de animación con las
características descritas en el apartado 1, requerirá que el aficionado facilite, junto con
los datos significados en el artículo 1 del presente Reglamento, aquel dato biométrico
que se determine, debiendo recabarse el consentimiento del interesado informando
claramente de las concretas finalidades para el tratamiento de los referidos datos de
carácter personal, de conformidad con la normativa vigente en materia de protección
de datos de carácter personal. En el momento de la adquisición del título de acceso,
por parte del Club/SAD afiliado, se asociará al aficionado con la filiación facilitada y el
dato biométrico.
3. LOS TÍTULOS DE ACCESO de temporada o media temporada de gradas de
animación serán personales e intransferibles, independientemente de la política
que sobre éstos tenga el Club/SAD para el resto del recinto. A tal efecto, el
Club/SAD establecerá, tanto en el documento de adquisición del título de acceso
, como en el reglamento interno correspondiente que, en dichas zonas, los espectadores
se someterán a todos aquellos controles de verificación de identidad
vigentes en cada momento, incluyendo aquellos relativos a sistemas automáticos
de carácter biométrico, así como de exhibición del título de acceso junto al
documento acreditativo de su identidad.
4. Únicamente se permitirá el acceso a las gradas de animación a los aficionados
que hayan obtenido el título de acceso a dicha zona y que, en el momento
de la entrada, se sometan a la lectura de su dato biométrico. Se denegará el acceso
en el caso de que la persona no aporte, si es requerido para ello, junto con
el dato biométrico, un documento acreditativo de su identidad que coincida con
la filiación asociada al dato biométrico y al título de acceso.?
- No se tiene constancia de que LALIGA hubiera adoptado medidas dirigidas a
exigir el cumplimiento de las obligaciones previstas en el referido artículo del RGLALIGA
hasta que la CEVRXID le instó a hacerlo. En concreto, consta acreditado que la
CEVRXID instó hasta en dos ocasiones a LALIGA para que promoviera la implantación
por los clubes de las medidas de control biométrico indicadas en el Libro XII de su
Reglamento General, exclusivamente para las gradas de animación en primera y
segunda división. En sus acuerdos hace referencia además a que su incumplimiento
dará lugar a ?las correspondientes propuestas de apertura de expedientes
sancionadores en ejercicio de su función de vigilancia y control prevista en la Ley?.
- El primer acuerdo dirigido por la CEVRXID a LALIGA fue de 15 de marzo de
2022, y dio origen al inicio de la implantación de estos sistemas por diversos clubes,
apercibiendo a estos de la posibilidad de incurrir en responsabilidad sancionadora, a los
que se comunicó este acuerdo por parte de LALIGA.
- Una vez emitido su primer acuerdo de 15 de marzo de 2022, la CEVRXID, en
su reunión de fecha 20 de octubre de 2022, acordó consultar a la AEPD
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
7/54
únicamente una cuestión relativa al cumplimiento de la normativa de protección
de datos. Concretamente, sobre la causa legitimadora y excepción aplicable a
estos tratamientos biométricos referidos se podrían efectuar al amparo de los
artículos 6.1.e y 9.2.g de la normativa de protección de datos personales en
consideración con la competencia atribuida a la CEVRXID por el artículo 13.1
de la Ley 19/2007, de 11 de julio, contra la violencia, racismo, xenofobia e
intolerancia en el deporte. No se consultó acerca de la necesidad y
proporcionalidad del tratamiento de datos biométricos ni del cumplimiento del
resto de principios y obligaciones previstas en la normativa de protección de
datos.
- El gabinete jurídico de la AEPD emitió el día 22 de diciembre de 2022 el
Informe 98/2022 en respuesta a la consulta anterior (unido por el inspector en
la Diligencia de referencias antes mencionada). El informe se apoya en varios
antecedentes previamente informados, y mantiene que en el presente supuesto
?no existía norma legal en el ordenamiento jurídico español que reuniera los
requisitos del artículo 9.2.g) del RGPD, por lo que el tratamiento únicamente
podría ampararse en el consentimiento de los afectados siempre que quedara
garantizado que el mismo es libre?.
- Tras recibir el informe referido, la CEVRXID comunicó el día 21 de marzo de
2023 a LALIGA que ?conforme a lo informado por la AEPD, el acceso a las
gradas de animación mediante datos biométricos se llevará a cabo con el
consentimiento del interesado? de forma que, ?en el caso de no contar con el
consentimiento del interesado para acceder a las gradas de animación
mediante datos biométricos, será obligatorio que los clubes/SAD dispongan de
un procedimiento que permita la identificación de todos aquellos que accedan
fuera del control biométrico?.
- Recibido el comunicado anterior, LALIGA adoptó el día 23 de marzo de 2023 la
?Circular N.º 19 de la Temporada 2022/2023, por la que se trasladaba a los
clubes lo indicado por la citada Comisión, informando asimismo del informe de
esa AEPD de 22 de diciembre de 2022?. La Circular traslada a los clubes que
?el acceso a las gradas de animación mediante datos biométricos puede
mantenerse pero siempre que exista consentimiento libre del interesado, previa
información de las concretas finalidades para el tratamiento de los datos de
carácter personal. En caso de no contar con el consentimiento de los
interesados, la CEVRXID recuerda que los espectadores de estas gradas no
estarán exentos de someterse a todos los controles de verificación de
identidad que se hallen vigentes en cada momento y, a tal fin, resulta
obligatorio que el Club o SAD cuente con un procedimiento que permita
identificarlos.?
Adicionalmente, en la fase de actuaciones previas se ha recabado asimismo la
siguiente información sobre la efectiva implantación de los sistemas biométricos para
el control de acceso a los estadios de los miembros de LALIGA. Al respecto, se
destaca lo siguiente:
- LALIGA manifiesta que tiene constancia de que 18 de sus miembros han
implementado algún sistema biométrico para el control de acceso a sus
estadios, siendo uno de ellos el BURGOS CF. El momento en que lo habrían
puesto en marcha difiere entre unos y otros, siendo la 2015-2016 temporada
más antigua referida y la 2022-2023 la más reciente. Además, de acuerdo con
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
8/54
la información provista por la Liga, en todos los casos menos en uno la
implementación de estos controles de acceso sólo se habría producido en las
?gradas de animación?.
- La Liga, a través de la entidad SEFPSA, provee a los miembros que lo solicitan
los distintos dispositivos para el accionamiento de los tornos de entrada a los
recintos deportivos, incluyendo, en su caso, los sistemas biométricos de
reconocimiento por huella dactilar. Los clubes son libres de contratar el sistema
de huella dactilar de SEFPSA o cualquier otro, siempre y cuando dispongan de
un sistema biométrico de venta de abonos y control de acceso a sus gradas de
animación.
- De acuerdo a la información facilitada, SEFPSA manifiesta que ha provisto su
solución biométrica a 15 de miembros de la Liga, siendo el sistema idéntico
para todos, y considera que no actúa ni como responsable ni como encargado
de tratamiento en este contexto, pues su labor se ciñe al suministro del
hardware y el software necesarios sin acceder a los datos personales. En esta
situación señala que no ha realizado análisis de riesgos ni evaluaciones de
impacto al respecto de los tratamientos derivados del uso de sus suministros.
- Tras la recepción de la Circular 19 de la Liga de 23 de marzo de 2023, los
clubes que tenían implementados sistemas de reconocimiento biométrico
adoptaron medidas encaminadas bien a la suspensión de este procedimiento
de acceso, bien al mantenimiento del mismo como voluntario y complementario
de otros.
- El BURGOS CF instaló el sistema biométrico de detección de huella dactilar en
la grada de animación, puerta 15, a través tres tornos, contratando el sistema
desarrollado por SEFPSAU, que parece corresponderse con SEFPSA. A partir
del 15 de febrero de 2023, antes de recibir la Circular 19 de LALIGA, optaría
por mantener la huella dactilar como sistema voluntario de acceso, remitiendo
un comunicado a sus socios que informaba de ello, así como de la posibilidad
de solicitar la supresión de sus datos biométricos. Ello se aplicó a partir del
partido contra el Albacete celebrado el 19 de febrero de 2023, según consta en
el Acta aportada en el EscritoBurgos1.
5.3. Hechos relacionados con el BURGOS CF.
Respecto al caso particular del BURGOS CF, al que se refiere el presente expediente
sancionador, cabe señalar, sucintamente, los aspectos principales y documentos
aportados por éste hasta el momento durante la fase de actuaciones previas de
investigación:
1. Respuesta de 16 de marzo de 2023 (EscritoBurgos1).
En respuesta del requerimiento realizado el 16 de febrero, se acompañan 10 Anexos, y
se realizan las siguientes manifestaciones que es necesario destacar:
- El BURGOS CF empezó a implantar el sistema biométrico de huella dactilar
como medio obligatorio para acceder a la grada de animación el 4 de noviembre
de 2022, a raíz de una auditoría que le hizo LALIGA el 27 julio de 2022. En
prueba de ello dicen acompañar la auditoría como Anexo 1, pero el citado Anexo
no se corresponde con la auditoría, sino con la ?Memoria Técnica Sistema
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
9/54
Control de Accesos Estadio el Plantío elaborado por SEFPSAU, con el logo de
LALIGA, que aparece sin fechar ni firmar.
- Acompañan como Anexo II el acuerdo de la CEVRXID con fecha de 15/03/22,
anteriormente referenciado.
- El Burgos ha aportado como Anexo V del Escrito1 la Evaluación de Impacto
Relativa a la Protección de Datos del sistema, de fecha 16 de febrero de 2023
(Informe de EIPD), firmado por la entidad DATAINFO CONSULTORÍA Y
ASESORÍA, S.L. (en adelante, DATA CONSULTING). Se observa bien que su
realización fue considerablemente posterior al inicio del tratamiento (4 de
noviembre de 2022). Su contenido y adecuación a lo exigido por la normativa de
protección de datos será analizada pormenorizadamente en los fundamentos de
derecho de este acuerdo de inicio.
- Respondiendo a varias de las cuestiones efectuadas en el primer requerimiento
de información, el BURGOS CF se identifica como responsable del tratamiento
de datos biométricos para el acceso al estadio El Plantío, informando de los
siguiente sobre el cumplimiento de la normativa de protección de datos:
-Procedencia de los datos: El propio interesado los facilita.
- Procedimiento de recogida: Presencial a través de lector de huella
dactilar.
- Plazo de supresión: Una vez terminada la temporada.
- Destinatarios: Son los 700 socios de la grada de animación, que está
en la puerta 15. No se tiene previsto ninguna cesión, salvo posibles
cumplimientos de obligaciones legales.
-Transferencias internacionales: No están previstas transferencias
internacionales salvo posibles cumplimientos de obligaciones legales.
-La finalidad del tratamiento biométrico, según el EscritoBurgos1 era
?cumplir las exigencias establecidas por La Liga y por la Comisión
Permanente de la Comisión Estatal contra la violencia, el racismo, la
xenofobia y la intolerancia en el deporte.?
-Plazo conservación de datos: por temporada, estando a la espera de
que la AEPD decida si debe proceder a su conservación o destrucción.
Se informa a los socios de ello en el Anexo VII, y se les dio la
posibilidad de solicitar la supresión en el comunicado del Anexo IV.
-Encargados del tratamiento de datos de categoría especial: no existen.
-Encargados del tratamiento de otros datos: LALIGA, la Sociedad
Española de Fútbol Profesional S.A, y Ligatech S.L.
- El BURGOS CF ha identificado las siguientes fechas relevantes sobre el
tratamiento: el día 4 de noviembre de 2022 como fecha de inicio de la recogida
de datos biométricos; el día 8 de diciembre de 2022 como fecha del primer
partido en que se realizó el tratamiento para el control de acceso a la grada de
animación; el día 15 de febrero de 2023 como fecha de finalización del
tratamiento (con carácter obligatorio) para el control de acceso a la grada de
animación; y el día 19 de febrero de 2023 como el primer partido en el que
entraron al estadio con huella dactilar sólo aquellos que accedieron
voluntariamente, entrando el resto, unos 60 con el carnet.
A este respecto, se acompaña como Anexo III del EscritoBurgos1 las 9 actas
firmadas por el Director de Seguridad del BURGOS CF y el Coordinador de
Seguridad perteneciente al Ministerio del Interior sobre los partidos celebrados en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
10/54
el Estadio El Plantío durante los años 2022 y 2023, donde se recuerda la
necesidad de realizar controles biométricos de la grada de animación. Algunas de
estas actas consignan que el estadio no disponía de sistema de identificación
biométrico para el acceso, sin perjuicio de que ya se hubiera efectuado la recogida
de huella de los aficionados (p.ej. actas de las fechas siguientes: 14 de agosto, 16
de octubre, 29 de octubre, 27 de noviembre de 2022). En otras se hace constar
que sí se ha utilizado este control para el acceso.
La finalización del sistema biométrico como sistema de acceso obligatorio y su
continuación como voluntario se acredita mediante el comunicado dirigido a sus
socios el 16 de febrero de 2023, como Anexo IV del EscritoBurgos1, en el que se
informa de que, a la vista del Informe 98/2022 de la AEPD, el sistema de huella
dactilar se mantendría para su utilización de forma voluntaria, disponiendo los
socios de una vía para solicitar la supresión de los datos biométricos registrados
en el sistema. Lo que se corrobora en el Acta del partido disputado entre el Burgos
y el Albacete el día 19 de febrero de 2023, que hace constar lo siguiente: ?El
Director de Seguridad HACE ENTREGA al coordinador de seguridad de copia de un
escrito dirigido a la Liga en el que suplica alegaciones en relación al dictamen 98/22 de la
agencia Española de protección de datos de fecha 20 de enero de 2023 declarando la
inconformidad con la normativa vigente reguladora de protección de datos, del que se
adjunta copia. Por lo que en este partido el club ha decidido que entren con huella sólo los
socios que han accedido voluntariamente a ceder dicho dato, entrando el resto, unos
sesenta, simplemente con el carné.?
- En consecuencia, el BURGOS CF ha señalado que en la actualidad el tratamiento
se encuentra suspendido ?a la espera de la terminación de este proceso ante la
AEPD para poderlo implantar con las medidas técnicas, jurídicas, y de seguridad
adecuadas?. En concreto, se especifica en el EscritoBurgos2: ?este tratamiento de
datos aún no se ha implantado y no se encuentra actualmente en funcionamiento
puesto que BURGOS CLUB DE FÚTBOL, S.A.D. está a la espera de la
terminación de este proceso ante la AEPD para poderlo implantar con las medidas
técnicas, jurídicas y de seguridad adecuadas. Por tanto, en la actualidad no se
recaba ningún dato biométrico por parte del Responsable, constituyendo las
medidas expuestas una planificación de cara a futuro.? Adicionalmente el Burgos
manifiesta que ?está a la espera de la decisión de la propia Agencia Española de
Protección de Datos sobre si se debe seguir conservando dichos datos o proceder
a su destrucción? y que ?se ha dado la opción a las personas afectadas a
suprimirlo?.
- Los documentos que acrediten el consentimiento de los interesados para el
tratamiento de sus datos personales, o documento que acredite que se les ha
proporcionado la información prevista en el artículo 13 del RGPD, antes de recoger
sus datos personales (biométricos y otros cuya aportación es obligatoria), fueron
requeridos por el inspector en dos ocasiones. No obstante, el BURGOS CF
únicamente ha facilitado como Anexos VI y VII del EscritoBurgos1 los dos modelos
que dice fueron facilitados a los interesados antes y después del 15 de febrero de
2023.
- Anexo VI. Condiciones de pertenencia, acceso y permanencia en
la grada de animación de la temporada 22-23. Utilizado antes del
15/02/23. No es un modelo de consentimiento de datos personales sino
un documento contractual, que obliga a aportar datos personales
biométricos y no biométricos (nominativos, dni, datos de contacto..).
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
11/54
- Anexo VII. Información sobre acceso a la grada de animación a
través de dato biométrico (huella dactilar). Modelo utilizado tras el
15/02/23. En el que se firma un consentimiento específico sobre
tratamiento de datos biométricos.
- Para acreditar qué medidas de seguridad se han adoptado en materia de
protección de datos, aportan como Anexo VIII el documento elaborado por la
entidad SEFPSAU, como el proveedor del hardware y el software sobre el que se
ejecuta el tratamiento de datos biométricos. Este documento facilita información
descriptiva del funcionamiento del sistema biométrico instalado en el estadio del
Burgos, de la que se extraen los siguientes puntos principales:
.
-Los datos personales recabados de cada interesado en el proceso de
registro (alta en el sistema) son nombre, apellidos, número de DNI, un
identificador generado por el sistema, y el patrón biométrico de la huella
dactilar.
-El registro del patrón biométrico de la huella dactilar se efectúa en los
puestos de microinformática de atención a los socios. El acceso a la
grada de animación se realiza a través de una única puerta que dispone
de tres tornos con posibilidad de acceso mediante identificación
biométrica. Cada uno de estos tornos dispone de varios métodos de
acceso (además de la lectura biométrica): lectura óptica de códigos de
barras o QR, y lectura inalámbrica de tarjetas con chip incorporado.
