Πρόστιμο ύψους 500.000 ευρώ επέβαλε η ισπανική αρχή προστασίας δεδομένων στην Μπαρτσελόνα (Fútbol Club Barcelona – FSB) για παράβαση του άρθρου 35 του Γενικού Κανονισμού Προστασίας Δεδομένων, στο πλαίσιο διαδικασίας που κινήθηκε έπειτα από καταγγελίες μελών του συλλόγου σχετικά με τη χρήση βιομετρικών δεδομένων κατά την επικαιροποίηση του μητρώου των μελών.
Η διαδικασία ξεκίνησε στις 21 Απριλίου 2023, όταν κατατέθηκε στην AEPD καταγγελία από μέλος του συλλόγου, το οποίο αμφισβήτησε τη νομιμότητα της διαδικασίας επικαιροποίησης των στοιχείων των μελών που είχε θέσει σε εφαρμογή η Μπαρτσελόνα. Σύμφωνα με την καταγγελία, ο σύλλογος είχε ξεκινήσει εκστρατεία επικαιροποίησης του μητρώου των μελών, η οποία παρουσιαζόταν ως υποχρεωτική σύμφωνα με το καταστατικό του σωματείου και έπρεπε να ολοκληρωθεί έως τις 30 Ιουνίου 2023. Για την έναρξη της διαδικασίας, τα μέλη λάμβαναν μήνυμα ηλεκτρονικού ταχυδρομείου που περιείχε σύνδεσμο προς σχετική ηλεκτρονική πλατφόρμα.
Σύμφωνα με τον καταγγέλλοντα, κατά τη διάρκεια της διαδικασίας απαιτείτο η λήψη βιομετρικών δεδομένων μέσω καταγραφής της εικόνας του προσώπου. Ειδικότερα, ενώ στη σχετική ενημέρωση αναφερόταν ότι η χρήση βιομετρικών δεδομένων θα πραγματοποιούνταν μόνο εφόσον παρεχόταν συγκατάθεση, στην πράξη ζητείτο από τον χρήστη να πραγματοποιήσει κινήσεις του κεφαλιού, όπως να το μετακινήσει προς τα πάνω και προς τα κάτω, προκειμένου να ολοκληρωθεί η διαδικασία αναγνώρισης προσώπου. Σύμφωνα με την καταγγελία, η ενέργεια αυτή συνιστούσε επεξεργασία βιομετρικών δεδομένων, χωρίς να παρέχεται δυνατότητα ολοκλήρωσης της διαδικασίας χωρίς τη σχετική επεξεργασία.
Η καταγγελία αυτή δεν ήταν η μοναδική, αφού σύντομα ακολούθησαν και άλλες καταγγελίες από μέλη του συλλόγου. Σε μία από αυτές επισημάνθηκε ότι η απαίτηση παροχής βιομετρικών δεδομένων στο πλαίσιο της διαδικασίας επικαιροποίησης του μητρώου θα μπορούσε να αντίκειται στη νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα. Οι σχετικές καταγγελίες έγιναν δεκτές προς εξέταση από την εποπτική αρχή.
Κατά την εξέταση της υπόθεσης διαπιστώθηκε ότι στο πλαίσιο της διαδικασίας επικαιροποίησης του μητρώου χρησιμοποιήθηκαν τεχνολογίες βιομετρικής ταυτοποίησης. Συγκεκριμένα, η διαδικασία ψηφιακής ταυτοποίησης των μελών περιλάμβανε τη χρήση λογισμικού για σύγκριση προσώπου καθώς και συστήματος αυθεντικοποίησης μέσω φωνής, ενώ στο πλαίσιο της επεξεργασίας αυτής συλλέγονταν βιομετρικά δεδομένα εικόνας και φωνής για σκοπούς ταυτοποίησης των μελών. Τα μέλη που υποβλήθηκαν σε βιομετρική εξακρίβωση ήταν περισσότερα από 112.000, ενώ 72.000 μέλη συναίνεσαν και στη δημιουργία βιομετρικού προφίλ φωνής.
