O Burgos Club de Fútbol, S.A.D. foi multado em €200.000 pela Agência Espanhola de Proteção de Dados (AEPD) por não possuir uma base legal para processar dados biométricos e violar as obrigações de necessidade e proporcionalidade. O clube implementou um sistema de coleta de dados biométricos em 4 de novembro de 2022, exigindo impressões digitais dos cerca de 700 membros das arquibancadas para entrada nos jogos. Esse sistema foi adotado em resposta a um acordo da Comissão Estatal contra violência, racismo, xenofobia e intolerância no esporte.

Após reclamações e uma análise subsequente, descobriu-se que o clube começou a coletar os dados antes de realizar uma avaliação de impacto sobre a proteção de dados, que só foi apresentada em 15 de fevereiro de 2023, e não possuía uma base legal adequada para o processamento dos dados biométricos até essa data. Além disso, a AEPD considerou que o processamento violava os princípios de minimização de dados, uma vez que sistemas alternativos que não requerem dados biométricos poderiam alcançar o mesmo objetivo de controle de acesso.

O clube também falhou em cumprir as obrigações de informação sob o Artigo 13 do GDPR, especialmente antes de 15 de fevereiro de 2023, ao indicar erroneamente que a coleta de dados biométricos era necessária para acesso às arquibancadas, o que não tinha base legal até então. O clube reconheceu sua falha e optou por pagar uma multa reduzida de €120.000, conforme permitido pela legislação nacional, após admitir responsabilidade pelas violações alegadas.

Com informações GDPRHub

Este post foi resumido a partir de sua versão original  com o uso do ChatGPT versão 4.