-El proceso de comparación que se realiza es de ?identificación
biométrica? (uno a varios). Así, los lectores instalados en los tornos
remiten el patrón biométrico cifrado de la huella dactilar del interesado
que está accediendo al estadio al Servidor de Gestión de Identificación
Biométrica (SGI) ubicado en las instalaciones del club, y al que sólo el
club tiene acceso. La comparación realizada en este servidor devuelve el
resultado positivo o negativo de la identificación.
-Los patrones biométricos se encuentran cifrados en todo momento con
las claves del fabricante de los dispositivos. Éste último acredita que las
claves de desencriptado únicamente son custodiadas por él y no se
encuentran a disposición de sus clientes. Adicionalmente, certifica que
una vez extraída la plantilla de la imagen de la huella dactilar, esta última
es suprimida.
-En el punto 6 hace referencia a únicamente a medidas de seguridad
específicas de los elementos o equipos técnicos.
- El Burgos ha facilitado asimismo (anexo IX del EscritoBurgos1) el contenido del
registro de actividades de tratamiento relativo al ?Control de acceso a través de
dato biométrico (huella dactilar) a Grada de Animación?.
1. Respuesta de 27 de julio de 2023 (EscritoBurgos2).
Con fecha de 6 de julio de 2023, el inspector formula nuevo requerimiento en el que se
solicita que se aporte el plan de acción de medidas de seguridad que se mencionan
pero no se aportan en la EIPD ni en ningún otro documento del EscritoBurgos1, y la
documentación acreditativa del detalle técnico de las medidas descritas en el epígrafe
?respecto del vector biométrico?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
12/54
Contestando al nuevo requerimiento, el BURGOS CF aporta como Documento 1 el
modelo de consentimiento que se firma en el momento de recogida de huella dactilar
(no los consentimientos firmados por los abonados).
Como Documento 2 aporta el documento del proveedor del sistema que explica las
medidas de seguridad relacionadas con los vectores biométricos obtenidos por el
sistema, al que se adjuntan 3 Anexos, emitidos por diversos proveedores del sistema
instalado: NITGEN (fabricante de los sensores), KIMALDI (guía para el integrador de
soluciones de biometría), y SETELSA SECURITY (sistema de control de huellas en
puesto cliente CONACWIN). De estos únicamente se extraen algunas de las
especificaciones técnicas y características del sistema biométrico utilizado, tales como
que se utiliza un vector biométrico cifrado con algoritmo AES propiedad del fabricante
NITGEN de carácter irreversible para sus propios empleados, clientes (incluyendo el
Club) y los proveedores de éstos (SEFPSAU). Estos documentos no constituyen
ningún plan elaborado de medidas de seguridad a los efectos previstos en el artículo
32 o 35.7.d) del RGPD, dirigidas a afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a
demostrar la conformidad con el presente Reglamento, teniendo en cuenta los
derechos e intereses legítimos de los interesados y de otras personas afectadas.
Se realizan asimismo diversas manifestaciones respecto al cumplimiento de los
principios previstos en el artículo 5 del RGPD, el funcionamiento del sistema a través
de vectores cifrados que captan parte de la huella y generan una plantilla, y el
protocolo aplicado en caso de brechas de seguridad, del que no se aporta copia
alguna. Y se dice expresamente que en la actualidad no se está aplicando ninguna
medida, sino que se trata de un plan de medidas a futuro dado que no se están
captando nuevos datos biométricos.
2. Respuesta de 4 de septiembre de 2023 (EscritoBurgos3).
Por último, con fecha de 22 de agosto el inspector requiere y el BURGOS CF contesta
lo siguiente, sin acompañar documento alguno:
- Que presente el documento de análisis de riesgos: se remite al contenido en la
EIPD aportada en el Escrito1.
- Que aporte información sobre los lugares en los que se almacenan los patrones
biométricos (servidores del club -SGI- o Tornos): se almacenan solo en el servidor
del club. Manifiesta, entre otros aspectos, que ?Lo normal es recoger 2 templates
por dedo y 2 dedos por abonado. El enrolamiento se realiza mediante un lector
dactilar USB de escritorio, que interactúa y se maneja desde la aplicación cliente
instalada en el equipo del Club. ? Una vez el proceso de enrolamiento finaliza, la
aplicación cliente trasmite el metadato al Servidor del Club (SGI) que lo almacena?.
(?).?El torno (lector) no almacena el patrón biométrico, tan solo sirve de emisor,
recoge el template del abonado a través del lector dactilar y se lo transmite en
bruto (vLan por IP Privada con cifrado HTTPS) al servidor del club (SGI)?.
- Que se indique las medidas de seguridad que se aplican para el almacenamiento.
No se encuentra en la respuesta un detalle específico de medidas sino una
explicación del proceso de autorización. El club explica cuando se considera a un
usuario como ?no autorizado?, la posibilidad de autorizarlo manualmente en caso
de errores. Algo importante que se dice es que el ser ?no autorizado? no implica
borrar sus datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
13/54
- Describir cómo se produce la supresión de los mismos, manifiesta que: ?cuando un
empleado autorizado del club, decida eliminar un patrón biométrico o todos ellos,
lo podrá realizar desde el sistema Conacwin, eliminándolos del único sitio en el
cual están almacenados, el Servidor del Club (SGI); dicho proceso es irreversible,
por lo que una vez eliminados no es posible su recuperación?. Se hace mención
también a las diferentes causas de baja por las que se puede desautorizar a
alguien, o de eliminación de datos.
5.4 Conclusiones.
A la vista de las actuaciones practicadas, se considera que concurren inicialmente
diversas evidencias que justifican la apertura de expediente sancionador frente al
BURGOS CF, por haber implantado un sistema biométrico basado en la detección de
huella dactilar para acceder a la grada de animación de su estadio el 4 de noviembre
de 2022 que no cumplía con varios requisitos y principios exigidos por la normativa de
protección de datos, tanto cuando se exigía como único sistema de compra de
entradas y acceso al estadio, como cuando pasó a ser voluntario el 15 de febrero de
2023.
Todo ello sin perjuicio de que las actuaciones previas realizadas puedan derivar en el
inicio de procedimientos sancionadores frente a otros posibles responsables de la
implantación de estos sistemas biométricos en los estadios de fútbol de primera y
segunda división, cuando se deduzca la concurrencia de otras infracciones de la
presente normativa.
QUINTO: De acuerdo con el informe recogido de la herramienta AXESOR, la entidad
BURGOS CLUB DE FÚTBOL, S.A.D. es una pyme que actúa como Sociedad
Anónima deportiva asociada a LALIGA, constituida en el año 2018, y con un volumen
de negocios de 1.451.967 ? euros en el año 2021.
FUNDAMENTOS DE DERECHO
I Competencia
De acuerdo con De acuerdo con los poderes que el artículo 58.2 del RGPD y según lo
establecido en los artículos 47, 48.1, 64.2 y 68.1 de la Ley Orgánica 3/2018, de 5 de
diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en
adelante, LOPDGDD), es competente para iniciar y resolver este procedimiento la
Directora de la Agencia Española de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II Datos biométricos como datos personales de categoría especial
2.1. Definición y características de los datos biométricos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
14/54
Los sistemas de procesamiento de datos biométricos se basan en recoger y procesar
datos personales relativos a las características físicas, fisiológicas o conductuales de
las personas físicas, entre las que cabe incluir las características neuronales de estas,
mediante dispositivos o sensores, creando plantillas biométricas (también
denominadas firmas o patrones) que posibilitan la identificación, seguimiento o
perfilado de dichas personas.
El RGPD define el art.4.14 datos biométricos como ?datos personales obtenidos a
partir de un tratamiento técnico específico, relativos a las características físicas,
fisiológicas o conductuales de una persona física que (?) única de dicha persona,
como imágenes faciales o datos dactiloscópicos?.
Como ya señaló el Dictamen 4/2007 del grupo de trabajo del artículo 29 (ART. 29 de la
Directiva 95/46 CE, como organismo de la UE, de carácter consultivo e independiente),
sobre el concepto de datos personales (WP136), de 20/06/2007, los datos biométricos
pueden definirse como:
?? propiedades biológicas, características fisiológicas, rasgos de la personalidad o
tics, que son, al mismo tiempo, atribuibles a una sola persona y mensurables, incluso
si los modelos utilizados en la práctica para medirlos técnicamente implican un cierto
grado de probabilidad. Ejemplos típicos de datos biométricos son los que proporcionan
las huellas dactilares, los modelos retinales, la estructura facial, las voces, pero
también la geometría de la mano, las estructuras venosas e incluso determinada habilidad
profundamente arraigada u otra característica del comportamiento (como la
caligrafía, las pulsaciones, una manera particular de caminar o de hablar, etc.). Una
particularidad de los datos biométricos es que se les puede considerar tanto como
contenido de la información sobre una determinada persona (Fulano tiene estas huellas
dactilares) como un elemento para vincular una información a una determinada
persona (este objeto lo ha tocado alguien que tiene estas huellas dactilares y estas
huellas dactilares corresponden a Fulano; por lo tanto, Fulano ha tocado este objeto).
Como tales, pueden servir de «identificadores». En efecto, al corresponder a una única
persona, los datos biométricos pueden utilizarse para identificar a esa persona.
Este carácter dual también se da en el caso de los datos sobre el ADN, que proporcionan
información sobre el cuerpo humano y permiten la identificación inequívoca
de una, y sólo una, persona.?
Todo sistema biométrico de control de acceso al estadio, para poder ser usado, ha de
registrar antes la identidad del usuario en el sistema por medio de la captura de una serie
de parámetros biométricos (en este caso, la huella de los abonados que compren títulos
de acceso para la grada de animación del estadio del BURGOS CF). De de lo que
se trata de conseguir es de realizar un procesamiento sobre esos parámetros para identificar
a la persona cada vez que luego vuelva a entrar y salir por el punto de acceso.
Un dato biométrico contenido en un sistema se almacena en forma de una plantilla o patrón
biométrico, comúnmente denominado ?vector?. Una plantilla biométrica es una forma
de escritura de una característica biométrica humana, como un rostro o una huella
dactilar, de manera que sea interpretable por una máquina de forma eficiente y eficaz
para un propósito o propósitos determinados. La plantilla biométrica no está orientada a
ser interpretada por una persona, como una fotografía, sino que está orientada a ser tratada
en un proceso automatizado, es decir, ser eficiente y eficazmente interpretable por
una máquina. Esta forma de almacenamiento permitiría singularizar a un individuo y eje-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
15/54
cutar acciones de forma automática, perfilar o inferir información sobre un sujeto como
actitudes o patrones de comportamiento, etc.
Esta tecnología puede ser realmente intrusiva y requiere de un debate ético y jurídico
sosegado, toda vez que puede tener efectos muy adversos en los valores fundamentales
y la integridad humana. Véanse solo alguna de sus características especiales y piénsese
en impacto significativo que producen cuando se comprometen estos datos, en
comparación a cuando se tratan otro tipo de datos de carácter personal:
- Los sistemas biométricos están estrechamente vinculados a una persona, dado
que pueden utilizar una determinada propiedad única de un individuo para su identificación.
Cada individuo tiene impresiones dactilares únicas que muestran características
específicas que pueden medirse para decidir si una impresión dactilar corresponde con
una muestra registrada. Por lo tanto, son únicos, permanentes o definitivos en el tiempo
y la persona no puede liberarse de ellos, no se pueden cambiar nunca, ni con la edad,
por lo que el daño creado en caso de compromiso-pérdida o intrusión en el sistema es
irreparable en este caso. A diferencia de una contraseña, en caso de pérdida, los datos
de nuestra huella dactilar o cara no se pueden cambiar.
- Además, debido a que los datos biométricos son propios de una persona y perpetuos
, el usuario puede utilizar los mismos datos en diferentes sistemas.
- Mientras que los métodos tradicionales de autenticación como las contraseñas
requieren una coincidencia del 100% de carácter por carácter para permitir que el usuario
acceda por ejemplo a una cuenta o aplicación (métodos deterministas), los métodos
de biometría se denominan ?probabilísticos?, porque se basan en la probabilidad de que
el usuario que intenta acceder a un determinado dispositivo o aplicación sea la misma
persona que el usuario registrado. Podemos medir el rendimiento de un sistema biométrico
a partir de tres características principales. Estas son: tasa de falsos rechazos
(FRR), tasa de falsas aceptaciones (FAR) y tasa de errores iguales (ERR). La tasa de
falsos rechazos representa la probabilidad de errores de detección por parte de un sistema
biométrico, lo que significa que no puede reconocer a un usuario cuyas características
biométricas ya están en la base de datos. En caso de rechazo, la persona debe verificar
su identidad de nuevo. Desde una perspectiva de seguridad y protección, esta
tasa no significa que sea necesariamente un resultado negativo. Cada método biométrico
, ya sea lectura de cara, de huella dactilar, huella palmar, iris, etc., tiene diferentes valores
para diferentes tasas en función de las cuales un sistema rechaza o acepta las entradas.
2.2. Las plantillas biométricas como datos personales de categoría especial y alto
riesgo.
De acuerdo con la definición dada por el artículo 4.14 del RGPD, los datos biométricos
tratados por estos sistemas se convertirán en datos de carácter personal siempre y
cuando la finalidad del tratamiento sea la identificación o autenticación de una persona,
en el sentido previsto en el artículo 4.1 del RGPD, que define a los datos personales
como:
?1. Datos personales: toda información sobre una persona física identificada o
identificable («el interesado»); se considerará persona física identificable toda
persona cuya identidad pueda determinarse, directa o indirectamente, en
particular mediante un identificador, como por ejemplo un nombre, un número de
identificación, datos de localización, un identificador en línea o uno o varios
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
16/54
elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona?.
En el presente supuesto no cabe duda de que se están tratando datos biométricos de
carácter personal, puesto que la finalidad del sistema implantado para la adquisición
de títulos de temporada y acceso a la grada de animación mediante huella dactilar es
identificar las personas que acceden a la grada, es determinar la identidad, directa o
indirectamente, de la persona. Toda vez que el proceso asigna un identificador (la
plantilla biométrica obtenida al recoger las muestras de huella dactilar de los
interesados) que permite singularizar a un individuo y, distinguirlo frente a otros, a
través de ?elementos propios de la identidad física, fisiológica, genética, psíquica?.
Hay que tener en cuenta que la aprobación del RGPD (posterior a la regulación del
Libro XII del RGLALIGA) ha supuesto un cambio de paradigma en materia de
protección de datos personales que pretende garantizar a los ciudadanos el control de
sus datos personales, estableciendo unos estándares de protección elevados y
adaptados al entorno digital en que vivimos. De acuerdo con el Principio de
Responsabilidad Proactiva, inspirador de la nueva regulación, el nuevo RGPD hace
hincapié en que el responsable debe evaluar seriamente los riesgos del tratamiento
que quiera establecer en los derechos y libertades de los interesados (siempre
previamente a iniciar cualquier tratamiento, y de forma continua si decide hacerlo),
optando por un enfoque de análisis de riesgos desde el diseño y por defecto, para
poder identificarlos, determinar la probabilidad de materialización y su impacto y prever
medidas y garantías que eliminen o, cuando menos, mitiguen los riesgos detectados,
evitando su materialización. Así mismo, se deben cumplir determinadas obligaciones y
respetar ciertos principios establecidos por la normativa.
Así pues, siempre que se traten datos de carácter personal, de cualquier tipo que
sean, el responsable deberá cumplir con los principios y obligaciones previstos en la
normativa de protección de datos para todo tipo de datos personales.
Todos estos deberes se acentúan exponencialmente cuando se trata de datos de
categoría especial, cuyo tratamiento es considerado de alto riesgo. Ambas
circunstancias concurren en los datos biométricos dirigidos a identificar unívocamente
a una persona, tal y como sucede en el presente supuesto.
Así pues, este cambio de paradigma ha afectado especialmente a los datos
biométricos, puesto que por una parte -a diferencia de lo que sucedía bajo el régimen
anterior al RGPD- éstos han pasado a ser considerados como datos personales de
categoría especial en el artículo 9, cuyo tratamiento está generalmente prohibido,
salvo que concurra alguna de las excepciones previstas en el artículo 9.2 del RGPD.
Lo que no exime de que siempre deba existir además una base de licitud prevista en el
artículo 6 del mismo, entre otros muchos requisitos y principios que deberá cumplir
aquel que decida optar por este tipo de tratamientos.
De acuerdo con el artículo 9.1 del RGPD, queda prohibido el tratamiento de datos
biométricos cuando sean: ?datos biométricos dirigidos a identificar de manera unívoca
a una persona física?. Si bien el considerando 51 del RGPD incluye tanto
procedimientos de identificación como de autenticación: ?pues únicamente se
encuentran comprendidas en la definición de datos biométricos cuando el hecho de
ser tratadas con medios técnicos específicos permita la identificación o la
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
17/54
autenticación unívocas de una persona física. Tales datos personales no deben ser
tratados, a menos que se permita su tratamiento en situaciones específicas
contempladas en el presente Reglamento?.
