En un paso que el FC Barcelona esperaba fuese una modernización clave para su relación con los socios, el club se ha encontrado con una significativa sanción por parte de la Agencia Española de Protección de Datos (AEPD). La entidad blaugrana ha sido multada con 500.000 euros por implementar un sistema de verificación de identidad mediante datos biométricos, como la voz o la imagen facial, sin realizar la obligatoria evaluación de impacto que exige el Reglamento General de Protección de Datos (RGPD).

La iniciativa del club buscaba reforzar la seguridad en la identificación de sus socios y mitigar posibles suplantaciones, un objetivo loable en la era digital. Sin embargo, la AEPD no ha cuestionado la tecnología biométrica en sí misma, sino la ausencia de un análisis previo y exhaustivo de los riesgos. Según el regulador, el Barça no llevó a cabo una Evaluación de Impacto en Protección de Datos (EIPD) completa y ajustada al artículo 35 del RGPD, un requisito fundamental antes de poner en marcha tratamientos de datos que suponen un riesgo elevado para los derechos y libertades individuales.

El sistema del FC Barcelona procesaba rasgos biométricos para generar lo que se conocen como “vectores biométricos” a partir de la imagen y la voz del socio. Estos vectores servían como referencia para validar la identidad en diversos trámites digitales. La fase de verificación comenzó en marzo de 2023, permitiendo a los socios actualizar su censo tanto a distancia como presencialmente. Es importante destacar que el club sí ofrecía una vía alternativa para aquellos que no deseaban utilizar la biometría, permitiendo la identificación por métodos tradicionales.

Un factor determinante para la AEPD fue la escala del proyecto. Con un censo que ronda los 143.000 socios, el volumen de personas afectadas elevaba considerablemente el nivel de riesgo potencial para sus derechos de privacidad. Aunque el FC Barcelona presentó informes sobre los sistemas biométricos, la AEPD concluyó que estos documentos no cumplían con los requisitos de una evaluación de impacto completa según el RGPD.

Inicialmente, la investigación contempló una posible infracción del artículo 9 del RGPD, que regula el tratamiento de categorías especiales de datos, como los biométricos, cuando se utilizan para la identificación unívoca. No obstante, la AEPD decidió archivar esta parte de la infracción al no quedar acreditados los elementos necesarios para su aplicación.

Frente a esta sanción, el FC Barcelona ha anunciado que recurrirá la decisión, defendiendo su actuación. El club también ha señalado que la sanción inicial propuesta era significativamente mayor, cercana a los 6 millones de euros, y que lograron reducirla a los 500.000 euros finalmente impuestos. Este caso es un claro recordatorio de que la innovación tecnológica, especialmente cuando implica datos sensibles, debe ir de la mano con una rigurosa adhesión a las normativas de protección de datos para salvaguardar la privacidad de los usuarios.