De Spaanse privacytoezichthouder AEPD heeft de Spaanse voetbalcompetitie LaLiga een boete van 1 miljoen euro opgelegd voor het niet uitvoeren van een data protection impact assessment (DPIA) toen het biometrische identificatie voor toegang tot voetbalstadions verplichtte (pdf). Het ging daarbij specifiek om toegang tot speciale fanvakken. Fans kregen hier alleen toegang toe als ze een vingerafdruk- of gezichtsscan ondergingen.

De verplichting voor deze biometrische controle werd begin 2023 door LaLiga aan Spaanse voetbalclubs gecommuniceerd. LaLiga bood clubs ook een toegangssysteem om aan deze nieuwe regel te voldoen. Een voetbalfan maakte bij de AEPD bezwaar tegen de biometrische controle, waarop de Spaanse privacytoezichthouder een onderzoek startte.

De AEPD stelde vast dat LaLiga de verwerkingsverantwoordelijke was, in tegenstelling tot wat de voetbalcompetitie zelf beweerde. LaLiga stelde dat elke voetbalclub als verwerkingsverantwoordelijke moest worden gezien. De Spaanse privacytoezichthouder wees echter naar de verplichting die LaLiga had opgelegd en het toegangssysteem dat het clubs bood.

Volgens de AEPD had LaLiga wegens het verwerken van biometrische gegevens een DPIA moeten uitvoeren. Met een DPIA worden vooraf de privacyrisico's die bij het verwerken van gegevens komen kijken in kaart gebracht. Vervolgens kunnen er maatregelen worden getroffen om de risico's te verkleinen. Artikel 35 van de AVG verplicht het uitvoeren van een 'gegevensbeschermingseffectbeoordeling' (DPIA).

"Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Eén beoordeling kan een reeks vergelijkbare verwerkingen bestrijken die vergelijkbare hoge risico's inhouden."

Vanwege de omvang van de gegevensverwerking en de gevoelige aard van biometrische gegevens besloot de AEPD een boete van 1 miljoen euro op te leggen. Daarnaast heeft het LaLiga opgedragen om de biometrische gegevensverwerking te stoppen totdat er een DPIA is uitgevoerd, waarbij de noodzakelijkheid en proportionaliteit van de verwerking moet worden beoordeeld. LaLiga heeft aangegeven tegen de boete in beroep te gaan.