En este sentido, hay que resaltar que la calificación como datos de categoría especial
implica, necesariamente, la observancia de una especial cautela a la hora de determinar
si es posible llevar a cabo un tratamiento de datos de esta naturaleza. Entre otras
cosas, y además de existir una excepción que permita salvar la prohibición del artículo
9.1 del RGPD, de que exista una base de licitud del artículo 6 del RGPD y de que se
cumplan los principios del RGPD, el sujeto que pretenda implantar sistemas de datos
biométricos, en este caso, el BURGOS CF, deberá analizar previamente la concurrencia
de los preceptivos criterios de necesidad, idoneidad y proporcionalidad del tratamiento.
Esto es, quien pretenda instaurar un tratamiento de datos personales de esta naturaleza
debe, antes que nada, asegurarse de que se supere lo que se ha denominado en la
jurisprudencia como ?el triple juicio de proporcionalidad?, planteándose en especial si
el tratamiento de datos biométricos es idóneo, proporcionalidad, y sobre todo, necesario.
Si existen otros sistemas no biométricos que permitan conseguir la misma finalidad
de identificar-verificar la identidad de las personas con eficacia, no será necesario
iniciar tratamientos biométricos, y, por tanto, implantar este sistema se considerará
contrario al RGPD. Este juicio debe ser el punto de partida de su análisis, pues sólo en
caso de que estos métodos superen el citado triple juicio, se exigirá el cumplimiento de
otros requisitos o garantías.
Y es que, además de ser datos personales de categoría especial, el tratamiento de
este tipo de datos biométricos se considera también de ?alto riesgo?, lo que obligará
a realizar siempre una evaluación de impacto (EIPD), de acuerdo con lo previsto en el
artículo 35.1 del RGPD, debiendo esta EIPD ser previa al inicio del tratamiento, pero
realizarse a su vez de forma continua. Y no bastará con realizarla, sino que la misma
deberá considerarse válida, porque cumpla con los requisitos previstos en el citado
artículo, en especial, que contenga como mínimo la información del art. 35.7 del
RGPD.
El tratamiento de datos biométricos se considera de alto riesgo a tenor de lo previsto
en el apartado 4 del artículo 35, que dispone que ??La autoridad de control
establecerá y publicará una lista de los tipos de operaciones de tratamiento que
requieran una evaluación de impacto relativa a la protección de datos de conformidad
con el apartado 1??, dado que consta entre los tratamientos incluidos en el
documento ?Listas de tipos de tratamiento de datos que requieren evaluación de
impacto relativa a protección de datos?, hecho público por la AEPD en desarrollo de la
previsión contemplada en el apartado cuarto del referido artículo 35.
No hay duda del carácter de alto riesgo de estos datos, habida cuenta de que los
datos biométricos cumplen con los criterios correspondientes a los números 4, 5 y 10
de dicho documento (aquellos que impliquen el uso de categorías especiales de datos;
el uso de datos biométricos y los que impliquen la utilización de nuevas tecnologías o
un uso innovador de tecnologías consolidadas). Por tanto, el tratamiento de datos
biométricos nunca podrá iniciarse de no haber elaborado una EIPD válida y previa al
tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
18/54
2.3. El BURGOS CF como responsable de operaciones de tratamiento de datos
biométricos.
El artículo 4.2 del RGPD define el ?tratamiento de datos personales? como:
?cualquier operación o conjunto de operaciones realizadas sobre datos personales o
conjunto de datos personales ya sea por procedimientos automatizados o no, como
la recogida, registro, organización, estructuración, conservación, adaptación o modificación
, extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión
o destrucción;?
Los datos biométricos pueden tratarse y almacenarse de diferentes formas. A veces, la
información biométrica capturada de una persona se almacena y se trata en bruto, lo
que permite reconocer la fuente de la que procede sin conocimientos especiales; por
ejemplo, la fotografía de una cara, la fotografía de una huella dactilar o una grabación
de voz. Otras veces, la información biométrica bruta capturada es tratada de manera
que solo se extraen ciertas características o rasgos y se salvan como una plantilla biométrica
, aquí llamado ?vector?.
De acuerdo por lo señalado por el propio club, el sistema biométrico implementado por
el BURGOS CF trabaja con los datos biométricos obtenidos de una persona (huella dactilar
), a partir de los cuales un algoritmo selecciona características para crear una plantilla
biométrica. A continuación, cuando el aficionado entra en el estadio, pasa un control
de acceso en el que el sistema coteja la identidad de la persona con la base de datos
biométrica. Puede hacerlo en un segundo, mientras compara cientos de millones de datos.
Esto es, las características biométricas se someten a un tratamiento técnico mediante el
cual se reconoce a una persona a través de un proceso cronológico que se contiene en
todos los tratamientos de datos biométricos: su captura o registro de datos con su siguiente
almacenamiento o procesamiento y la fase de comparación o correspondencia,
la conservación de los datos, así como su posterior supresión, limitación?etc.
Por tanto, el proceso de identificación incluye necesariamente la realización de varias
operaciones de tratamiento (recogida o captura de datos, registro, almacenamiento, procesamiento
, comparación, autenticación, conservación, supresión, limitación?etc) de
las que solo el BURGOS CF fue responsable a los efectos previstos en el artículo 4. 7
del RGPD, que dispone: ? 7) «responsable del tratamiento» o «responsable»: la persona
física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros,
determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados
miembros determina los fines y medios del tratamiento, el responsable del tratamiento o
los criterios específicos para su nombramiento podrá establecerlos el Derecho de la
Unión o de los Estados miembros?.
En definitiva, cuando el BURGOS CF implantó un nuevo sistema de detección de huella
dactilar para la identificación-verificación de la identidad de personas físicas (en lugar
del método habitual de comprobación de identidad mediante DNI, y título de compra a
través de lector QR, o chip en tarjeta) debió ser consciente de que iba a pasar a ser res-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
19/54
ponsable de fijar los fines y medios de varias operaciones de tratamiento de datos de
categoría especial y de alto riesgo.
De las evidencias que obran hasta el momento en el expediente, y sin perjuicio de lo
que resulte en la instrucción, se deduce inicialmente que el club implantó este sistema
cuando ya contaba con un sistema de identificación-autenticación de la identidad de las
personas que accedían a la grada de animación de su estadio que era mucho menos intrusivo
, con el que se obtenía idéntica finalidad, por lo que el tratamiento biométrico no
debió iniciarse nunca en estas condiciones.
Pero además de iniciar este tratamiento sin que fuera necesario y proporcional, existen
evidencias de que el tratamiento se realizó incumpliendo muchas otras obligaciones previstas
en la normativa de protección de datos cuando estamos ante la presencia de datos
personales biométricos de las que se deriva la presunta comisión de otras 4 posibles
infracciones administrativas. Nos referiremos así en los Fundamentos de Derecho III a
VII de este acuerdo a la falta de concurrencia de una excepción que levantase la prohibición
de tratar datos biométricos del artículo 9 del RGPD, a no elaborar, ni superar una
EIPD previa al tratamiento, sino tardía e inválida, incumplir con los deberes de información
relacionados en el artículo 13 del RGPD, y no recabar el consentimiento de los padres
o tutores legales de los menores de 14 años al que se refiere el artículo 8 del
RGPD.
En definitiva, visto el sistema de huella dactilar que fue implantado el BURGOS CF a
partir del 4 de noviembre de 2022 de las evidencias obtenidas hasta el momento y sin
perjuicio de lo que pueda deducirse en la fase de instrucción, se deduce que el Club
no actuó con la diligencia exigida a un responsable de tratamiento de datos de
categoría especial y alto riesgo como los biométricos, cometiendo hasta 5 infracciones
administrativas del RGPD, en los términos que se exponen a continuación en los
Fundamentos de Derecho III al VII de este Acuerdo de Inicio.
III. Sobre la necesidad de realizar una evaluación de impacto previa y adecuada al
tratamiento.
5.1. Obligación y requisitos legales de la evaluación de impacto (EIPD) en tratamientos
de alto riesgo.
Tal y como se ha expuesto anteriormente, antes de implantar un proyecto de
tratamiento de datos basado en esta tecnología tan intrusiva, es preciso también
auditar previamente su funcionamiento, no de forma aislada sino en el marco del
tratamiento concreto en que se va a emplear (en este caso, venta de abonos y acceso
a la grada de animación del estadio del BURGOS CF).
La evaluación de impacto en la protección de datos personales, EIPD, aparece
entonces como la herramienta exigida por el RGPD para garantizar que se cumple con
esta vertiente del tratamiento, según lo establecido en el artículo 35 en su apartado- 1
del RGPD,
?Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías
, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los
derechos y libertades de las personas físicas, el responsable del tratamiento realiza-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
20/54
rá, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento
en la protección de datos personales??
Como ya se ha indicado, el tratamiento de datos biométricos ha sido calificado de alto
riesgo por la AEPD, en virtud de lo previsto en el artículo 35.4, por lo que debemos
partir de la base de que el tratamiento de datos biométricos que inició el BURGOS CF
tras su comunicado de 4 de noviembre de 2022 debió estar precedido de una
evaluación de impacto válida, que incluyese como mínimo los apartados previstos en
el artículo 35.7 del RGPD. Ello implica que no basta con realizar una EIPD, sino que
habrá que superarla para cumplir con el RGPD.
Esta evaluación se hará con carácter previo al inicio del tratamiento, pero deberá
entenderse como una evaluación continua o periódica, en el sentido establecido por el
artículo 35.11 del RGPD, que dispone: ?En caso necesario, el responsable examinará
si el tratamiento es conforme con la evaluación de impacto relativa a la protección de
datos, al menos cuando exista un cambio del riesgo que representen las operaciones
de tratamiento.?
Una EIPD debe cumplir con los requisitos o contenido mínimo relacionado en el artículo
35.7 del RGPD, que dispone:
?La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los
fines del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por
el responsable del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento
con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados a
que se refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar
la conformidad con el presente Reglamento, teniendo en cuenta los derechos
e intereses legítimos de los interesados y de otras personas afectadas?.
En definitiva, la superación de una EIPD exige que el responsable de un tratamiento
de alto riesgo documente por escrito que supera la evaluación de idoneidad,
necesidad y proporcionalidad del tratamiento, y que gestione desde el diseño los
riesgos específicos del tratamiento, con la aplicación práctica de medidas orientadas a
los mismos de forma que se garantice un umbral de riesgo aceptable durante todo el
ciclo de vida del tratamiento, tal como se establece en el artículo 35 del RGPD.
Además, obliga a la consulta previa a la autoridad de control en caso de que el
responsable no haya tomado medidas que permitan mitigar el riesgo de acuerdo al
artículo 36 del RGPD.
5.2. Incumplimiento del deber de presentar una EIPD por parte del BURGOS CF.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
21/54
En el presente supuesto, el club ha facilitado (Anexo V del EscritoBurgos1) el
documento ?Informe de Evaluación de Impacto Relativa a la Protección de Datos?
(Informe de EIPD) de fecha 15 de febrero de 2023 realizado por un tercero (DATAINFO
CONSULTORÍA Y ASESORÍA, S.L.). Pero el inicio del tratamiento se produjo el 4 de
noviembre de 2022, según reconoce el propio BURGOS CF.
Esta EIPD es posterior al inicio del tratamiento biométrico, puesto que comenzando el
tratamiento el 4 de noviembre de 2022, la fecha de la EIPD es de 15 de febrero de
2023, lo que pone de manifiesto que durante más de tres meses se llevó a cabo un
tratamiento de datos biométricos sin cumplir con la obligación prescrita en el artículo
35 del RGPD.
Queda, por tanto, reconocido y acreditado que el BURGOS CF inició el tratamiento el
4 de noviembre de 2022 sin haber realizado previamente una EIPD, por lo que se
infringió claramente lo previsto en el artículo 35.1 del RGPD, que impide efectuar
ningún tratamiento de alto riesgo -como el de datos biométricos- sin haber realizado
previamente una EIPD, que analice la finalidad, los riesgos, el juicio de
proporcionalidad del tratamiento, y, en su caso, las medidas a prever para proteger los
datos personales.
IV Concurrencia de una excepción del artículo 9 del RGPD, y base legitimadora del
artículo 6 del RGPD.
4.1. Sobre la necesidad de que concurra excepción a la prohibición del tratamiento de
datos biométricos.
Como ya se ha indicado, los datos biométricos, catalogados como de ?categoría
especial?, en el artículo 9, tanto del RGPD, como de la LOPDGDD, son datos
personales de cuyo uso pueden desprenderse riesgos significativos para los derechos y
las libertades fundamentales, y por ello, en principio su tratamiento está prohibido en el
artículo 9.1 del RGPD, salvo que concurra alguna de las excepciones previstas en el
párrafo 2 del mismo artículo.
Otro de los requisitos adicionales de este tipo de tratamientos será por tanto que
previamente a iniciar el tratamiento el responsable deberá también comprobar y
acreditar que concurra una de las excepciones previstas en el artículo 9.2 del RGPD u
otra legislación específica.
De este modo, estando prohibido su tratamiento con carácter general, cualquier
excepción a dicha prohibición habrá de ser objeto de interpretación restrictiva. Tal y
como se deduce de los considerandos 51 y 52 del RGPD, que ponen de manifiesto:
?Tales datos personales no deben ser tratados, a menos que se permita su
tratamiento en situaciones específicas contempladas en el presente Reglamento,
habida cuenta de que los Estados miembros pueden establecer disposiciones
específicas sobre protección de datos con objeto de adaptar la aplicación de las
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
22/54
normas del presente Reglamento al cumplimiento de una obligación legal o al
cumplimiento de una misión realizada en interés público o en el ejercicio de poderes
públicos conferidos al responsable del tratamiento. Además de los requisitos
específicos de ese tratamiento, deben aplicarse los principios generales y otras
normas del presente Reglamento, sobre todo en lo que se refiere a las condiciones
de licitud del tratamiento. Se deben establecer de forma explícita excepciones a la
prohibición general de tratamiento de esas categorías especiales de datos
personales, entre otras cosas cuando el interesado dé su consentimiento explícito o
tratándose de necesidades específicas, en particular cuando el tratamiento sea
realizado en el marco de actividades legítimas por determinadas asociaciones o
fundaciones cuyo objetivo sea permitir el ejercicio de las libertades fundamentales.
?Asimismo deben autorizarse excepciones a la prohibición de tratar categorías
especiales de datos personales cuando lo establezca el Derecho de la Unión o de los
Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger
datos personales y otros derechos fundamentales, cuando sea en interés público, en
particular el tratamiento de datos personales en el ámbito de la legislación laboral, la
legislación sobre protección social, incluidas las pensiones y con fines de seguridad,
supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles
y otras amenazas graves para la salud (...)?
Así las cosas, las excepciones que posiblemente podrían permitir el levantamiento de la
prohibición general de tratar datos biométricos dirigidos a identificar-verificar la identidad
de personas físicas, son las que prevé el artículo 9.2. del RGPD, con el siguiente tenor
literal, que deberá interpretarse restrictivamente, siempre en favor de proteger los
derechos y libertades de los ciudadanos en caso de duda:
?2. El apartado 1 no será de aplicación cuando concurra una de las circunstancias
siguientes:
a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos
personales con uno o más de los fines especificados, excepto cuando el Derecho de
la Unión o de los Estados miembros establezca que la prohibición mencionada en el
apartado 1 no puede ser levantada por el interesado;?
b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de
derechos específicos del responsable del tratamiento o del interesado en el ámbito
del Derecho laboral y de la seguridad y protección social, en la medida en que así lo
autorice el Derecho de la Unión o de los Estados miembros.
c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física, en el supuesto de que el interesado no esté capacitado, física o
jurídicamente, para dar su consentimiento;
d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las
debidas garantías, por una fundación, una asociación o cualquier otro organismo sin
ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que
el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales
organismos o a personas que mantengan contactos regulares con ellos en relación
con sus fines y siempre que los datos personales no se comuniquen fuera de ellos
sin el consentimiento de los interesados;
e) el tratamiento se refiere a datos personales que el interesado ha hecho
manifiestamente públicos;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
23/54
f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de
reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;
g) el tratamiento es necesario por razones de un interés público esencial, sobre la
base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional
al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y
establecer medidas adecuadas y específicas para proteger los intereses y derechos
fundamentales del interesado;
h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación
de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o
tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de
asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados
miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las
condiciones y garantías contempladas en el apartado 3;
i) el tratamiento es necesario por razones de interés público en el ámbito de la salud
pública, como la protección frente a amenazas transfronterizas graves para la salud,
o para garantizar elevados niveles de calidad y de seguridad de la asistencia
sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho
de la Unión o de los Estados miembros que establezca medidas adecuadas y
específicas para proteger los derechos y libertades del interesado, en particular el
secreto profesional.
j) el tratamiento es necesario con fines de archivo en interés público, fines de
investigación científica o histórica o fines estadísticos, de conformidad con el artículo
89, apartado 1, sobre la base del Derecho de la Unión o de los Estados miembros,
que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho
a la protección de datos y establecer medidas adecuadas y específicas para proteger
los intereses y derechos fundamentales del interesado?.
