La AEPD ha interpuesto una sanción de 120.000 euros al Burgos Club de Fútbol, S.A.D por la implementación de datos biométricos como sistema de acceso a las gradas de animación. En esta publicación te desengranamos el cómo y el porqué.

La cuestión de los datos biométricos

Tras la terminación del procedimiento sancionador por pago voluntario, la Agencia española de Protección de Datos (AEPD) publicó en su boletín la resolución completa del procedimiento.

Las actuaciones iniciales tienen su origen en una denuncia y una reclamación interpuesta por los interesados ante la implantación de sistemas biométricos para el control de acceso a las gradas de animación del estadio del Burgos Club de Fútbol.

El RGPD define en su art. 4.14 los datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física (…) única de dicha persona, como imágenes faciales o datos dactiloscópicos”.

En este sentido, los datos biométricos se vuelven datos personales de categoría especial, y por ende, datos que gozan de una mayor protección, siempre y cuando la finalidad del tratamiento sea la identificación o autentificación de una persona.

El RGPD prohíbe con carácter general el uso de dichos datos cuando estén dirigidos a identificar o autentificar de manera unívoca a una persona física. No obstante, existe la excepción de dicho precepto cuando exista una base de licitud del artículo 6 y de que se cumplan los principios del RGPD.

Factores determinantes

La principal cuestión que supuso la sanción final de 120.000 euros se centra en la observancia de una especial cautela a la hora de determinar si era posible llevar a cabo un tratamiento de dicha naturaleza.

En primer lugar, cabe observar el juicio de proporcionalidad, de manera que la implantación de datos biométricos debe ser idóneo, proporcional y necesario. La existencia de otros sistemas no biométricos que permitan la misma finalidad de identificar y/o verificar la identidad de otras personas con la misma eficacia, determina de por sí que la implantación del sistema de datos biométricos es contraria al RGPD.

El segundo factor relevante que motivó la sanción radica en la realización de una evaluación de impacto (EIPD). Al tratarse de datos personales de categoría especial, el tratamiento se considera también un tratamiento de “alto riesgo”, por lo que de acuerdo con el RGPD, el responsable de tratamiento estará obligado a realizar siempre una EIPD.

El artículo 35. del RGPD establece que la EIPD debe:

  1. Ser previa al tratamiento
  2. Realizarse de forma continua
  3. Considerarse válida en los términos establecidos en el artículo 35.1

Si bien, en el trascurso del procedimiento quedó constancia, de que la EIPD fue realizada con posterioridad al inicio del tratamiento

En definitiva, la superación de una EIPD exige que el responsable de un tratamiento de alto riesgo documente por escrito que supera la evaluación de idoneidad, necesidad y proporcionalidad del tratamiento, con la aplicación práctica de medidas orientadas a los mismos de forma que se garantiza un umbral de riesgo aceptable durante todo el ciclo de vida del tratamiento.

Consejos de LVS2 para las empresas

Cada vez queda mayor constancia del grave perjuicio económico que puede suponer para las empresas un tratamiento de datos incorrecto. Desde LV2 promovemos una cultura del cumplimiento constante y de mejora, otorgando mayor solidez y madurez en materia de datos e IT. Aquí te dejamos algunos:

  • Ten siempre en cuenta la legitimación para realizar cualquier tratamiento de datos, ya sea el consentimiento expreso o en base a un contrato. La licitud del tratamiento es uno de los pilares fundamentales en el RGPD.
  • Gradúa mediante análisis de riesgos y evaluaciones de impacto los posibles tratamientos que lleve tu empresa o quiera comenzar a tratar.
  • Implementa medidas técnicas y organizativas que garanticen el cumplimiento íntegro con los principios del RGPD.
  • Realiza comprobaciones de manera continua para que ningún procedimiento quede obsoleto o fuera de los principios permitidos.
  • Consúltanos. Te ofreceremos las mejores soluciones adaptadas a tu empresa en particular (Auditorías, DPO, adaptación al RGPD).