Σύμφωνα με τα στοιχεία που προσκομίστηκαν κατά τη διαδικασία, τα δεδομένα αποθηκεύονταν σε διακομιστές εντός του Ευρωπαϊκού Οικονομικού Χώρου και προβλέπονταν μέτρα ασφάλειας όπως η ψευδωνυμοποίηση, η κρυπτογράφηση και διαδικασίες τακτικής αξιολόγησης της αποτελεσματικότητας των τεχνικών και οργανωτικών μέτρων προστασίας.
Εξετάζοντας τις καταγγελίες, η AEPD ζήτησε από τον σύλλογο να προσκομίσει εκτίμηση αντικτύπου για την επίμαχη επεξεργασία. Ο σύλλογος απάντησε ότι είχε πραγματοποιήσει αξιολόγηση κινδύνου και είχε καταλήξει στο συμπέρασμα ότι η διενέργεια εκτίμησης αντικτύπου δεν ήταν απαραίτητη, καθώς θεωρούσε ότι η συγκεκριμένη επεξεργασία δεν ενείχε πιθανό υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των υποκειμένων των δεδομένων.
Στις 23 Δεκεμβρίου 2024 η AEPD αποφάσισε την έναρξη διαδικασίας επιβολής κυρώσεων κατά της Μπαρτσελόνα, εξετάζοντας ενδεχόμενες παραβάσεις των άρθρων 9 και 35 ΓΚΠΔ. Στο πλαίσιο της αρχικής εκτίμησης των περιστάσεων, η ισπανική αρχή είχε θεωρήσει ότι θα μπορούσε να επιβληθεί πρόστιμο ύψους 4 εκατ. ευρώ για την παράβαση του άρθρου 9 και 2 εκατ. ευρώ για την παράβαση του άρθρου 35.
Ενώπιον της αρχής, ο σύλλογος υποστήριξε ότι τα βιομετρικά δεδομένα χρησιμοποιήθηκαν αποκλειστικά για σκοπούς επαλήθευσης της ταυτότητας και όχι για άλλους σκοπούς επεξεργασίας. Επίσης υποστήριξε ότι η χρήση της τεχνολογίας αναγνώρισης προσώπου κρίθηκε αναγκαία για την αντιμετώπιση περιστατικών απάτης που σχετίζονταν με τη χρήση καρτών μέλους και εισιτηρίων. Σύμφωνα με τα στοιχεία που προσκομίστηκαν, μεγάλος αριθμός καρτών μελών δεν χρησιμοποιούνταν από τους πραγματικούς κατόχους τους, γεγονός που, κατά τον σύλλογο, καθιστούσε απαραίτητη την εφαρμογή συστημάτων ταυτοποίησης με μεγαλύτερη ακρίβεια.
Στο πλαίσιο της διαδικασίας αναφέρθηκε επίσης ότι ο σύλλογος είχε εξετάσει την εφαρμογή συστήματος αυθεντικοποίησης μέσω φωνής για ορισμένες διαδικασίες, ωστόσο τελικά αποφάσισε να μην θέσει σε λειτουργία το συγκεκριμένο σύστημα και να υποβάλει τη νομιμότητα και καταλληλότητά του σε περαιτέρω αξιολόγηση από τον Υπεύθυνο Προστασίας Δεδομένων του συλλόγου. Παράλληλα, αναφέρθηκε ότι όλα τα καταγεγραμμένα δεδομένα φωνής διαγράφηκαν, καθώς αποφασίστηκε να μην χρησιμοποιηθεί η φωνή ως μέσο επαλήθευσης ταυτότητας σε τηλεφωνικές διαδικασίες.
Μετά την ολοκλήρωση της εξέτασης της υπόθεσης, η AEPD κατέληξε ότι στοιχειοθετείται παράβαση του άρθρου 35 ΓΚΠΔ, καθώς δεν πραγματοποιήθηκε εκτίμηση αντικτύπου για την επίμαχη επεξεργασία, ενώ όμως παράλληλα αρχειοθετήθηκε η εξετασθείσα παραβίαση του άρθρου 9 ΓΚΠΔ, με μια ενδιαφέρουσα ανταλλαγή επιχειρημάτων σχετικά με τη διαφορά μεταξύ βιομετρικής ταυτοποίησης και εξακρίβωσης.