Por tanto, además de comprobar previamente que el tratamiento supera el juicio de
proporcionalidad, si el responsable no acredita que su tratamiento está dentro de alguna
de estas excepciones, no podrá siquiera iniciar el tratamiento sin incurrir en una
infracción del artículo 9 del RGPD.
4.2. Necesidad de base de licitud del tratamiento del artículo 6.1.
Además de levantar la prohibición sobre su tratamiento, el responsable debe acreditar
también que su tratamiento se puede realizar porque concurre una de las bases
jurídicas legitimadoras del tratamiento contenidas en el artículo 6.1 del RGPD, que son
requisito general para el tratamiento de cualquier dato de carácter personal. Esto es, la
concurrencia de excepción que hipotéticamente permita levantar la prohibición de tratar
datos biométricos no será suficiente, no sustituye a la necesidad de que a su vez exista
una base de licitud en el caso de los biométricos. El responsable debe estar en
disposición de acreditar que concurren ambas, además de que se supera el juicio de
proporcionalidad antedicho, y así sucesivamente, respecto al resto de requisitos
previstos en la normativa. Por ello hablamos de ?requisitos cumulativos? y no
alternativos.
Así pues, el artículo 6 del RGPD parte también del hecho de que tratar datos personales
en general es algo excepcional, manteniendo que:
?1. El tratamiento solo será lícito si se cumple al menos una de las siguientes
condiciones (comúnmente denominadas como ?base de licitud?):
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
24/54
a) el interesado dio su consentimiento para el tratamiento de sus datos personales
para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el
interesado es parte o para la aplicación a petición de este de medidas
precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable
al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra
persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en
interés público o en el ejercicio de poderes públicos conferidos al responsable del
tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos
por el responsable del tratamiento o por un tercero, siempre que sobre dichos
intereses no prevalezcan los intereses o los derechos y libertades fundamentales del
interesado que requieran la protección de datos personales, en particular cuando el
interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento
realizado por las autoridades públicas en el ejercicio de sus funciones?.
Por tanto, en caso de que no concurra una base de licitud, a las infracciones
anteriormente mencionadas, se añadiría una infracción del artículo 6 del RGPD.
4.3. Análisis de la concurrencia de una excepción y una base de licitud en el supuesto
presente.
Por lo que respecta al caso que nos ocupa, el BURGOS CF hace referencia a estas
cuestiones en lo que denomina como análisis de ?legitimación y licitud?, del punto 1.3
de la EIPD de 15 de febrero de 2023), donde se hace referencia tanto la excepción
concurrente como la base de licitud que presuntamente legitiman el tratamiento biométrico
para la finalidad de controlar el acceso a la grada de animación de su estadio. En
este sentido, el BURGOS distingue claramente dos periodos (anterior y posterior a la
EIPD) en los que ha existido un cambio de criterio de la base legitimadora y excepción
que sustentaba la posibilidad de tratar datos biométricos.
Se expresa que la legitimación para el uso del sistema con anterioridad al 15 de
febrero de 2023 se sustentaba en el cumplimiento de una obligación legal y que el
levantamiento de la prohibición de tratar datos de categorías especiales se sustentaba
en los apartados b y g del artículo 9.2 del RGPD, y en la base de licitud del 6.1.c). A
partir del 15 de febrero de 2023 (tras el acuerdo de la CEVRXID de esa misma fecha),
la EIPD expresa que el tratamiento se ampara en el consentimiento de los interesados,
de acuerdo con el artículo RGPD: 9.2.a) y 6.1.a) del RGPD), cuyos interesados son las
personas con acceso a la Grada de Animación de Estadio El Plantío.
Así pues, por lo que respecta a la base de licitud del tratamiento del artículo 6 del
RGPD, se alega la concurrencia de una base de licitud del artículo 6.1.c) (cumplimiento
de una obligación legal) antes del 15 de febrero de 2023, pero después de esa fecha
en adelante se dice asumir que la base es la del 6.1, sin indicar exactamente a
qué letra/causa se refieren. Admiten que el cumplimiento de una obligación legal no
puede ser la base según lo indicado en el Informe 98/22 del gabinete jurídico de esta
Agencia, y dicen cambiar la excepción concurrente. Pero no dan ninguna otra alternativa
respecto a la base de licitud, confundiendo excepción con base de licitud.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
25/54
Si bien esta omisión de señalar la base de licitud que concurre en el tratamiento puede
afectar a la validez de la EIPD, lo cierto es que para valorar si concurre una infracción
del artículo 6 del RGPD, lo principal es comprobar que realmente exista una base jurídica
legal, aunque el responsable no la haya determinado correctamente ni incluido en
la EIPD.
Y en este caso, puede establecerse que de inicio si existe base de licitud que habilita
al club a realizar tratamientos de datos personales en general (no para los biométricos,
pues ello supone que además deberá concurrir una excepción del artículo 9). En
concreto, la referida en el artículo 6.1.b), que se refiere a que: ?el tratamiento es
necesario para la ejecución de un contrato en el que el interesado es parte o para la
aplicación a petición de este de medidas precontractuales?. Toda vez que la
adquisición de una entrada o abono de temporada constituye la creación de un vínculo
contractual entre el adquirente y el club, que se rige por las condiciones previstas en el
anverso y reverso de la entrada/abono y el documento de condiciones que el club
aporta como Anexo VI de su primer escrito de alegaciones. Por tanto, no cabe
inicialmente imputar una infracción del artículo 6 del RGPD.
Ahora bien, pese a que concurría una base de licitud, ello legitimaba al club para tratar
otros datos personales no biométricos, ya requeridos habitualmente para acceder por
los métodos de acceso anteriores, pero no legitimaba en ningún caso a iniciar un
tratamiento biométrico si además no existe una excepción del artículo 9.2 que le
permitiese levantar la prohibición de tratar datos biométricos.
La concurrencia de falta de excepción que permitiese tratar datos biométricos antes de
la EIPD es clara y meridiana, pues se reconoce por el propio Club. No es una cuestión
discutida.
- Por una parte, tenemos que el Club reconoce haber iniciado un tratamiento de
datos biométricos sin recabar un consentimiento expreso y para el fin específico al
que se refiere la excepción del artículo 9.2.a), puesto que el sistema biométrico era
obligatorio, no se daba la opción de un método de acceso alternativo, y el
aficionado de esta grada de animación estaba obligado a proporcionar sus datos
biométricos para adquirir el abono y acceder a la grada. Ello se corrobora por el
contenido del modelo que se firmaba hasta el 15 de febrero de 2023 (Anexo VI),
que ni siquiera tiene la consideración de modelo de consentimiento sobre
protección de datos, constituyendo un simple documento contractual que señala
las condiciones de pertenencia, acceso y permanencia que el adquirente debe
firmar para poder adquirir el bono. Consta acreditado y reconocido en
consecuencia que antes de la EIPD, el club no estuvo recabando un
consentimiento para protección de datos biométricos que pudiera encajar en la
excepción del artículo 9.2.a).
- Por otra parte, el club reconoce que las excepciones del 9.2.b) y 9.2.g)
(cumplimiento obligación legal e interés público esencial) no justifican el
tratamiento de estos datos, asumiendo la interpretación realizada por el Informe nº
98/2022 de esta Agencia, como también lo han hecho la CEVRXID y LALIGA. Y en
base a ello, alegan haber cambiado de excepción al consentimiento expreso del
9.2.a) a partir del 15 de febrero de 2023.
Ello implica, sin lugar a dudas, que entre el 4 de noviembre de 2022 y el 15 de febrero
de 2023, el BURGOS CF inició un tratamiento de datos biométricos sin que
concurriese una excepción que levantase la prohibición de tratar estos datos.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
26/54
En consecuencia, cabe iniciar asimismo procedimiento sancionador por vulneración
del artículo 9 del RGPD, toda vez que existe un reconocimiento por parte del
denunciado y evidencias suficientes de que se inició el tratamiento biométrico sin
concurrir ninguna excepción legal que lo justificase hasta el 15 de febrero de 2023.
V Sobre la exigencia de que el tratamiento sea necesario, idóneo y proporcional
Una de las obligaciones que corresponden a todo responsable de tratamiento de datos
personales está asegurarse de que el tratamiento respeta los Principios previstos en el
artículo 5 del RGPD.
En el caso de datos biométricos, por ser de categoría especial y alto riesgo, cabe
destacar la importancia esencial de respetar el principio de minimización del
tratamiento/datos, previsto en el artículo 5.1.c) que indica:
?1. Los datos personales serán:
a) adecuados, pertinentes y limitados a lo necesario en relación con los fines
para los que son tratados («minimización de datos»)?.
El respeto de este principio deberá ser el punto de partida del inicio de todo
tratamiento, debiendo plantearse el responsable primero que nada si este tratamiento
será realmente necesario, idóneo, y proporcional antes de iniciarlo. Y si este
tratamiento es de alto riesgo -caso de los biométricos- deberá reflejar esta evaluación
previa de necesidad y proporcionalidad en un documento especifico denominado
evaluación de impacto de protección de datos personales (EIPD), de acuerdo con lo
previsto en el artículo 35.7.b) del RGPD, que dispone que deberá realizarse y
superarse ?una evaluación de la necesidad y la proporcionalidad de las operaciones
de tratamiento con respecto a su finalidad ?.
Ello se confirma por el considerando 39 del RGPD, que subraya la importancia de que el
tratamiento sea necesario, indicando que ?Los datos personales solo deben tratarse si
la finalidad del tratamiento no pudiera lograrse razonablemente por otros medios.?
En la misma línea, el Grupo de Trabajo del artículo 29, en su Dictamen 3/2012 sobre la
evolución de las tecnologías biométricas, indica que ?Al analizar la proporcionalidad de
un sistema biométrico propuesto, es preciso considerar previamente si el sistema es
necesario para responder a la necesidad identificada, es decir, si es esencial para
satisfacer esa necesidad, y no solo el más adecuado o rentable. Un segundo factor que
debe tenerse en cuenta es la probabilidad de que el sistema sea eficaz para responder
a la necesidad en cuestión a la luz de las características específicas de la tecnología
biométrica que se va a utilizar. Un tercer aspecto para ponderar es si la pérdida de
intimidad resultante es proporcional a los beneficios esperados. Si el beneficio es
relativamente menor, como una mayor comodidad o un ligero ahorro, entonces la
pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la adecuación de
un sistema biométrico es considerar si un medio menos invasivo de la intimidad
alcanzaría el fin deseado?.
Idea que se reitera en el apartado 72, de las Directrices 3/2019 sobre el tratamiento de
datos personales mediante dispositivos de vídeo, de 29/01/2020, del CEPD, que indica:
?El uso de datos biométricos y, en particular, del reconocimiento facial conllevan
elevados riesgos para los derechos de los interesados. Es fundamental que el recurso a
dichas tecnologías tenga lugar respetando debidamente los principios de licitud,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
27/54
necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD.
Aunque la utilización de estas tecnologías se pueda percibir como particularmente
eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los
derechos y libertades fundamentales y considerar medios menos intrusivos de lograr su
fin legítimo del tratamiento. Es decir, habría que responder la cuestión de si esta
aplicación biométrica es algo que realmente es imprescindible y necesaria, o es solo
?conveniente?.
Por tanto, realizar un tratamiento de datos personales que no sea idóneo (adecuado)
necesario y proporcional está siempre prohibido, y constituye por sí sola la comisión de
una infracción administrativa del artículo 5.1.c) del RGPD.
Puesto que el tratamiento de datos biométricos, implica restringir derechos y libertades
de los interesados, la obligación de tratar únicamente ?los datos personales que sean
adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que
son tratados? prevista por el principio de minimización de datos/tratamiento del artículo
5.1.c) del RGPD, debe interpretarse de conformidad con lo previsto por la reiterada
jurisprudencia de nuestro Tribunal Constitucional respecto a la necesidad de constatar
que toda medida restrictiva de derechos fundamentales (tratamiento biométrico en este
caso) supera lo que se denomina como ?el triple juicio de proporcionalidad?.
Ello implica que, antes que nada, es necesario constatar si cumple los tres siguientes
requisitos o condiciones a los que se refiere el Tribunal Constitucional: «si tal medida es
susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si, además, es
necesaria, en el sentido de que no exista otra medida más moderada para la
consecución de tal propósito con igual eficacia (juicio de necesidad); y, finalmente, si la
misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajas para
el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de
proporcionalidad en sentido estricto)?.
A la vista de los antecedentes obrantes en este expediente, el club denunciado manifiesta
haber realizado en su EIPD de 15 de febrero de 2023 una evaluación de idoneidad
, necesidad y proporcionalidad del tratamiento biométrico para la finalidad de controlar
el acceso a la grada de animación de su estadio mediante huella dactilar. Procede,
por tanto, analizar si el tratamiento pretendido supera el denominado triple juicio de proporcionalidad
, lo que de acuerdo con la referida doctrina del Tribunal Constitucional supone
analizar lo siguiente:
1. Si el tratamiento es susceptible de conseguir el objetivo propuesto (juicio de
idoneidad).
Se trata de determinar si el tratamiento es adecuado para el fin que persigue. Que
el tratamiento sea la respuesta a determinadas carencias, demandas, exigencias
como obligaciones u oportunidades objetivas y puede conseguir los objetivos propuestos
con la eficacia suficiente.
Requerido sobre el ?Juicio de idoneidad? por el inspector, el BURGOS CF remite a
su respuesta al respecto en la EIPD de 15 de febrero de 2023, que indica lo
siguiente: ?Con esta medida se consigue de una manera más eficaz el objetivo
fijado de garantizar la seguridad en los partidos a partir de una misión realizada
en interés público, con una legitimación basada en el consentimiento expreso, ya
que es el método más fiable que tenemos actualmente según la técnica de poder
verificar la identidad de una persona. Por otra parte, la instalación de sistemas de
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
28/54
reconocimiento biométrico es la única vía para poder dar cumplimiento a los
requerimientos de la Comisión Estatal contra la Violencia, el Racismo, la
Xenofobia y la Intolerancia, así como a las órdenes impuesta por La Liga?.
Efectivamente, se ha constatado que el BURGOS CF ya disponía de otros dos
métodos de adquisición de entradas y acceso a la grada de animación antes del 4
de noviembre de 2022, a cuyo detalle se hará referencia en el juicio de necesidad.
Por lo que respecta a los argumentos esgrimidos respecto a la idoneidad, el club
se limita a indicar que el control biométrico es más eficaz que el sistema de
acceso anterior por ser el método más fiable, pero no lo acredita. Más bien al
contrario, teniendo en cuenta que el sistema biométrico genera tasas de falsa
aceptación, falsos rechazos y errores iguales, tal y como se ha indicado
anteriormente. Estos errores se añaden a los que ya se pueden producir al utilizar
los lectores del código QR, de barras o tarjeta chip utilizados en otros sistemas de
acceso. Y es que hay que tener en cuenta que lo que el juicio de idoneidad,
necesidad y proporcionalidad debe evaluar es la eficacia del sistema para la
protección de los derechos y libertades de los interesados que proporcionan su
dato biométrico, y no los que favorezcan a la organización.
Por otra parte, el hecho de que la CEVRXID y LALIGA le hubieran ordenado
establecer este sistema biométrico no supone de por sí que este sistema sea
idóneo, ni tampoco necesario o proporcional. Que exista un mandato de una
entidad superior no justifica al responsable para no evaluar si este sistema es
idóneo, necesario, o proporcionalidad previamente a instalarlo en su estadio.
Por último, tampoco cabe admitir que el tratamiento de datos biométricos fuera
idóneo, necesario o proporcional por empezar a basarse el sistema en el
consentimiento expreso, dado que la necesidad el tratamiento es una cuestión
previa y ajena a lo que pueda constituir la excepción del artículo 9 del RGPD y la
base jurídica legitimadora del artículo 6 del RGPD. Así, aun cuando pueda
constituir una causa para levantar la excepción del artículo 9, no afecta en nada al
juicio de proporcionalidad. Máxime cuando se trata del juicio de necesidad, puesto
que, tal y como indica la jurisprudencia de nuestro TC, la necesidad no puede
depender nunca de lo que decida el afectado.
1. Si, además, es necesaria, en el sentido de que no exista otra medida más moderada
para la consecución de tal propósito con igual eficacia (juicio de necesidad).
