3/11/2026
El FC Barcelona ha sido sancionado con 500.000€ por no realizar adecuadamente una Evaluación de Impacto en Protección de Datos.
El sistema de actualización del censo exigía una verificación mediante reconocimiento facial y ofrecía también la posibilidad de grabación de voz para futuros trámites telefónicos.
¿Cuál fue el criterio de Agencia Española de Protección de Datos?
Archivó la infracción relativa al tratamiento de datos biométricos, pero acreditó la infracción del artículo 35 del Reglamento General de Protección de Datos porqué había un alto riesgo para los derechos y las libertades de las personas.
Según la normativa, la Evaluación de Impacto en Protección de Datos no cumplía con los requisitos. La Agencia consideró que el uso de tecnologías biométricas de reconocimiento facial, unido al volumen de personas afectadas y a la vinculación de dichos datos con información identificativa (como el DNI), justificaba la necesidad de una evaluación previa exhaustiva.
¿Por qué la Evaluación de Impacto en Protección de Datos se consideró insuficiente?
Carecía de los siguientes datos esenciales:
- Falta de diferenciación clara entre riesgo inherente y riesgo residual.
- Análisis incompleto de los riesgos identificados.
- Ausencia de un análisis suficientemente granular y detallado, incluyendo el posible efecto acumulado de distintos factores de riesgo.
- Falta de evidencia de haber recabado la opinión de las personas afectadas o de sus representantes.
- Inexistencia de un plan de acción y seguimiento de las medidas de mitigación.
- Realización del análisis después de formalizar contratos con proveedores, cuando la EIPD debía haberse realizado con carácter previo a la implantación del sistema.
¿Tienes dudas? Contacta con nosotros