Η Μπαρτσελόνα ισχυρίστηκε ότι η Γνώμη 3/2012 της Ομάδας Εργασίας του Άρθρου 29 για τις εξελίξεις στις βιομετρικές τεχνολογίες κάνει σαφή διάκριση μεταξύ βιομετρικής ταυτοποίησης και εξακρίβωσης/επαλήθευσης, όπως έκανε και η Λευκή Βίβλος της Ευρωπαϊκής Επιτροπής για την τεχνητή νοημοσύνη.
Παράλληλα, επικαλέστηκε τον ορισμό του άρθρου 4 περ. 14 ΓΚΠΔ, σύμφωνα με τον οποίο ως βιομετρικά δεδομένα λογίζονται τα δεδομένα «τα οποία επιτρέπουν ή επιβεβαιώνουν την αδιαμφισβήτητη ταυτοποίηση» ενός φυσικού προσώπου, αλλά και το ίδιο το άρθρο 9 παρ.1 ΓΚΠΔ, όπου ρητώς αναφέρεται πως στην αυξημένη προστασία του εντάσσονται τα βιομετρικά δεδομένα «με σκοπό την αδιαμφισβήτητη ταυτοποίηση προσώπου». Ως εκ τούτου, η βιομετρική εξακρίβωση (αντιστοίχιση «ένα-προς-ένα») που πραγματοποίησε δεν ενέπιπτε στο πεδίο εφαρμογής του άρθρου 9 ΓΚΠΔ, κάτι άλλωστε που είχε υιοθετήσει και η ίδια η AEPD μέχρι τον Νοέμβριο του 2023.
Η τελευταία παρατήρηση ήταν κρίσιμη, δεδομένου ότι η Μπαρτσελόνα δεν θα μπορούσε, όπως σαφώς ισχυρίστηκε, να ελέγχεται για την παραβίαση διάταξης που την περίοδο εκείνη δεν ετύγχανε εφαρμογής, σύμφωνα με την ίδια την αρμόδια εποπτική αρχή.
Ο ισχυρισμός αυτός έγινε δεκτός από την AEPD, η οποία αναγνώρισε πως στον Οδηγό για τις εργασιακές σχέσεις, που είχε εκδώσει το 2021, είχε δεχθεί – ερμηνεύοντας τη Γνώμη 3/2012 ΟΕ29 – ότι ο ΓΚΠΔ δεν θεωρεί κάθε επεξεργασία βιομετρικών δεδομένων ως επεξεργασία ειδικών κατηγοριών δεδομένων, δεδομένου ότι το άρθρο 9 παρ. 1 αναφέρεται σε βιομετρικά δεδομένα που αποσκοπούν στην αδιαμφισβήτητη ταυτοποίηση ενός προσώπου και είχε καταλήξει πως τα βιομετρικά δεδομένα θα αποτελούσαν ειδική κατηγορία δεδομένων μόνο στην περίπτωση που υποβάλλονται σε συγκεκριμένη τεχνική επεξεργασία με σκοπό την ταυτοποίηση.
Η άποψη αυτή της ισπανικής αρχής μεταβλήθηκε μετά την έκδοση των Κατευθυντηρίων Γραμμών 5/2022 ΕΣΠΔ, όπου ρητώς έγινε δεκτό πως αμφότερες οι διαδικασίες, τόσο η βιομετρική εξακρίβωση/επαλήθευση (έλεγχος της ταυτότητας), όσο και η ταυτοποίηση συνιστούν επεξεργασία ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα. Η θέση αυτή υιοθετήθηκε από την AEPD στις 23-11-2023, ωστόσο οι πράξεις επεξεργασίας που σχεδίασε και υλοποίησε η Μπαρτσελόνα είχαν προηγηθεί της μετατόπισης αυτής, ως εκ τούτου τεκμαίρονταν, κατά τον χρόνο εκείνο, ως ευρισκόμενες εκτός του άρθρου 9 ΓΚΠΔ.
Η AEPD κατέληξε στην παραβίαση μόνο του άρθρου 35 ΓΚΠΔ, για την οποία επέβαλε διοικητικό πρόστιμο ύψους 500.000 ευρώ.
Πηγή: AEPD
