AEPD: La liga tracci senza dati biometrici gli ingressi allo stadio (v. questione dpia) Expediente N.º: EXP202315637

L'analisi è riservata agli iscritti. Segui la newsletter dell'Osservatorio oppure il Podcast iscrizione gratuita 30 giorni

-

Eestimated reading time: 379 min 1 / 139  Expediente N.º: EXP202315637 RESOLUCIÓN DE PROCEDIMIEN ...

 

Testo riservato. Per iscriversi: all'Osservatorio - al Podcast (30 gg gratuito)

PROCEDIMIENTO SANCIONADOR
Del procedimiento instruido por la Agencia Española de Protección de Datos y en base a los
siguientes
ANTECEDENTES .......................................................................................................... 3
PRIMERO: Denuncias presentadas. .......................................................................... 3
SEGUNDO: Acuerdo de actuaciones previas de investigación .................................. 3
TERCERO: Inicio de actuaciones previas .................................................................. 4
3.1 Petición de información a la LNFP .................................................................... 4
3.2 Petición de información al C.S.D. .................................................................... 11
CUARTO: Petición de información adicional ............................................................ 14
4.1 Petición de información adicional a la LNFP. .................................................. 14
4.2 Petición de información adicional al C.S.D. ..................................................... 19
4.3 Petición de información a la SOCIEDAD ESPAÑOLA DE FÚTBOL PROFESIONAL SAU
(SEFPSA) ............................................................................................................. 20
QUINTO: Volumen de negocio de la LNFP .............................................................. 23
SEXTO: Acuerdo de inicio ........................................................................................ 23
SÉPTIMO: Petición de ampliación de plazo y copia del expediente ......................... 24
OCTAVO: Alegaciones de 25/01/2024 ...................................................................... 24
NOVENO: Auto de la AN de 2/04/2024, pieza separada medidas cautelares .......... 33
DÉCIMO: Segundo y tercer escrito de la reclamada de alegaciones. ...................... 34
DÉCIMO PRIMERO: Propuesta de resolución ......................................................... 35
DÉCIMO SEGUNDO: Alegaciones a la propuesta de resolución. ............................ 35
1- “Vulneración de los derechos de la liga y fundamento de derecho de la propuesta” 36
2-“El presupuesto esencial de la propuesta de resolución” ................................... 41
3- “ La LNFP no puede ser considerada en ningún caso responsable del tratamiento de los
datos personales con la finalidad de acceso a los estadios” ................................. 47
4- “Imposibilidad material de que la liga pueda llevar a cabo una EIPD”. ............. 54
5- “Vulneración de los principios del derecho sancionador en la determinación de la sanción
propuesta” ............................................................................................................. 54
HECHOS PROBADOS ................................................................................................ 68
PRIMERO: ............................................................................................................... 68
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

2 / 139
SEGUNDO: .............................................................................................................. 68
TERCERO: ............................................................................................................... 69
CUARTO: ................................................................................................................. 70
QUINTO: .................................................................................................................. 71
SEXTO: .................................................................................................................... 71
SÉPTIMO: ................................................................................................................ 72
OCTAVO: .................................................................................................................. 72
NOVENO: ................................................................................................................. 72
DÉCIMO: .................................................................................................................. 73
DÉCIMO PRIMERO: ................................................................................................ 73
DÉCIMO SEGUNDO: ............................................................................................... 74
DÉCIMO TERCERO: ................................................................................................ 74
FUNDAMENTOS DE DERECHO ................................................................................. 75
I Competencia .......................................................................................................... 75
II Régimen jurídico de la venta de abonos y entradas a los estadios- Relación con sus
accesos a los recintos deportivos. Estatuto de la LNFP. ........................................... 75
2.1. Régimen jurídico de la venta de abonos y entradas a los estadios- Relación
con sus accesos a los recintos deportivos. ........................................................... 75
2.2. Estatuto de la LNFP. ...................................................................................... 79
2.3. Normativa legal y reglamentaria en materia de antiviolencia ......................... 84
III Definición de datos de carácter personal y de datos biométricos ......................... 85
3.1. Datos personales ........................................................................................... 85
3.2. Datos biométricos .......................................................................................... 87
3.3. Sistema biométrico de la LNFP ...................................................................... 91
3.4. Conclusión. .................................................................................................... 93
IV Responsable del tratamiento ................................................................................ 93
V Obligaciones presuntamente incumplidas por la LNFP- Evaluación de Impacto de
Protección de Datos ............................................................................................... 106
VI Respuesta a alegaciones ................................................................................... 115
VII Tipificación y calificación de la infracción .......................................................... 124
VIII Propuesta de sanción ...................................................................................... 124
IX Adopción de medidas ......................................................................................... 138
RESUELVE: ............................................................................................................... 139
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

