Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 120 000 euro mot Burgos Club de Fútbol, S.A.D. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Burgos Club de Fútbol infört ett system för insamling av biometriska uppgifter som innebar att de cirka 700 medlemmarna på läktaren för supporters var tvungna att lämna sina fingeravtryck för att få tillträde. Systemet fastställde ingen minimiålder, utan tillät insamling av biometriska uppgifter från alla minderåriga vars föräldrar eller vårdnadshavare samtyckte. Den biometriska behandlingen krävdes enligt ett avtal som antagits av den statliga kommissionen mot våld, rasism, främlingsfientlighet och intolerans inom idrotten. Fingeravtryckssystemet, som delades ut till fotbollsklubbar av den spanska fotbollsligan (La Liga), samlade in de registrerades namn, nationella ID-kortnummer, systemidentifieringsnummer och fingeravtrycksmönster. Fingeravtryckssystemet ersatte det tidigare inpasseringssystemet, som tillät inpassering efter kontroll av identitetskort. Burgos Club de Fútbol publicerade information om systemet och behandlingens rättsliga grund på sin webbplats.
I november 2022 lämnades två klagomål in till AEPD där det hävdades att den biometriska kontrollen var överdriven och att de registrerade inte informerades tillräckligt om behandlingen. I februari 2023 upphörde Burgos Club de Fútbol med den obligatoriska insamlingen av biometriska uppgifter och gav istället de registrerade möjlighet att gå in med sina ID-kort eller med fingeravtryck.
Efter en genomgång av ärendet konstaterade AEPD att Burgos Club de Fútbol saknade rättslig grund för att behandla de biometriska uppgifterna eftersom klubben inte hade ett undantag enligt artikel 9.2 GDPR. Före februari 2023 angav Burgos Club de Fútbol att behandlingen krävdes för att fullgöra en rättslig förpliktelse, vilket fastställde en rättslig grund för behandlingen enligt artiklarna 6.1 (c), 9.2 (b) och 9.2 (g) GDPR. Efter februari 2023 ändrade Burgos Club de Fútbol klubbens rättsliga grund till samtycke enligt artiklarna 6.1 (a) och 9.2 (a) GDPR. Burgos Club de Fútbol bestred inte att behandlingen av uppgifter före februari 2023 saknade rättslig grund.
AEPD konstaterade vidare att behandlingen både före och efter februari 2023 stred mot principerna om uppgiftsminimering. Klassificeringen som en särskild kategori av uppgifter kräver särskild försiktighet utöver de skyldigheter som följer av artikel 5.1 (c) GDPR. I enlighet med artikel 35.7 GDPR, betonade AEPD, måste de personuppgiftsansvariga också analysera lämpligheten, nödvändigheten och proportionaliteten av behandlingen innan de behandlar särskilda kategorier av uppgifter. När det finns icke-biometriska alternativ som tjänar samma syfte är det inte nödvändigt att behandla särskilda kategorier av uppgifter och det strider mot GDPR. I det här fallet var behandlingen varken nödvändig eller proportionell eftersom säkerhetsändamålen kunde ha uppfyllts med det tidigare systemet för id-kontroll.
Vidare konstaterade AEPD att Burgos Club de Fútbol överträtt artikel 8 GDPR både före och efter februari 2023, eftersom den tillät minderåriga att använda biometriska uppgifter för att komma in på läktaren utan att fastställa en minimiålder.
AEPD konstaterade även att Burgos Club de Fútbol inte fullgjort klubbens informationsskyldighet enligt artikel 13 GDPR vid behandlingen före februari 2023. I Burgos Club de Fútbol informationsdokument angavs att det var nödvändigt för de registrerade att samtycka till biometrisk behandling för att få tillträde till läktaren. Med hänsyn till att det, som tidigare diskuterats, inte fanns någon rättslig grund för behandlingen av uppgifterna före februari 2023, konstaterade AEPD att den felaktiga uppgiften om rättslig förpliktelse utgjorde en underlåtenhet att på ett adekvat sätt informera de registrerade om behandlingen av deras uppgifter och därmed en överträdelse av artikel 13 GDPR.
Slutligen konstaterade AEPD en sannolik överträdelse av artikel 35 GDPR. Enligt artikel 35 GPDR ska en konsekvensbedömning avseende dataskydd göras före behandling av högriskuppgifter, vilket biometriska uppgifter alltid anses vara enligt artikel 35.4 GDPR. Burgos Club de Fútbol lämnade en konsekvensbedömning avseende dataskydd daterad februari 2023, men behandlingen påbörjades november 2022. Bedömningen gjordes således flera månader efter det att behandlingen hade ägt rum, vilket tyder på att biometriska uppgifter behandlades i strid med artikel 35 GDPR under mer än tre månader.
Sanktionsavgiften uppgick ursprungligen till 200 000 euro, men sänktes till 120 000 euro efter att Burgos Club de Fútbol gjort en omgående betalning och erkänt sitt ansvar för överträdelsen.