Se trata de que hay que determinar si la finalidad perseguida no puede alcanzarse de
otro modo menos lesivo o invasivo, es decir si no si no existe un tratamiento alternativo
que sea igualmente eficaz para el logro de la finalidad perseguida.
La necesidad no debe confundirse con utilidad del sistema. Puede que la detección
de huella dactilar facilite el no tener que llevar una tarjeta, que se tarde unos segundos
menos en su acceso, que sea automático e instantáneo y no excesivamente costoso.
Obviamente, un sistema de huella dactilar puede ser útil, pero no tiene por qué
ser objetivamente necesario (siendo esto último lo que realmente debe estar presente
). Como establece el dictamen 3/2012 sobre la evolución de las tecnologías biométricas-
del GT 29-, debe examinarse ?si es esencial para satisfacer esa necesidad, y
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
29/54
no solo el más adecuado o rentable?. Se han de analizar las opciones y alternativas
antes de instaurar un sistema nuevo que supone una exagerada limitación del derecho
de cada usuario, cuando pueden existir medios menos invasivos de la intimidad,
y no optar por lo práctico o ágil y cómodo, cuando están en juego derechos de sus titulares.
Así pues, el responsable que se plantee implantar un tratamiento de datos
biométricos debe ser escrupuloso en su labor de analizar exhaustivamente todas las
opciones alternativas que sean igual de idóneas y eficaces, pero menos intrusivas
disponibles. Por consiguiente, se han de documentar junto con la EIPD el estudio de
la viabilidad de otras posibles opciones alternativas disponibles que no requieran el
uso de datos especiales, comparar todas las opciones y documentar las
conclusiones. Lo que no se ha hecho por el BURGOS CF. Pese a manifestar que
existen otras dos alternativas al método de acceso biométrico disponibles, no realiza
ni adjunta a su EIPD ningún análisis referido a las diferencias e impacto de aplicar el
método biométrico frente a otras opciones alternativas desde el punto de vista de los
riesgos e impacto producido en los derechos y libertades de los interesados.
La evaluación de necesidad realizada por el BURGOS CF en la EIPD es del todo insuficiente
para justificar el tratamiento de datos biométricos. Para valorar la necesidad
del tratamiento, la medida propuesta debe estar respaldada por pruebas que
describan el problema que se va a abordar con las medidas, cómo este se abordará
con la medida, y porqué las medidas existentes o menos intrusivas no pueden abordarlo
de forma suficiente.
Así pues, según lo que ha manifestado el BURGOS CF y se observa en el Anexo I
del EscritoBurgos1, existen otras alternativas preexistentes que ya se utilizaban
anteriormente para verificar la identidad de los aficionados que accedían a la grada
de animación: ?El acceso a la grada de animación se realiza a través de una única
puerta que dispone de tres tornos con posibilidad de acceso mediante identificación
biométrica. Cada uno de estos tornos dispone de varios métodos de acceso
(además de la lectura biométrica): lectura óptica de códigos de barras o QR, y
lectura inalámbrica de tarjetas con chip incorporado?.
Según el club, las modalidades preexistentes a la huella dactilar figuran siempre
como un ?acceso? al que se puede volver, respecto del que no existe más registro o
log que el paso de la citada entrada por los tornos por los que esas personas
acceden.
Así pues, los títulos de abono para la grada de animación, forma que adoptan los
títulos de acceso, contienen datos personales que el denunciado exigió para su
expedición (nombre, DNI etc.), facultad que le otorga al organizador del evento por la
normativa de venta de entradas y acceso a recintos deportivos, y supone la creación
de una relación jurídica entre las partes de carácter contractual. Son también estos
mismos datos que contienen la tarjeta de abono en sus diversas modalidades
(QR/tarjeta chip) los que sirven de base para instrumentar el registro y uso de la
huella dactilar.
Luego, ello implica que en las gradas de animación del estadio El Plantío existen 3
posibles sistemas de acceso, siendo dos de ellos no biométricos y anteriores a la
implantación del sistema biométrico. A la vista de lo manifestado por el propio
BURGOS CF, estos dos sistemas dejaron de utilizarse entre el 4 de noviembre de
2022 y el 15 de febrero de 2023, durante el periodo en el que se implantó el sistema
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
30/54
biométrico como obligatorio, quedando nuevamente disponibles y operativos desde
entonces.
Se manifiesta también que desde el 15 de febrero de 2023 se han dejado de
recoger datos biométricos nuevos y exigir el control biométrico en los estadios,
estando este sistema suspendido hasta que la AEPD determine qué hacer. Pero se
alude a que el control biométrico continúa utilizándose para acceder a la grada de
animación por aquellos abonados que opten por éste voluntariamente, Y también
que los datos se conservan hasta la finalización de la temporada, aunque todavía
se conservan en este momento, a la espera de que se determine qué hacer.
Consta así acreditado que el Club denunciado disponía y dispone de dos
modalidades de verificación de identidad que claramente resultan menos intrusivas
para los derechos de las personas que acceden al estadio, e identifican al abonado
con la misma eficacia que los sistemas biométricos. Toda vez que se puede acceder
con la tarjeta física o con el abono en el móvil (chip NFC) o lectura del código QR de
la tarjeta de abonado, cuya identidad puede comprobarse con la simple exhibición
del DNI. Sistema que ya venía funcionando antes de la implantación del sistema de
lector por huella dactilar.
En consecuencia, si existen alternativas disponibles para que en un momento dado
todos los aficionados opten por un acceso no biométrico, y se articula un
consentimiento libre, expreso y específico que permita optar entre estos otros
métodos menos intrusivos y los biométricos, ello implica que el tratamiento de datos
biométricos no es necesario para la finalidad de controlar la identidad de los que
acceden a la grada de animación. En ningún caso se supera el juicio de
necesidad porque el tratamiento biométrico no es necesario.
Preguntado por el juicio de necesidad en la inspección, el BURGOS CF no ofrece razones
que justifiquen la misma. La EIPD únicamente manifiesta lo siguiente: ?En
cuanto a la cuestión suscitada con respecto a la necesidad de incorporar un sistema
de reconocimiento biométrico, hemos de argumentar que esta medida contribuye a
evitar la violencia en el deporte mediante dos formas. Por una parte, nos encontramos
con su efecto disuasorio en tanto que funciona como factor preventivo; si una
persona conoce que la organización cuenta con su identificación unívoca a través de
huella dactilar, tendrá mucho más cuidado a la hora de llevar a cabo acciones que
supongan actos de violencia, racismo o intolerancia dentro o fuera del estadio. Por
otra parte, este tipo de identificación puede ayudar de manera fehaciente a determinar
la identidad de personas que formen parte de hipotéticos actos violentos que se
den en el contexto de los partidos de fútbol?
No obstante, el argumento de contribuir a evitar la violencia en el deporte no puede
admitirse como válido como para considerar que estos sistemas biométricos sean
necesarios por este motivo. Ya que de la regulación vigente en materia de venta de
entradas y acceso a recintos deportivos (RGLALIGA; Ley 19/2007 contra la violencia,
el racismo, la xenofobia y la intolerancia en el deporte, y su reglamento de desarrollo
aprobado por RD 557/2011) se deduce que existen otras formas de prevenir la violencia
en los estadios e identificar a las responsables, que funcionan adecuadamente
para este fin. Así pues, entre otros medios, esta normativa permite establecer que las
entradas sean nominativas, en el interior de los estadios puedan existir sistemas de
videovigilancia, que pueden colocarse en los accesos y aledaños del estadio, y cada
asiento está asignado a la persona que adquiere la entrada. Mediante los métodos
tradicionales de acceso mediante un abono nominativo con exhibición del DNI se
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
31/54
puede identificar y registrar a las personas que acceden a la grada. No se entiende
que la huella dactilar vaya a añadir un plus que permita identificar a quienes presuntamente
pudieron cometer actos de violencia en el partido de que se trate. Y ni mucho
menos que contribuya a evitarla.
Se deduce así que el sistema de accesos con huella dactilar frente al tradicional de
venta de entradas nominativas no supone un plus claro y diferenciado en la seguridad
de los estadios, toda vez que con los medios ya existentes se puede identificar
igualmente a los posibles infractores y comprobar los hechos acecidos.
2. Finalmente, si la misma es ponderada o equilibrada, por derivarse de ella más
beneficios o ventajas para el interés general que perjuicios sobre otros bienes o valores
en conflicto (juicio de proporcionalidad en sentido estricto).
Ello se determina, entre otras, en ?STC 66/1995, de 8 de mayo, F. 5; STC 55/1996,
de 28 de marzo, FF. 7, 8 y 9; STC 270/1996, de 16 de diciembre, F. 4.e; STC
37/1998, de 17 de febrero, F. 8; STC 186/2000, de 10 de julio, F. 6).?
En este aspecto, la gravedad del riesgo para los derechos y libertades del
tratamiento, y su intromisión en el derecho fundamental a la Protección de Datos de
carácter personal ha de ser adecuada al objetivo perseguido y proporcionada a la
urgencia y gravedad de esta. Hay que ponderar el beneficio que el tratamiento
desde el punto de vista de la Protección de Datos proporciona la sociedad,
manteniendo un equilibrio con el impacto que representa sobre otros derechos
fundamentales. Sin embargo, aunque pueda ceder parcialmente, en ningún caso se
puede asumir la negación absoluta del derecho a la Protección de Datos y vaciarle
de su contenido esencial.
Debe existir un vínculo lógico entre la medida y el objetivo legítimo perseguido.
Para que se respete el principio de proporcionalidad, las ventajas resultantes de la
medida no deben ser superadas por las desventajas que la medida provoca con
respecto al ejercicio de derechos fundamentales. Y uno de los factores que juegan
en la proporcionalidad es la eficacia de las medidas de las medidas existentes, por
encima de la propuesta, si en el mismo contexto ya existieran medidas para un
propósito similar o idéntico, deben considerarse, si no, la evaluación de la
proporcionalidad no se ha realizado debidamente.
Con respecto al Juicio de proporcionalidad, el BURGOS CF manifiesta en su EIPD
únicamente lo siguiente: ?Hay que recordar que el BURGOS CLUB DE FÚTBOL,
S.A.D. ha sido informado de que existen varias personas con medidas cautelares,
de los juzgados correspondientes con competencia en la materia, que se les ha
prohibido su entrada al estadio y orden de alejamiento de 500 metros. Para evitar
saltarle cualquier otro tipo de control más laxo, un control a través de datos
biométricos termina configurándose como un sistema esencial al que no se puede
engañar, puesto que la huella dactilar es un dato inherente a cada persona, que
no se puede modificar o transferir. De esta forma, determinamos que, en relación
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
32/54
con la injerencia que supone este sistema en los derechos del interesado y
realizando un juicio de ponderación entre la injerencia de su derecho a la
intimidad, esta se concibe como minúscula en comparación con el aseguramiento
del derecho a la vida y a la integridad física de cada persona que persigue la
medida de control planteada.?
Nuevamente, el juicio realizado no es correcto puesto que no está ponderando las
ventajas y desventajas de utilizar este sistema biométrico. Pero sobre todo, y en
relación con el requisito de proporcionalidad, porque el pretendido conflicto entre
el derecho a la vida e integridad física de las personas y el derecho a la protección
de datos de carácter personal no se ve solucionado únicamente mediante un
sistema de acceso biométrico, toda vez que existe otro método alternativo
preexistente que permite identificar y verificar la identidad de esas personas que
tienen prohibido el acceso al estadio con la misma eficacia que la huella dactilar.
Teniendo en cuenta que el sistema informatizado de control y gestión de venta de
entradas, así como del acceso a estadios de fútbol previsto legalmente, puede
alcanzar a que las entradas hayan de ser nominativas, que es un tipo de acceso
común y normalizado, y existiendo otra modalidad del mismo menos intrusiva que
la EIPD reconoce, debe prevalecer por ser preferible al sistema biométrico de
detección de huella dactilar.
De todo lo expuesto se deduce con claridad que sistema de acceso mediante huella
dactilar implantado por el BURGOS CF en atención a lo previsto en la EIPD de 15 de febrero
de 2023 no supera este triple juicio de proporcionalidad, para la finalidad especifica
pretendida según el club (?control de acceso a la grada de animación a través de la
identificación mediante huella dactilar?) y en el marco específico del estadio del BURGOS
CF.
Siendo en el presente caso, la finalidad pretendida la identificar unívocamente a las
personas que accediesen a la grada de animación del estadio mediante datos
biométricos, y considerando que existe una modalidad de acceso que cumplía y cumple
con la misma finalidad de forma menos intrusiva, se considera que el tratamiento de
datos biométricos realizado por el BURGOS CF no es necesario, ni proporcional por lo
que infringe lo previsto en el principio de minimización de datos contenido en el artículo
5.1.c), que propugna que los datos que se traten han de ser limitados a lo necesario
para conseguir esos fines.
Todo ello, en la medida en que el club reconoce que el sistema biométrico continúa
operativo de forma voluntaria, y que sigue conservando los datos biométricos recogidos
anteriormente, puesto que ello supondrá seguir tratando datos biométricos, cuando ello
no es necesario, adecuado ni proporcional.
Por tanto, se advierte al club de que la infracción del artículo 5.1.c) se sigue
manteniendo en la actualidad y continuará, siempre y cuando se mantenga este
tratamiento biométrico sin ser idóneo, necesario, ni proporcional, siendo indiferente que
éste sea voluntario u obligatorio.
A mayor abundamiento, cabe indicar que la EIPD presentada no puede considerarse
válida, pues no supera los requisitos mínimos establecidos en el artículo 35.7 del
RGPD. No sólo en cuanto a la no superación de la evaluación de necesidad y
proporcionalidad, sino también por no describir bien las operaciones y fines del
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
33/54
tratamiento, no contener un adecuado análisis de los riesgos del tratamiento desde el
punto de vista de los derechos y libertades de las personas, ni proponer las medidas
adecuadas y suficientes que sean necesarias para reducir el impacto de las amenazas
planteadas.
VI Sobre el consentimiento de los menores
Además de los requisitos anteriormente expuestos, debe tenerse en cuenta que el
BURGOS CF en el documento del Anexo VI está permitiendo que los menores de 18
años accedan a la grada de animación del estadio siempre y cuando exista un
consentimiento firmado por los padres o tutores legales, sin establecer ningún límite
mínimo de edad, e incluyendo en el pie de firma del documento dicha posibilidad de
firma del representante en caso de ser menor de edad) como aceptación de las
condiciones de uso.
Así pues, el apartado 1 de este Anexo VI dispone que: ?1.- Todo aquel que acceda a la
Grada de Animación deberá tener una edad de, al menos, dieciocho (18 años). Si este
no fuera el caso se necesitará consentimiento firmado de los padres o tutor legal?.
A través de esta cláusula, el club denunciado ha estado recabando el consentimiento
contractual que se precisa para suplir la falta de capacidad del menor de edad para
adquirir el abono, a los efectos de la relación contractual club-abonado.
Al concurrir la posibilidad de que los menores acudan al estadio (sin ninguna limitación
de edad), y permitir que éstos adquieran el abono siempre y cuando el documento del
Anexo VI se firme por sus padres o tutores, ello implicará que éstos quedarán
obligados a facilitar sus datos personales.
En relación específicamente con el tratamiento de los datos biométricos, a partir del 15
de febrero de 2023, el BURGOS CF consideró que era preciso solicitar el
consentimiento para proceder al tratamiento de estos datos personales.
Sin embargo, no acredita el club que esté recabando la prestación del consentimiento
para el tratamiento biométrico de los menores de edad, bien (i) por progenitores o
tutores de los menores de edad con menos de 14 años cumplidos o bien (ii) por los
propios menores de edad con más de 14 años cumplidos, respecto del tratamiento de
sus datos personales biométricos desde el 15 de febrero de 2023, pues esta
posibilidad no aparece en el modelo del Anexo VII.
Resulta que para los menores de edad no se establece en dicho documento previsión
alguna sobre prestación del consentimiento para poder tratar sus datos personales
biométricos.
Sobre este particular, el artículo 8 del RGPD dispone que,
?1. Cuando se aplique el artículo 6, apartado 1, letra a), en relación con la
oferta directa a niños de servicios de la sociedad de la información, el
tratamiento de los datos personales de un niño se considerará lícito cuando
tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento
únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular
de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o
autorizó.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
34/54
Los Estados miembros podrán establecer por ley una edad inferior a tales
fines, siempre que esta no sea inferior a 13 años.
2. El responsable del tratamiento hará esfuerzos razonables para verificar en
tales casos que el consentimiento fue dado o autorizado por el titular de la
patria potestad o tutela sobre el niño, teniendo en cuenta la tecnología
disponible.
3. El apartado 1 no afectará a las disposiciones generales del Derecho
contractual de los Estados miembros, como las normas relativas a la validez,
formación o efectos de los contratos en relación con un niño?.
