Quienes nos dedicamos al asesoramiento jurídico en el ámbito de la protección de datos nos enfrentamos cada vez con mayor frecuencia a un dilema aparentemente irresoluble: la imperiosa necesidad de las organizaciones de modernizar sus procesos, optimizar la gestión de sus relaciones con los miembros y combatir prácticas fraudulentas, frente a la salvaguarda de los derechos fundamentales que el Reglamento General de Protección de Datos y nuestra Ley Orgánica 3/2018 tutelan con especial celo.
La reciente Resolución de la Agencia Española de Protección de Datos de 18 de diciembre de 2025, que impone una sanción de 500.000 euros al Fútbol Club Barcelona por el uso de la biometría en su censo de socios, constituye un ejemplo paradigmático de esta tensión.
El caso no solo es relevante por la entidad sancionada, una de las instituciones deportivas con mayor masa social del mundo, sino por las cuestiones de fondo que plantea. Nos encontramos ante un supuesto en el que una asociación privada, movida por intereses legítimos como la actualización de su censo y la lucha contra la suplantación de identidad, decidió implementar un sistema digital masivo que incluía tecnologías biométricas de reconocimiento facial y de voz.
El objetivo era loable: modernizar la relación con sus 143.000 socios, dispersos geográficamente, y depurar un censo que arrastraba problemas históricos de fraude. Sin embargo, el camino escogido para alcanzar ese fin, como a menudo ocurre en el vertiginoso mundo de la innovación tecnológica, soslayó los principios y garantías esenciales que exige nuestro ordenamiento jurídico.
La sanción final, aunque inicialmente se planteó en cifras mucho más elevadas (hasta 6 millones de euros en el acuerdo de inicio), se reduce a 500.000 euros por la infracción del artículo 35 del Reglamento General de Protección de Datos, relativo a la Evaluación de Impacto, mientras que la infracción del artículo 9 sobre datos biométricos se archivó. Este desenlace nos invita a reflexionar sobre los límites de la innovación, la responsabilidad proactiva de las entidades con gran volumen de datos y la compleja interpretación de lo que constituye un tratamiento de “alto riesgo”.
El contexto fáctico y la decisión corporativa: la primacía de la eficacia sobre el análisis preventivo
Para comprender la dimensión de la infracción, es necesario situarnos en el contexto de la decisión adoptada por la Junta Directiva del Fútbol Club Barcelona en junio de 2022. Se acordó la actualización del censo de personas asociadas, una obligación estatutaria, pero se hizo con un objetivo claro: utilizar un sistema que permitiera una “autenticación real del socio”.
La entidad valoró que el medio más efectivo, seguro y cómodo, dada la dispersión geográfica de sus 143.000 socios, era un proceso digital online que empleara tecnología biométrica. Así, se diseñó un procedimiento que, tras el inicio de sesión con credenciales tradicionales, requería al socio escanear su documento nacional de identidad por ambas caras, realizarse un “selfie” con movimiento (para acreditar vida) y, de forma opcional, grabar un fragmento de voz.
Diego Fierro Rodríguez
Normas de participación
Esta es la opinión de los lectores, no la de este medio.
Nos reservamos el derecho a eliminar los comentarios inapropiados.
La participación implica que ha leído y acepta las Normas de Participación y Política de Privacidad
Normas de Participación
Política de privacidad
Por seguridad guardamos tu IP
216.73.216.112