3/11/2026
El FC Barcelona ha estat sancionat amb 500.000€ per no haver dut a terme adequadament una Avaluació d’Impacte en Protecció de Dades.
El sistema d’actualització del cens exigia una verificació mitjançant reconeixement facial i també oferia la possibilitat d’enregistrament de veu per a futurs tràmits telefònics.
Quin va ser el criteri de l’Agència Espanyola de Protecció de Dades?
Va arxivar la infracció relativa al tractament de dades biomètriques, però va acreditar la infracció de l’article 35 del Reglament General de Protecció de Dades perquè existia un alt risc per als drets i les llibertats de les persones.
D’acord amb la normativa, l’Avaluació d’Impacte en Protecció de Dades no complia els requisits. L’Agència va considerar que l’ús de tecnologies biomètriques de reconeixement facial, juntament amb el volum de persones afectades i la vinculació d’aquestes dades amb informació identificativa (com ara el DNI), justificava la necessitat d’una avaluació prèvia exhaustiva.
Per què es va considerar insuficient l’Avaluació d’Impacte en Protecció de Dades?
Hi mancaven les dades essencials següents:
- Manca de diferenciació clara entre risc inherent i risc residual.
- Anàlisi incompleta dels riscos identificats.
- Absència d’una anàlisi prou granular i detallada, incloent-hi el possible efecte acumulatiu de diversos factors de risc.
- Manca d’evidència d’haver recollit l’opinió de les persones afectades o dels seus representants.
- Inexistència d’un pla d’acció i seguiment de les mesures de mitigació.
- Realització de l’anàlisi després de formalitzar contractes amb proveïdors, quan l’EIPD s’hauria d’haver dut a terme amb caràcter previ a la implantació del sistema.
Tens dubtes? Contacta amb nosaltres