Asimismo, es necesario que se cumplan las condiciones previstas en el artículo 7 de la
LOPDGDD, que sobre el ?Consentimiento de los menores de edad?, dispone que,
?1. El tratamiento de los datos personales de un menor de edad únicamente
podrá fundarse en su consentimiento cuando sea mayor de catorce años.
Se exceptúan los supuestos en que la ley exija la asistencia de los titulares de
la patria potestad o tutela para la celebración del acto o negocio jurídico en
cuyo contexto se recaba el consentimiento para el tratamiento.
2. El tratamiento de los datos de los menores de catorce años, fundado en el
consentimiento, solo será lícito si consta el del titular de la patria potestad o tutela
, con el alcance que determinen los titulares de la patria potestad o tutela?.
En conclusión, en el presente momento existen evidencias suficientes de que se ha
producido una presunta vulneración del artículo 8 del RGPD, puesto que parece que el
club no está recabando el consentimiento de los menores de edad para el tratamiento
de sus datos biométricos, bien por sus progenitores o tutores o bien de ellos
directamente, dependiendo de la edad del menor.
VII Sobre los deberes de información del artículo 13 del RGPD
Una de las obligaciones del responsable de todo tratamiento de datos personales es
cumplir con los deberes de información a los interesados que vienen previstos en los
artículos 12 a 14 del RGPD.
De acuerdo con lo previsto en el artículo 12.1 de RGPD, se parte de un Principio de
?Transparencia de la información, comunicación y modalidades de ejercicio de los
derechos del interesado?:
?1. El responsable del tratamiento tomará las medidas oportunas para facilitar al
interesado toda información indicada en los artículos 13 y 14, así como cualquier
comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en
forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y
sencillo, en particular cualquier información dirigida específicamente a un niño. La
información será facilitada por escrito o por otros medios, inclusive, si procede,
por medios electrónicos. Cuando lo solicite el interesado, la información podrá
facilitarse verbalmente siempre que se demuestre la identidad del interesado por
otros medios?
Estos deberes de información se concretan en los artículos 13 y 14, siendo de
aplicación al supuesto presente, los previstos en el artículo 13 del RGPD sobre
?Información que deberá facilitarse cuando los datos personales se obtengan del
interesado?:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
35/54
1. Cuando se obtengan de un interesado datos personales relativos a él, el
responsable del tratamiento, en el momento en que estos se obtengan, le
facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su
representante;
b) los datos de contacto del delegado de protección de datos, en su caso;
c) los fines del tratamiento a que se destinan los datos personales y la base
jurídica del tratamiento;
d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los
intereses legítimos del responsable o de un tercero;
e) los destinatarios o las categorías de destinatarios de los datos personales,
en su caso;
f) en su caso, la intención del responsable de transferir datos personales a un
tercer país u organización internacional y la existencia o ausencia de una
decisión de adecuación de la Comisión, o, en el caso de las transferencias
indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo
segundo, referencia a las garantías adecuadas o apropiadas y a los medios
para obtener una copia de estas o al lugar en que se hayan puesto a
disposición.
2. Además de la información mencionada en el apartado 1, el responsable del
tratamiento facilitará al interesado, en el momento en que se obtengan los datos
personales, la siguiente información necesaria para garantizar un tratamiento de
datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no
sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el
acceso a los datos personales relativos al interesado, y su rectificación o
supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así
como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el
artículo 9, apartado 2, letra a), la existencia del derecho a retirar el
consentimiento en cualquier momento, sin que ello afecte a la licitud del
tratamiento basado en el consentimiento previo a su retirada;
d) el derecho a presentar una reclamación ante una autoridad de control;
e) si la comunicación de datos personales es un requisito legal o contractual,
o un requisito necesario para suscribir un contrato, y si el interesado está
obligado a facilitar los datos personales y está informado de las posibles
consecuencias de no facilitar tales datos;
f) la existencia de decisiones automatizadas, incluida la elaboración de
perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales
casos, información significativa sobre la lógica aplicada, así como la
importancia y las consecuencias previstas de dicho tratamiento para el
interesado.
3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos
personales para un fin que no sea aquel para el que se recogieron, proporcionará
al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese
otro fin y cualquier información adicional pertinente a tenor del apartado 2.
4. Las disposiciones de los apartados 1, 2 y 3 no serán aplicables cuando y en la
medida en que el interesado ya disponga de la información?.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
36/54
Como ya se ha anticipado, siendo requerido por el inspector con relación a justificar el
cumplimiento del deber de informar al interesado del contenido previsto en el
mencionado artículo 13 del RGPD, el Burgos ha facilitado dos documentos que ha
utilizado, tanto con carácter previo al 15 de febrero de 2023, como el utilizado
posteriormente (Anexos VI y VII).
En primer lugar, el Anexo VI del EscritoBurgos1, que según el BURGOS CF es el único
documento que se firmaba por los interesados al adquirir el abono antes del 15 de
febrero de 2023, no es un consentimiento sobre el tratamiento de datos personales,
sino un documento contractual que contiene las ?Condiciones de pertenencia, acceso
y permanencia en la grada de animación. Temporada 2022/2023?, y que es necesario
firmar para poder adquirir el abono.
No obstante, este documento requiere la recogida de datos personales para la
?consecución del abono de temporada?. En su apartado 3 hace referencia a la
obligación de facilitar datos personales como el nombre, apellidos, DNI, datos de
contacto, y firmar un consentimiento de la ley de protección de datos, que no se
aporta. Y en el apartado 8 se contiene la obligación de someterse al control de acceso
biométrico con carácter previo a obtener el abono, recogiendo para ello sus datos
biométricos, indicando que cualquier otro sistema de acceso tendrá carácter
excepcional.
Cabe señalar que el inspector requirió en una segunda ocasión al BURGOS CF para
que aportase el supuesto documento de consentimiento de protección de datos que
debían firmar los interesados antes de recogerse los datos al que se refiere el
apartado 3, pero el club no lo aportó en el Escrito2Burgos (limitándose a aportar de
nuevo el Anexo VII), ni en el Escrito3. Por tanto, debemos considerar que este
consentimiento no se firmó.
De ello se deduce, que, hasta el 15 de febrero de 2023, se recogieron datos
biométricos y personales de otro tipo (DNI, nombre, apellidos?etc) sin haber
informado debidamente a los adquirentes del abono de la información prevista en el
artículo 13 del RGPD. Toda vez que el único documento que éstos firmaban era este
Anexo VI, que únicamente contenía siguiente información genérica respecto a
protección de datos personales:
[?] 8.- Toda persona que acceda a la Grada de Animación "LA HINCHADA
DEL ARLANZON? deberá someterse a un control de acceso biométrico, para
lo cual, con carácter previo a la obtención del abono de esta zona deberá
facilitar la captura de la huella que resulte necesaria. Cualquier otro sistema
de acceso que no conlleve un reconocimiento biométrico, tendrá carácter
excepcional. Los datos biométricos que se recogen son para el uso exclusivo
de la entrada al evento deportivo, pudiendo el abonado solicitarla baja de
dicho fichero dando de baja su abono.
[?] 12.- A los efectos de lo previsto en la Ley Orgánica 3/2018 de 5 de
diciembre de protección de datos personales y garantía de los derechos
digitales, le informamos que los datos de carácter personal que hayan sido
recabados en el presente documento, así como aquellos obtenidos por
medios biométricos serán incluidos en un fichero de datos de carácter
personal titularidad del Club. En este sentido, el abajo firmante presta su
consentimiento expreso para el tratamiento de sus referidos datos de carácter
personal.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
37/54
En definitiva, antes del 15 de febrero de 2023 no cabe duda de que el BURGOS CF
estuvo recogiendo datos personales de estos abonados (700 personas según el propio
club), tanto biométricos como de otro tipo, sin informar al interesado de todos los
aspectos expresados en el artículo 13, recurriendo a una fórmula genérica. Este
documento no se adecúa a la información exigida por el RGPD, que se ha ampliado
considerablemente respecto a la legislación anterior.
Para el periodo posterior al 15 de febrero de 2023, el BURGOS CF aporta el
documento ?Información sobre el control de acceso a grada de animación a través de
dato biométrico (huella dactilar)? (Anexo VII del EscritoBurgos1). El documento,
utilizado según indicación del Burgos con posterioridad al 15 de febrero de 2023, si es
un consentimiento expreso que informa al firmante sobre el tratamiento a través del
control biométrico. Así pues, consigna que mediante la firma del documento el
interesado consiente ?el tratamiento del dato biométrico relativo a mi huella dactilar o
patrón de la misma para la finalidad descrita?. Este contiene la mayor parte de la
información prevista en el artículo 13, excepto la prevista en el 13.2.c) referida a la
posibilidad de retirar el consentimiento otorgado. Pues pese a que se expresa la
posibilidad de solicitar el derecho de supresión de los datos recogidos, éste no es
equivalente al de revocar el consentimiento.
En definitiva, de los documentos obrantes en el expediente y sin perjuicio de aquellos
que se aporten durante la instrucción, en el presente momento existen evidencias
suficientes de que el BURGOS ha estado recogiendo datos personales de los 700
adquirentes de abono sin informarles adecuadamente de todos los aspectos exigidos a
efectos de protección de datos, por lo que cabría imputar asimismo una infracción del
artículo 13 del RGPD.
VIII Tipificación de las infracciones y calificación a los efectos de la prescripción.
Tal y como ha sido expuesto en los Fundamentos de derecho III a VII de este acuerdo,
se considera que el BURGOS CF ha podido cometer las siguientes infracciones de la
normativa vigente en materia de protección de datos:
8.1. Infracción del artículo 35 del RGPD
Tal y como se ha expuesto en el Fundamento de Derecho V, de conformidad con las
evidencias de las que se dispone en el presente momento, y sin perjuicio de lo que
resulte de la instrucción, se considera que los hechos expuestos podrían vulnerar lo
establecido en el artículo 35 del RGPD, lo que podría suponer la comisión de una
infracción administrativa tipificada en el artículo 83.4.a) del RGPD que indica que:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con
el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose
por la de mayor cuantía:
a) Las obligaciones del responsable y del encargado a tenor de los artículos
8, 11, 25 a 39, 42 y 43.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
38/54
A los efectos de prescripción, la LOPDGDD establece en su artículo 73.t) que: ?En
función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del
impacto de las operaciones de tratamiento en la protección de datos personales en
los supuestos en que la misma sea exigible.?
8.2. Infracción del artículo 9 del RGPD.
Tal y como se ha expuesto en el Fundamento de Derecho IV, de conformidad con las
evidencias de las que se dispone en el presente momento, y sin perjuicio de lo que
resulte de la instrucción, se considera que los hechos expuestos podrían vulnerar lo
establecido en el artículo 9 del RGPD, lo que podría suponer la comisión de una
infracción administrativa tipificada en el artículo 83.5 del RGPD, que dispone lo
siguiente:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose
de una empresa, de una cuantía equivalente al 4 % como máximo del volumen
de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
?a) los principios básicos para el tratamiento, incluidas las condiciones para el
consentimiento a tenor de los artículos 5, 6, 7 y 9.?
A los efectos de prescripción, la LOPDGDD establece en su artículo 72.e):
?En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
?e) El tratamiento de datos personales de las categorías a las que se refiere el artículo
9 del Reglamento (UE) 2016/679, sin que concurra alguna de las circunstancias
previstas en dicho precepto y en el artículo 9 de esta ley orgánica.?
8.3. Infracción del artículo 5.1.c del RGPD.
Tal y como se ha expuesto en el Fundamento de Derecho V de conformidad con las
evidencias de las que se dispone en el presente momento, y sin perjuicio de lo que
resulte de la instrucción, se considera que los hechos expuestos podrían vulnerar lo
establecido en el artículo 5.1.c) del RGPD, lo que podría suponer la comisión de una
infracción administrativa tipificada en el artículo 83.5 del RGPD, que dispone lo
siguiente:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 20 000 000 EUR como máximo o, tratándose
de una empresa, de una cuantía equivalente al 4 % como máximo del volumen
de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor
cuantía:
?a) los principios básicos para el tratamiento, incluidas las condiciones para el
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
39/54
consentimiento a tenor de los artículos 5, 6, 7 y 9.?
A los efectos de prescripción de las infracciones, la LOPDGDD establece en su artículo
72: ?En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos
en el artículo 5 del Reglamento (UE) 2016/679?.
8.4. Infracción del artículo 8 del RGPD.
Tal y como se ha expuesto en el Fundamento de Derecho VII, de conformidad con las
evidencias de las que se dispone en el presente momento, y sin perjuicio de lo que
resulte de la instrucción, se considera que los hechos expuestos podrían vulnerar lo
establecido en el artículo 8 del RGPD, lo que podría suponer la comisión de una
infracción administrativa tipificada en el artículo 83.4 del RGPD, que dispone lo
siguiente:
?Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con
el apartado 2, con multas administrativas de 10 000 000 EUR como máximo o,
tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del
volumen de negocio total anual global del ejercicio financiero anterior, optándose
por la de mayor cuantía:
a)- las obligaciones del responsable y encargado a tenor de los artículos 8, 11, 25
a 39, 42, y 43?.
A efectos del plazo de prescripción, el artículo 73 ?Infracciones consideradas graves?
de la LOPDGDD indica:
?En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
a) El tratamiento de datos personales de un menor de edad sin recabar su
consentimiento, cuando tenga capacidad para ello, o el del titular de su patria potestad
o tutela, conforme al artículo 8 del Reglamento (UE) 2016/679?.
8.5. Infracción del artículo 13 del RGPD.
Tal y como se ha expuesto en el Fundamento de Derecho VI, de conformidad con las
evidencias de las que se dispone en el presente momento, y sin perjuicio de lo que
resulte de la instrucción, se considera que los hechos expuestos podrían vulnerar lo
establecido en el artículo 13 del RGPD, lo que podría suponer la comisión de una
infracción administrativa tipificada en el artículo 83.5 del RGPD, que dispone lo
siguiente:
?En función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se
consideran muy graves y prescribirán a los tres años las infracciones que supongan
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
40/54
una vulneración sustancial de los artículos mencionados en aquel y, en particular, las
siguientes:
b) los derechos de los interesados a tenor de los artículos 12 a 22.?
A efectos del plazo de prescripción, el artículo 74 ?Infracciones consideradas leves? de
la LOPDGDD indica:
?Se consideran leves y prescribirán al año las restantes infracciones de
carácter meramente formal de los artículos mencionados en los apartados 4 y 5 del
artículo 83 del Reglamento (UE) 2016/679 y, en particular, las siguientes:
a) El incumplimiento del principio de transparencia de la información o el
derecho de información del afectado por no facilitar toda la información exigida por
los artículos 13 y 14 del Reglamento (UE) 2016/679.
X Determinación de las sanciones
El artículo 58.2 del RGPD, dispone lo siguiente: ?Cada autoridad de control dispondrá
de todos los siguientes poderes correctivos indicados a continuación:
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de
las medidas mencionadas en el presente apartado, según las circunstancias de
cada caso particular;?
La determinación de las sanciones que procede imponer en el presente caso exige observar
las previsiones de los artículos 83.1 y 2 del RGPD, preceptos que, respectivamente
, disponen lo siguiente:
?1. Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento
indicadas en los apartados 4, 9 y 6 sean en cada caso individual efectivas, proporcionadas
y disuasorias.?
?2. Las multas administrativas se impondrán, en función de las circunstancias de
cada caso individual, a título adicional o sustitutivo de las medidas contempladas en
el artículo 58, apartado 2, letras a) a h) y j). Al decidir la imposición de una multa
administrativa y su cuantía en cada caso individual se tendrá debidamente en cuenta
:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la
naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así
como el número de interesados afectados y el nivel de los daños y perjuicios que
hayan sufrido;
a) la intencionalidad o negligencia en la infracción;
b) cualquier medida tomada por el responsable o encargado del tratamiento
para paliar los daños y perjuicios sufridos por los interesados;
c) el grado de responsabilidad del responsable o del encargado del tratamiento
, habida cuenta de las medidas técnicas u organizativas que hayan aplicado en
virtud de los artículos 25 y 32;
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
41/54
d) toda infracción anterior cometida por el responsable o el encargado del tratamiento
;
e) el grado de cooperación con la autoridad de control con el fin de poner remedio
a la infracción y mitigar los posibles efectos adversos de la infracción;
f) las categorías de los datos de carácter personal afectados por la infracción;
g) la forma en que la autoridad de control tuvo conocimiento de la infracción,
en particular si el responsable o el encargado notificó la infracción y, en tal caso, en
qué medida;
h) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación
con el mismo asunto, el cumplimiento de dichas medidas;
i) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos
de certificación aprobados con arreglo al artículo 42, y
j) cualquier otro factor agravante o atenuante aplicable a las circunstancias
del caso, como los beneficios financieros obtenidos o las pérdidas evitadas, directa
o indirectamente, a través de la infracción.?
