La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 500.000 euros al FC Barcelona por desplegar un sistema de verificación basado en biometría de voz e imagen facial para modernizar el censo de sus socios, sin realizar previamente una Evaluación de Impacto en Protección de Datos (EIPD) conforme al artículo 35 del RGPD.
Aunque el club defendía la iniciativa como un paso hacia la digitalización y la mejora en los procesos de autenticación, el uso de datos biométricos implica riesgos particularmente altos y requiere un análisis riguroso que, según la AEPD, no se llevó a cabo de forma válida
¿Qué pretendía el Barça con este sistema?
En 2023 el club puso en marcha el Perfil Digital del Socio, un mecanismo que generaba vectores biométricos a partir de la imagen facial y la voz para autenticar la identidad de cada abonado y evitar suplantaciones o usos indebidos del carnet.
La verificación se integró en la campaña de actualización del censo, que afectaba a más de 143.000 socios, lo que situaba el tratamiento en una escala especialmente sensible desde el punto de vista de protección de datos.
El proceso incluía:
Carga de imagen del DNI.
Captura de selfie con movimientos de cabeza (reconocimiento facial).
El club ofrecía también una alternativa sin biometría, pero la vía digital era la prioritaria para completar el trámite.
¿Dónde estuvo el problema?
La AEPD no cuestionó el uso de biometría per se, sino la ausencia de una EIPD válida y completa, un requisito indispensable cuando se tratan categorías especiales de datos o cuando los riesgos para derechos y libertades son elevados.
El Barça entregó análisis de riesgos, pero estos no cumplían los requisitos de una EIPD conforme al RGPD, quedándose cortos en varios elementos esenciales.
Inicialmente, la propuesta de sanción ascendía a casi 6 millones de euros, pero el club consiguió reducirla durante el procedimiento hasta los 500.000 €, cantidad que ha decidido recurrir por considerarla desproporcionada
Un caso relevante en el sector de la privacidad y protección de datos
Este caso representa un ejemplo claro de la tensión entre la innovación tecnológica y el cumplimiento normativo. Cada vez más organizaciones (deportivas, públicas y privadas) buscan aprovechar las ventajas de la biometría para mejorar procesos de identificación y seguridad. Sin embargo, la AEPD ha dejado claro que:
La biometría no puede desplegarse sin un análisis detallado de riesgos.
El volumen de personas afectadas aumenta la obligación de diligencia.
Una EIPD no es un trámite administrativo, sino un análisis profundo, documentado y previo.
Como concluye la resolución, no basta con documentos parciales o estudios técnicos: la normativa exige una EIPD completa, estructurada y correctamente ejecutada.
La biometría exige el máximo nivel de protección.
Su carácter irreversible (no se puede “cambiar de cara” o de voz) la convierte en un dato extremadamente sensible.
Escala = mayor responsabilidad.
Procesar datos biométricos de más de 140.000 personas multiplica el riesgo y el impacto potencial.
La EIPD debe ser previa y exhaustiva.
No puede improvisarse ni sustituirse por un análisis de riesgos genérico.
Transparencia y alternativas.
Aunque el Barça ofrecía vías no biométricas, esto no exime del cumplimiento estricto del RGPD.
La sanción al FC Barcelona se convierte en un caso de referencia para todas las entidades que planean incorporar biometría en sus procesos. La modernización tecnológica nunca puede estar por encima del cumplimiento normativo, y este expediente confirma que la AEPD seguirá actuando con contundencia cuando los derechos de miles de ciudadanos estén en juego.
Si eres una organización que está evaluando implementar biometría, en Forlopd siempre recomendamos realizar una EIPD sólida, completa y revisada por expertos desde la fase de diseño. Cumplir con las normativas no solo evita sanciones: protege la confianza de quienes depositan sus datos en ti.
