Boete van € 1.000.000 voor LaLiga

In maart 2023 heeft LaLiga (verwerkingsverantwoordelijke) een verordening uitgevaardigd voor voetbalclubs in Spanje die de implementatie van wijzigingen vereist in de manier waarop clubs toegang verlenen tot hun stadions. Voor gewone kaarthouders kunnen clubs hun klanten hun fysieke ticket laten tonen om toegang te krijgen, of een elektronisch ticket verstrekken en een vingerafdrukscanner gebruiken. Voor toegang tot de "animatietribunes", gereserveerd voor de grootste fans van het thuisteam, moesten klanten biometrische identificatie ondergaan door middel van vingerafdrukken of gezichtsherkenning, en toestemming geven voor deze verwerking op het punt van binnenkomst, anders werd de toegang geweigerd. LaLiga bood de clubs ook een toegangssysteem aan voor de uitvoering en naleving van de bijgewerkte toegangsrichtlijnen.

Op 4 november 2022 diende een fan een klacht in tegen LaLiga bij de AEPD.

De AEPD stelde eerst vast dat LaLiga de verwerkingsverantwoordelijke was en verwierp de bewering van de verwerkingsverantwoordelijke dat elke club in zijn eigen opzicht als verwerkingsverantwoordelijke moest worden beschouwd. Daarbij heeft de AEPD zich gericht op de terbeschikkingstelling door de verwerkingsverantwoordelijke van het toegangssysteem dat in overeenstemming was met hun regelgeving, en de snelheid waarmee het ter beschikking werd gesteld aan clubs die daarom vroegen.

De AEPD oordeelde dat de verwerkingsverantwoordelijke artikel 35 had geschonden door geen DPIA uit te voeren voorafgaand aan de aanvang van de verwerking. De GBA benadrukte zowel het risicovolle karakter van de verwerking in kwestie, d.w.z. biometrische verwerking, als de grootschalige schaal.

De AEPD legde een boete op van 1.000.000 euro voor de overtreding van artikel 35, lid 1. Het beval ook de opschorting van de biometrische verwerking totdat een DPIA naar behoren was uitgevoerd, waarbij de noodzaak en evenredigheid van de verwerking werden beoordeeld.

Bron: AEPD (Spanje) - EXP202315637 - GDPRhub