Dentro de este apartado, la LOPDGDD contempla en su artículo 76, titulado ?Sanciones
y medidas correctivas?:
?1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento
(UE) 2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos
en el apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679
también podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de
datos personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión
de la infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
h) El sometimiento por parte del responsable o encargado, con carácter voluntario,
a mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los
que existan controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda,
de las restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento
(UE) 2016/679.?
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
42/54
Para la valoración de la sanción que se implementaría en este acuerdo de inicio, por la
presunta infracción del artículo 35 del RGPD, se contemplan las siguientes circunstancias
:
- ?La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza
, alcance o el propósito de la operación de tratamiento?. Toda vez que el tratamiento
de datos biométricos se inició el 4 de noviembre de 2022 sin que se realizara la
EIPD hasta el 15 de febrero de 2023, de tal forma que durante más de tres meses se
llevó a cabo el tratamiento sin identificarse, evaluarse y valorarse los riesgos para los
derechos y libertades de las personas físicas, sin que, entre otras cuestiones, se establecieran
e implementaran, consecuencia de lo anterior, las medidas adecuadas para
procurar su protección, en atención a la finalidad procurada por el RGPD.Y afectó a 700
abonados que adquirieron el título de abono de la grada de animación en la temporada
2022/2023. (83.2.a RGPD). A mayor abundamiento, cabe señalar que no haber realizado
una EIPD es sustancialmente grave en este supuesto, en el que al realizarla se ha
pasado de un sistema obligatorio a voluntario, cambiando además de base de licitud y
excepción aplicable.
- Se incluye una falta grave de diligencia (art 83.2.b RGPD), dado que cualquier
tratamiento que entrañe un alto riesgo precisa de la realización de una EIPD con carácter
previo a la puesta en marcha del tratamiento, máxime si puede englobar categorías
especiales de datos personales, como los biométricos en este caso, o sujetos que merecen
una protección específica, como los niños.
En este sentido el Tribunal Supremo viene entendiendo que existe imprudencia
siempre se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado
de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto,
y no cabe duda de que, en el caso ahora examinado, cuando la actividad de la
recurrente es de constante y abundante manejo de datos de carácter
personal ha de insistirse en el rigor y el exquisito cuidado por ajustarse a las
prevenciones legales al respecto. La STS de 5/06/1998 exige a
los profesionales del sector "un deber de conocer especialmente las normas
aplicables", y en similares términos se pronuncian, entre otras, las SSTS de
2/03/1999 y 17/09/1999, por su actividad están habituadas al tratamiento de
datos personales deben ser especialmente diligentes y cuidadosas al realizar
operaciones con ellos y deben optar siempre por la interpretación más favorable
a la salvaguarda del derecho fundamental a la protección de datos (como de
forma reiterada sostiene la Audiencia Nacional, entre otras en sentencia de
26/11/2008).
- La afectación a una de las categorías especiales de datos, los datos biométricos,
cuya necesidad de protección es en esa medida superior a la de otros datos personales,
de acuerdo con lo señalado por el Tribunal Constitucional en la sentencia 76/2019, de
22/05/2019, recurso 1405/2019, lo cual supone una agravante, de acuerdo con el artículo
83.2.g) del RGPD ?las categorías de los datos de carácter personal afectados por la
infracción?.
- La afectación a derechos de menores (76.f) de la LOPDGDD). Dado que de
acuerdo al documento aportado como Anexo VI es posible tratar datos biométricos de
menores de 18 años.
Como consecuencia, con los elementos que se disponen, se cuantifica la sanción en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
43/54
50.000 euros, sin perjuicio de lo que resulte de la tramitación del procedimiento.
Para la valoración de la sanción que se implementaría en este acuerdo de inicio, por la
presunta infracción del artículo 9 del RGPD, se contemplan las siguientes circunstancias
:
- ?La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza
, alcance o el propósito de la operación de tratamiento?, dado que es una operación
periódica de tratamiento de datos de carácter personal que afectó desde el 4 de noviembre
de 2022 a 15 de febrero de 2023 a los 700 abonados que adquirieron el título
de abono de la grada de animación en la temporada 2022/2023 (83.2.a RGPD).
- Se incluye una falta de diligencia, dado que preparó la implantación del sistema y
no previó el impacto del mismo, por lo que este factor operaría como agravante. (art
83.2.b RGPD), de acuerdo con la doctrina del Tribunal Supremo anteriormente referenciada
- La afectación a derechos de menores (76.f) de la LOPDGDD). Dado que de
acuerdo al documento aportado como Anexo VI es posible tratar datos biométricos de
menores de 18 años.
Como consecuencia, con los elementos que se disponen, se cuantifica la sanción en
50.000 euros, sin perjuicio de lo que resulte de la tramitación del procedimiento.
En lo que respecta a la vulneración del principio de minimización de datos por la presunta
infracción del artículo 5.1.c) del RGPD, se contemplan las siguientes circunstancias:
- ?La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza
, alcance o el propósito de la operación de tratamiento?. No se contempló acertadamente
la especifica finalidad del tratamiento de datos personales en relación con las
necesidades a cubrir, que constituye la naturaleza de la infracción y que abría el ámbito
de afectados a cualquier abonado del denunciado, estimando que el propósito del tratamiento
es una actividad básica del responsable del tratamiento, lo que supone agravante.
(83.2.a RGPD).
- Se incluye una falta grave de diligencia, dado que se disponía y así constaba documentado
en la EIPD de 15 de febrero de 2023 que existían otros medios para de tratamiento
menos intrusivo y se dejó a voluntad de los usuarios el uso de la solución, y no
previó el impacto del mismo, por lo que este factor operaría como agravante (art 83.2.b
RGPD).
- La afectación a una de las categorías especiales de datos, los datos biométricos,
cuya necesidad de protección es en esa medida superior a la de otros datos personales,
de acuerdo con lo señalado por el Tribunal Constitucional en la sentencia 76/2019, de
22/05/2019, recurso 1405/2019, lo cual supone una agravante, de acuerdo con el artículo
83.2.g) del RGPD ?las categorías de los datos de carácter personal afectados por la
infracción?.
- La afectación a derechos de menores (76.f) de la LOPDGDD). Dado que de
acuerdo al documento aportado como Anexo VI es posible tratar datos biométricos de
menores de 18 años.
Como consecuencia con los elementos que se disponen, se cuantifica la sanción en
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
44/54
50.000 euros, sin perjuicio de lo que resulte de la tramitación del procedimiento.
En lo que respecta a la vulneración del principio de minimización de datos por la presunta
infracción del artículo 8 del RGPD, se contemplan las siguientes circunstancias:
- ?La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza
, alcance o el propósito de la operación de tratamiento?, toda vez que el tratamiento
de datos biométricos realizado a partir del 15 de febrero de 2023 preveía la prestación
del consentimiento para el tratamiento de datos biométricos sin que existiese previsión
alguna para recoger el consentimiento de estos. Lo cual supone una pérdida de
control y disposición de sus datos personales. (83.2.a RGPD).
- Se incluye una falta grave de diligencia (art 83.2.b RGPD), dado que cualquier
tratamiento que recopile datos de menores y que precise para ello la prestación del consentimiento
, ha de contener previsiones específicas para la prestación del mismo por
estos directamente o por sus representantes legales, dependiendo de la edad del menor.
Considerándose que concurre negligencia de acuerdo con la doctrina del Tribunal
Supremo anteriormente referenciada.
- La afectación a una de las categorías especiales de datos, los datos biométricos,
cuya necesidad de protección es en esa medida superior a la de otros datos personales,
de acuerdo con lo señalado por el Tribunal Constitucional en la sentencia 76/2019, de
22/05/2019, recurso 1405/2019, lo cual supone una agravante, de acuerdo con el artículo
83.2.g) del RGPD ?las categorías de los datos de carácter personal afectados por la
infracción?.
Como consecuencia con los elementos que se disponen, se cuantifica la sanción en
25.000 euros, sin perjuicio de lo que resulte de la tramitación del procedimiento.
En lo que respecta a la presunta infracción del artículo 13 del RGPD, se contemplan las
siguientes circunstancias:
- ?La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza
, alcance o el propósito de la operación de tratamiento?. Toda vez que el responsable
del tratamiento no informó en los términos del RGPD a los afectados desde 4 de
noviembre de 2022, momento en que se puso en marcha el tratamiento de datos biométricos
, ni tampoco a partir del 15 de febrero de 2023, fecha de realización de la EIPD, ni
en ninguno de los casos dicha información estaba adaptada a los menores de edad, y
que afectó a 700 abonados que adquirieron el título de abono de la grada de animación
en la temporada 2022/2023. Todo ello supone, la falta de información, una pérdida de
disposición y control sobre los datos de carácter personal (83.2.a RGPD).
- Se incluye una falta grave de diligencia (art 83.2.b RGPD), dado que es preciso
que se informe con carácter previo al tratamiento a los interesados, especialmente
cuando la información precede la prestación del consentimiento.
En este sentido el Tribunal Supremo viene entendiendo que existe imprudencia
siempre se desatiende un deber legal de cuidado, es decir, cuando el infractor no
se comporta con la diligencia exigible. Y en la valoración del grado de diligencia ha de ponderarse especialmente la profesionalidad o no del sujeto, y no cabe
duda de que, en el caso ahora examinado, cuando la actividad de la recurrente
es de constante y abundante manejo de datos de carácter personal ha de insis-
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
45/54
tirse en el rigor y el exquisito cuidado por ajustarse a las prevenciones legales al
respecto. La STS de 5/06/1998 exige a los profesionales del sector "un deber
de conocer especialmente las normas aplicables", y en similares términos se
pronuncian, entre otras, las SSTS de 2/03/1999 y 17/09/1999, por su actividad
están habituadas al tratamiento de datos personales deben ser especialmente diligentes
y cuidadosas al realizar operaciones con ellos y deben optar siempre por
la interpretación más favorable a la salvaguarda del derecho fundamental a la
protección de datos (como de forma reiterada sostiene la Audiencia Nacional, entre
otras en sentencia de 26/11/2008).
- La afectación a una de las categorías especiales de datos, los datos biométricos,
cuya necesidad de protección es en esa medida superior a la de otros datos personales,
de acuerdo con lo señalado por el Tribunal Constitucional en la sentencia 76/2019, de
22/05/2019, recurso 1405/2019, lo cual supone una agravante, de acuerdo con el artículo
83.2.g) del RGPD ?las categorías de los datos de carácter personal afectados por la
infracción?.
- La afectación a derechos de menores (76.f) de la LOPDGDD). Dado que de
acuerdo al documento aportado como Anexo VI es posible tratar datos biométricos de
menores de 18 años.
Como consecuencia con los elementos que se disponen, se cuantifica la sanción en
25.000 euros, sin perjuicio de lo que resulte de la tramitación del procedimiento.
XI Adopción de medidas correctivas.
De confirmarse la infracción, podría acordarse imponer al responsable la adopción de
medidas adecuadas para ajustar su actuación a la normativa mencionada en este
acto, de acuerdo con lo establecido en el citado artículo 58.2 d) del RGPD, según el
cual cada autoridad de control podrá ?ordenar al responsable o encargado del
tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del
presente Reglamento, cuando proceda, de una determinada manera y dentro de un
plazo especificado??.
La imposición de esta medida es compatible con la sanción consistente en multa
administrativa, según lo dispuesto en el art. 83.2 del RGPD.
Se advierte que no atender la posible orden de adopción de medidas impuestas por
este organismo en la resolución sancionadora podrá ser considerado como una
infracción administrativa conforme a lo dispuesto en el RGPD, tipificada como
infracción en su artículo 83.5 y 83.6, pudiendo motivar tal conducta la apertura de un
ulterior procedimiento administrativo sancionador.
XI. Medidas provisionales
El artículo 58.2 del RGPD dispone lo siguiente:
?Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
46/54
d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando
proceda, de una determinada manera y dentro de un plazo especificado;?
f) imponer una limitación temporal o definitiva del tratamiento, incluida su
prohibición; [?]?
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar
de las medidas mencionadas en el presente apartado, según las circunstancias
de cada caso particular;?
La imposición de estas medidas son compatibles entre sí y con la sanción consistente
en multa administrativa, según lo dispuesto en el art. 83.2 del RGPD.
No consta que el BURGOS CF haya dejado de utilizar el sistema de biométrico para
accesos al estadio basado en el consentimiento de los usuarios, pues lo mantiene como
método voluntario de acceso a la grada de animación de su estadio.
En especial, cabe referenciar el artículo 69 de la LPACAP, que determina:
?1. Durante la realización de las actuaciones previas de investigación o iniciado un
procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de
Protección de Datos podrá acordar motivadamente las medidas provisionales
necesarias y proporcionadas para salvaguardar el derecho fundamental a la
protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento
(UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender
el derecho solicitado.
2. En los casos en que la Agencia Española de Protección de Datos considere que la
continuación del tratamiento de los datos personales, su comunicación o
transferencia internacional comportará un menoscabo grave del derecho a la
protección de datos personales podrá ordenar a los responsables o encargados de
los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de
incumplirse por estos dichos mandatos, proceder a su inmovilización.?
El artículo 56 de la LPACAP, en cuanto resulte de aplicación, señala sobre las medidas
provisionales lo siguiente en los apartados 1 y 3:
?1. Iniciado el procedimiento, el órgano administrativo competente para resolver,
podrá adoptar, de oficio o a instancia de parte y de forma motivada, las medidas
provisionales que estime oportunas para asegurar la eficacia de la resolución que
pudiera recaer, si existiesen elementos de juicio suficientes para ello, de acuerdo
con los principios de proporcionalidad, efectividad y menor onerosidad. (?).
3. De acuerdo con lo previsto en los dos apartados anteriores, podrán acordarse las
siguientes medidas provisionales, en los términos previstos en la Ley 1/2000, de
7/01, de Enjuiciamiento Civil:
a) Suspensión temporal de actividades.
b) Prestación de fianzas.
c) Retirada o intervención de bienes productivos o suspensión temporal de
servicios por razones de sanidad, higiene o seguridad, el cierre temporal del
establecimiento por estas u otras causas previstas en la normativa reguladora
aplicable.
d) Embargo preventivo de bienes, rentas y cosas fungibles computables en
metálico por aplicación de precios ciertos.
e) El depósito, retención o inmovilización de cosa mueble.
f) La intervención y depósito de ingresos obtenidos mediante una actividad que se
considere ilícita y cuya prohibición o cesación se pretenda.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
47/54
g) Consignación o constitución de depósito de las cantidades que se reclamen.
h) La retención de ingresos a cuenta que deban abonar las Administraciones
Públicas.
i) Aquellas otras medidas que, para la protección de los derechos de los
interesados, prevean expresamente las leyes, o que se estimen necesarias para
asegurar la efectividad de la resolución.
4. No se podrán adoptar medidas provisionales que puedan causar perjuicio de
difícil o imposible reparación a los interesados o que impliquen violación de
derechos amparados por las leyes.
5. Las medidas provisionales podrán ser alzadas o modificadas durante la
tramitación del procedimiento, de oficio o a instancia de parte, en virtud de
circunstancias sobrevenidas o que no pudieron ser tenidas en cuenta en el
momento de su adopción. En todo caso, se extinguirán cuando surta efectos la
resolución administrativa que ponga fin al procedimiento correspondiente?.
En el tratamiento de datos analizado se aprecia de forma indubitada el alto riesgo que
supone para los derechos y libertades de un alto número de los afectados, como la
pérdida de control y disposición de sus datos personales o el uso de los datos
personales que no resultan evidentemente necesarios para acceder al estadio, que
además incluye a menores de edad. Junto a ello, hay indicios y evidencias constatadas
que recomiendan no continuar con el citado tratamiento que implica a categorías
especiales de datos personales.
La continuación del tratamiento, del que existen evidencias de que no ha superado el
triple juicio de proporcionalidad y por ende la no superación de la EIPD de 15 de febrero
de 2023, lo que podría comportar un menoscabo muy grave e irreparable para los
derechos de esos usuarios. Por tanto, la suspensión temporal del tratamiento es la
única medida susceptible de ser adoptada para salvaguardar el Derecho Fundamental a
la Protección de Datos, resultando ser, además, la menos lesiva, onerosa, proporcional
y efectiva, así como la más proporcional y efectiva para el denunciado.
Desde estas premisas y a fin de garantizar los derechos y libertades de los afectados,
se estima procedente imponer una medida provisional que evite lo antes posible la
continuación del tratamiento de los datos personales a través del sistema de
reconocimiento a través de huella dactilar para el acceso al estadio El Plantío del
BURGOS CF, que deberá suspender temporalmente su uso.
Esta medida no impediría al denunciado seguir controlando la entrada de forma correcta
y legal con los otros sistemas que está utilizando, ni a los aficionados les supondría la
pérdida del servicio, ya que se puede seguir entrando en el estadio con normalidad pues
es un sistema ?complementario? o ?alternativo? al de huella dactilar, tal y como afirma
continuamente el denunciado.
