De Spaanse voetbalclub Osasuna heeft de AVG geschonden met het gezichtsherkenningssysteem dat het gebruikte om fans toegang te geven, zo heeft de Spaanse privacytoezichthouder AEPD geoordeeld. Bij één van de ingangen van het voetbalstadion had Osasuna een gezichtsherkenningssysteem neergezet. Fans konden zich online registreren door middel van een selfie en een scan van hun identiteitskaart. Vervolgens konden ze via het systeem toegang tot het stadion krijgen.

Het gebruik van gezichtsherkenning was niet verplicht en fans konden ook gewoon met papieren en digitale tickets toegang krijgen. Na een klacht van een fan startte de Spaanse privacytoezichthouder een onderzoek naar het systeem en ontdekte dat er veel meer gegevens werden verwerkt dan voor het doel noodzakelijk was, namelijk het verlenen van efficiënte toegang tot het stadion. Dit had volgens de AEPD ook op minder indringende manieren kunnen worden bereikt.

Hoewel fans vrijelijk toestemming konden geven moet het verwerken van gevoelige biometrische data noodzakelijk zijn, zeker wanneer er andere opties beschikbaar zijn, aldus de toezichthouder. Die stelde dat het gebruik van gezichtsherkenning niet voldoende was gerechtvaardigd in het licht van andere opties, zoals QR-codes en digitale tickets. Deze methodes bieden al een efficiënte manier om snel toegang tot het stadion te krijgen. Volgens de AEPD heeft Osasuna dan ook meerdere bepalingen van de AVG overtreden. De toezichthouder legde een boete van 200.000 euro op (pdf). Osasuna liet vorige week weten dat het in beroep tegen de boete gaat.