En consecuencia, conforme dispone el art 83.2 del RGPD y el artículo 76.3 de la
LOPDGDD arriba transcritos, cabe imponer mediante el presente Acuerdo de Inicio de
expediente sancionador la medida provisional de ordenar, de acuerdo con lo dispuesto
en el art. 69 de la LOPDGDD y art. 56 de la LPACAP, la suspensión temporal de todo
tratamiento de datos personales biométricos y en especial de los referidos al sistema de
reconocimiento por huella dactilar para el acceso al estadio El Plantío. Toda vez que la
suspensión provisional del tratamiento se considera necesaria, proporcional, efectiva
para garantizar los derechos y libertades en liza de los afectados y de menor onerosidad
para el denunciado.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
48/54
La medida provisional deberá llevarse a cabo desde la notificación del presente acuerdo
de inicio de procedimiento sancionador hasta su resolución final, en que deberá ser
confirmada, modificada o levantada, sin perjuicio de lo dispuesto en el art. 56.5 de la
LPACAP.
Por lo tanto, a tenor de lo anteriormente expuesto, por la Directora de la Agencia
Española de Protección de Datos,
SE ACUERDA:
PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a BURGOS CLUB DE
FÚTBOL, S.A.D. con NIF A09012428, por las siguientes infracciones del RGPD:
- Por la presunta infracción del artículo 35, tipificada en el artículo 83.4 del RGPD
- Por la presunta infracción del artículo 9 del RGPD, tipificada en el artículo 83.5.a)
del RGPD.
- Por la presunta infracción del artículo 5.1.c, tipificada en el artículo 83.5.a) del
RGPD.
- Por la presunta infracción del artículo 8 del RGPD, tipificada en el artículo 83.4.a)
del RGPD.
- Por la presunta infracción del artículo 13 del RGPD, tipificada en el artículo 83.5.b)
del RGPD.
SEGUNDO: ORDENAR como medida provisional al BURGOS CLUB DE FÚTBOL,
S.A.D. con NIF A09012428, de acuerdo con lo dispuesto en el artículo 69 de la
LOPDGDD y artículo 56 de la LPACAP, la suspensión temporal de todo tratamiento de
datos personales relativos a la detección de huella dactilar para el acceso al estadio El
Plantío. La medida provisional deberá llevarse a cabo en el plazo de diez días hábiles,
contados desde la notificación de este acuerdo de apertura del procedimiento, y
permanecerá hasta su resolución final, en que deberá ser confirmada, modificada o
levantada, sin perjuicio de lo dispuesto en el art. 56.5 de la LPACAP. A tal fin, deberá
justificar ante esta Agencia Española de Protección de Datos la atención del presente
requerimiento.
TERCERO: NOMBRAR como instructor a A.A.A. y, como secretaria, a B.B.B.,
indicando que podrán ser recusados, en su caso, conforme a lo establecido en los
artículos 23 y 24 de la Ley 40/2015, de 1/10, de Régimen Jurídico del Sector Público
(LRJSP).
CUARTO: INCORPORAR al expediente sancionador, a efectos probatorios, la
reclamación interpuesta por la parte denunciante y su documentación, así como los
documentos obtenidos y generados por la Subdirección General de Inspección de
Datos.
QUINTO: QUE a los efectos previstos en el art. 64.2 b) de la LPCAPAP, la sanción que
pudiera corresponder sería por cada una de las infracciones imputadas, sin perjuicio de
lo que resulte de la instrucción, sería de:
- 50.000 euros, por la infracción del artículo 35 del RGPD.
- 50.000 euros, por la infracción del artículo 9 del RGPD.
- 50.000 euros, por la infracción del artículo 5.1.c) del RGPD.
- 25.000 euros, por la infracción del artículo 8 del RGPD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
49/54
- 25.000 euros, por la infracción del artículo 13 del RGPD.
SEXTO: NOTIFICAR el presente acuerdo al BURGOS CLUB DE FÚTBOL, S.A.D. con
NIF A09012428, otorgándole un plazo de audiencia de diez días hábiles para que
formule las alegaciones y presente las pruebas que considere convenientes. En su
escrito de alegaciones deberá facilitar su NIF y el número de expediente que figura en el
encabezamiento de este documento.
Si en el plazo estipulado no efectuara alegaciones a este acuerdo de inicio, el mismo
podrá ser considerado propuesta de resolución, según lo establecido en el artículo
64.2.f) de la LPACAP.
De conformidad con lo dispuesto en el artículo 85 de la LPACAP, podrá reconocer su
responsabilidad dentro del plazo otorgado para la formulación de alegaciones al
presente acuerdo de inicio; lo que llevará aparejada una reducción de un 20% de la
sanción que proceda imponer en el presente procedimiento. Con la aplicación de esta
reducción, la sanción quedaría establecida en 160.000 euros, resolviéndose el
procedimiento con la imposición de esta sanción.
Del mismo modo podrá, en cualquier momento anterior a la resolución del presente
procedimiento, llevar a cabo el pago voluntario de la sanción propuesta, lo que supondrá
la reducción de un 20% de su importe. Con la aplicación de esta reducción, la sanción
quedaría establecida en 160.000 euros, y su pago implicará la terminación del
procedimiento, sin perjuicio de la imposición de las medidas correspondientes.
La reducción por el pago voluntario de la sanción es acumulable a la que corresponde
aplicar por el reconocimiento de la responsabilidad, siempre que este reconocimiento de
la responsabilidad se ponga de manifiesto dentro del plazo concedido para formular
alegaciones a la apertura del procedimiento. El pago voluntario de la cantidad referida
en el párrafo anterior podrá hacerse en cualquier momento anterior a la resolución. En
este caso, si procediera aplicar ambas reducciones, el importe de la sanción quedaría
establecido en 120.000 euros.
En todo caso, la efectividad de cualquiera de las dos reducciones mencionadas estará
condicionada al desistimiento o renuncia de cualquier acción o recurso en vía
administrativa contra la sanción.
En caso de que optara por proceder al pago voluntario de cualquiera de las cantidades
señaladas anteriormente 160.000 euros o 120.000 euros, deberá hacerlo efectivo
mediante su ingreso en la cuenta nº IBAN: ES00-0000-0000-0000-0000-0000 abierta a
nombre de la Agencia Española de Protección de Datos en la entidad bancaria
CAIXABANK, S.A., indicando en el concepto el número de referencia del procedimiento
que figura en el encabezamiento de este documento y la causa de reducción del importe
a la que se acoge.
Asimismo, deberá enviar el justificante del ingreso a la Subdirección General de
Inspección para continuar con el procedimiento en concordancia con la cantidad
ingresada.
El procedimiento tendrá una duración máxima de doce meses a contar desde la fecha
del acuerdo de inicio. Transcurrido ese plazo se producirá su caducidad y, en
consecuencia, el archivo de actuaciones; de conformidad con lo establecido en el
artículo 64 de la LOPDGDD.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
50/54
Por último, se señala que conforme a lo establecido en el artículo 112.1 de la LPACAP,
contra el presente acto no cabe recurso administrativo alguno.
935-30102023
Mar España Martí
Directora de la Agencia Española de Protección de Datos
>>
SEGUNDO: En fecha 5 de marzo de 2024, la parte reclamada ha procedido al pago de
la sanción en la cuantía de 120.000 euros, haciendo uso de las dos reducciones
previstas en el Acuerdo de inicio transcrito anteriormente, y ha presentado escrito en la
misma fecha en el que solicita se dicte resolución de terminación del procedimiento,
reconociendo su responsabilidad, y desistiendo expresamente de cualquier acción o
recurso en vía administrativa contra la sanción.
TERCERO: En el citado Acuerdo de inicio transcrito anteriormente, se acordaba: ?ORDENAR
como medida provisional al BURGOS CLUB DE FÚTBOL, S.A.D. con NIF
A09012428, de acuerdo con lo dispuesto en el artículo 69 de la LOPDGDD y artículo 56
de la LPACAP, la suspensión temporal de todo tratamiento de datos personales relativos
a la detección de huella dactilar para el acceso al estadio El Plantío. La medida provisional
deberá llevarse a cabo en el plazo de diez días hábiles, contados desde la notificación
de este acuerdo de apertura del procedimiento, y permanecerá hasta su resolución
final, en que deberá ser confirmada, modificada o levantada, sin perjuicio de lo dispuesto
en el art. 56.5 de la LPACAP. A tal fin, deberá justificar ante esta Agencia Española de
Protección de Datos la atención del presente requerimiento.?
El BURGOS CLUB DE FUTBOL, S.A.D no ha acreditado hasta el momento haber ejecutado
esta medida de suspensión provisional.
FUNDAMENTOS DE DERECHO
I
Competencia
De acuerdo con los poderes que el artículo 58.2 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), otorga a cada
autoridad de control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la
Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y
garantía de los derechos digitales (en adelante, LOPDGDD), es competente para
iniciar y resolver este procedimiento la Directora de la Agencia Española de Protección
de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: "Los procedimientos
tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto
en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
51/54
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos."
II
Terminación del procedimiento
El artículo 85 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas (en lo sucesivo, LPACAP), bajo la rúbrica
?Terminación en los procedimientos sancionadores? dispone lo siguiente:
?1. Iniciado un procedimiento sancionador, si el infractor reconoce su responsabilidad,
se podrá resolver el procedimiento con la imposición de la sanción que proceda.
2. Cuando la sanción tenga únicamente carácter pecuniario o bien quepa imponer una
sanción pecuniaria y otra de carácter no pecuniario pero se ha justificado la
improcedencia de la segunda, el pago voluntario por el presunto responsable, en
cualquier momento anterior a la resolución, implicará la terminación del procedimiento,
salvo en lo relativo a la reposición de la situación alterada o a la determinación de la
indemnización por los daños y perjuicios causados por la comisión de la infracción.
3. En ambos casos, cuando la sanción tenga únicamente carácter pecuniario, el
órgano competente para resolver el procedimiento aplicará reducciones de, al menos,
el 20 % sobre el importe de la sanción propuesta, siendo éstos acumulables entre sí.
Las citadas reducciones, deberán estar determinadas en la notificación de iniciación
del procedimiento y su efectividad estará condicionada al desistimiento o renuncia de
cualquier acción o recurso en vía administrativa contra la sanción.
El porcentaje de reducción previsto en este apartado podrá ser incrementado
reglamentariamente.?
III
Elevación de medida provisional a definitiva. Adopción de medidas correctivas.
El artículo 58.2 del RGPD dispone lo siguiente:
?Cada autoridad de control dispondrá de todos los siguientes poderes correctivos
indicados a continuación:
d) ordenar al responsable o encargado del tratamiento que las operaciones de
tratamiento se ajusten a las disposiciones del presente Reglamento, cuando
proceda, de una determinada manera y dentro de un plazo especificado;?
f) imponer una limitación temporal o definitiva del tratamiento, incluida su
prohibición; [?]?
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar
de las medidas mencionadas en el presente apartado, según las circunstancias
de cada caso particular;?
Respecto a la limitación temporal o definitiva del tratamiento, cabe referenciar el artículo
69 de la LPACAP, que determina:
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
52/54
?1. Durante la realización de las actuaciones previas de investigación o iniciado un
procedimiento para el ejercicio de la potestad sancionadora, la Agencia Española de
Protección de Datos podrá acordar motivadamente las medidas provisionales
necesarias y proporcionadas para salvaguardar el derecho fundamental a la
protección de datos y, en especial, las previstas en el artículo 66.1 del Reglamento
(UE) 2016/679, el bloqueo cautelar de los datos y la obligación inmediata de atender
el derecho solicitado.
2. En los casos en que la Agencia Española de Protección de Datos considere que la
continuación del tratamiento de los datos personales, su comunicación o
transferencia internacional comportará un menoscabo grave del derecho a la
protección de datos personales podrá ordenar a los responsables o encargados de
los tratamientos el bloqueo de los datos y la cesación de su tratamiento y, en caso de
incumplirse por estos dichos mandatos, proceder a su inmovilización.?
El artículo 56 de la LPACAP, señala en su apartado quinto que:
?5. Las medidas provisionales podrán ser alzadas o modificadas durante la
tramitación del procedimiento, de oficio o a instancia de parte, en virtud de
circunstancias sobrevenidas o que no pudieron ser tenidas en cuenta en el
momento de su adopción. En todo caso, se extinguirán cuando surta efectos la
resolución administrativa que ponga fin al procedimiento correspondiente?.
En el presente procedimiento, no constando que el BURGOS CF hubiera suspendido el
tratamiento de datos relativo al acceso a la grada de animación del estadio mediante
huella dactilar-que se mantenían como sistema voluntario de acceso para los socios que
optasen por el mismo-, el acuerdo de inicio del presente procedimiento ordenó acordar
?la suspensión temporal de todo tratamiento de datos personales biométricos y en
especial de los referidos al sistema de reconocimiento por huella dactilar para el acceso
al estadio El Plantío?, toda vez que la suspensión provisional del tratamiento se
consideró necesaria, proporcional, efectiva para garantizar los derechos y libertades en
liza de los afectados y de menor onerosidad para el denunciado.
De acuerdo con lo previsto en el acuerdo de inicio del presente procedimiento, la
medida provisional debía de haberse adoptado desde la notificación del acuerdo de
inicio de procedimiento sancionador hasta su resolución final, en el que debía ser
confirmada, modificada o levantada, sin perjuicio de lo dispuesto en el art. 56.5 de la
LPACAP.
A fecha de la presente resolución, el BURGOS CF ha reconocido su responsabilidad y
el pago, solicitando la terminación del procedimiento, sin hacer referencia al estado en
el que se encuentra el tratamiento de datos biométricos en la grada de animación de su
estadio, por lo que se desconoce si este sistema ha sido suspendido provisionalmente,
tal y como se ordenaba en el acuerdo de inicio del procedimiento sancionador, o lo han
suspendido definitivamente.
Pues bien, dicho lo anterior, el BURGOS CF ha reconocido su responsabilidad,
quedando debidamente constatadas las infracciones que fueron imputadas en el
acuerdo de inicio, siendo preciso, asimismo, imponer al responsable la adopción de las
medidas correctivas adecuadas para ajustar su actuación a la normativa de protección
de datos, como se ya adelantaba en el acuerdo de inicio.
Se estima que persisten en la actualidad de forma indubitada los mismos riesgos que
motivaron la suspensión o limitación provisional del tratamiento en el acuerdo de inicio,
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
53/54
ya que la continuación del tratamiento podría comportar un menoscabo muy grave e
irreparable para los derechos y libertades de los usuarios que accedan al estadio
utilizando el sistema biométrico implantado.
Dadas las circunstancias, se entiende que la prohibición del tratamiento, como medida
correctiva de las otorgadas en el artículo 58.2 del RGPD a la Agencia Española de
Protección de Datos, es la única medida susceptible de ser adoptada para salvaguardar
el Derecho Fundamental a la Protección de Datos, resultando ser, además, la menos
lesiva, onerosa, proporcional y efectiva, así como la más proporcional y efectiva para el
denunciado.
Desde estas premisas y a fin de garantizar los derechos y libertades de los afectados,
se estima procedente confirmar la suspensión provisional ordenada en el acuerdo de
inicio, y prohibir, como medida correctiva, el tratamiento de los datos personales a
través del sistema de reconocimiento a través de huella dactilar para el acceso al
estadio El Plantío del BURGOS CF, procediendo a la cesación del tratamiento.
Esta medida no impediría al denunciado seguir controlando la entrada de forma
adecuada y legal con los otros sistemas que está utilizando, ni a los aficionados les
supondría la pérdida del servicio, ya que se puede seguir entrando en el estadio con
normalidad pues es un sistema ya implantado ?complementario? o ?alternativo? al de
huella dactilar, tal y como afirma continuamente el denunciado.
De acuerdo con lo señalado, la Directora de la Agencia Española de Protección de
Datos RESUELVE:
PRIMERO: DECLARAR la terminación del procedimiento sancionador tramitado con el
número PS/00483/2023 (EXP202213792), de conformidad con lo establecido en el
artículo 85 de la LPACAP.
SEGUNDO: Confirmar la medida provisional impuesta en el acuerdo de inicio del
presente expediente sancionador, y prohibir al BURGOS CLUB DE FÚTBOL S.A.D,
como medida correctiva, todo tratamiento de datos personales relativos al tratamiento
de huella dactilar para el acceso al estadio El Plantío, acreditando en el plazo de diez
días hábiles ante esta Agencia Española de Protección de Datos que ha procedido a la
cesación de su tratamiento.
TERCERO: NOTIFICAR la presente resolución a BURGOS CLUB DE FÚTBOL,
S.A.D..
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente
Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por
el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo
Común de las Administraciones Públicas, los interesados podrán interponer recurso
contencioso administrativo ante la Sala de lo Contencioso-administrativo de la
Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de
la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la
Jurisdicción Contencioso-Administrativa, en el plazo de dos meses a contar desde el
día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la
referida Ley.
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es
54/54
1219-21112023
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 ? Madrid sedeagpd.gob.es