3 / 139
ANTECEDENTES
PRIMERO: Denuncias presentadas.
Con fecha 4/11/2022, la Agencia Española de Protección de Datos ha tenido conocimiento a
través de una denuncia, de ciertos hechos que podrían vulnerar la legislación en materia de
protección de datos.
El denunciante manifiesta que la Comisión Permanente de la Comisión Estatal contra la
Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte (CEVRXID), dependiente
del Consejo Superior de Deportes (C.S.D.) ha adoptado un acuerdo, según el cual, el
acceso a las gradas de animación en los estadios de fútbol se llevará a cabo a través de
control biométrico. Añade, que en algunos equipos de fútbol ya están adoptando estas
formas de acceso, incluso para acceso al resto de zonas del estadio.
Considera que el tratamiento llevado a cabo supone un “exceso en el sentido del artículo 5.1
c) del RGPD ”, y que “ los mismos controles de acceso se pueden llevar a cabo a través de
abonos nominales y, si por cuestiones de seguridad fuese necesario, mediante la solicitud
de exhibición del DNI .”
Con posterioridad, el día 22/03/2023, se acusó recibo de una nueva denuncia (número de
registro ***REFERENCIA.1) que apunta la implementación por parte de la LIGA NACIONAL
DE FÚTBOL PROFESIONAL ( LNFP ), a través del REGLAMENTO GENERAL DE LA LIGA
NACIONAL DE FÚTBOL PROFESIONAL, (RGLNFP), de mecanismos de control de acceso
a los estadios de fútbol basados en datos biométricos. Según una noticia que acompaña el
***URL.1 ., en el estadio “ ***ESTADIO.1 ”, se ha implantado el acceso mediante
reconocimiento facial.
Expresa este denunciante que estas actuaciones implican el tratamiento de categorías
especiales de datos personales, debiendo en tal caso cumplirse el artículo 9 del RGPD.
Aporta copia del RGLNFP (versión aprobada por el C.S.D. en sesión de 7/11/2022), en cuyo
LIBRO XII se regula el “ Reglamento de venta de abonos y entradas ”, (RVAE) y el artículo
XII.2 “ condiciones para la venta de abonos en gradas de animación .”
SEGUNDO: Acuerdo de actuaciones previas de investigación
C omo consecuencia de la denuncia, la Directora de la Agencia Española de Protección de
Datos, acuerda el 2/1/2023 la realización de actuaciones previas de investigación de
conformidad con lo establecido en el artículo 67 de la Ley Orgánica 3/2018, de 5/12, de
Protección de Datos Personales y garantía de los derechos digitales (en adelante
LOPDGDD), con el fin de lograr una mejor determinación de los hechos y las circunstancias
que justifiquen la tramitación del procedimiento.
TERCERO: Inicio de actuaciones previas
La Subdirección General de Inspección de Datos procedió a la realización de actuaciones
previas de investigación para la determinación de los hechos en cuestión, EXP202213792,
AI/00444/2022, por la asignación de las funciones atribuidas a las autoridades de control en
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

4 / 139
el artículo 57.1 y los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679
(Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo
establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD.
3.1 Petición de información a la LNFP
Con fecha 17/02/2023, se solicita a la LNFP en relación con los controles de acceso a los
estadios de los Clubes y SAD (sociedades anónimas deportivas), miembros) que forman
parte de la LNFP, lo siguiente:
3.1.1. Aportar el conjunto de normas, instrucciones, recomendaciones, etc. aprobadas por la
LNFP y actualmente en vigor en relación con los distintos aspectos del tratamiento de datos
personales (principios, bases de legitimación, categorías especiales de datos, deber de
información, derechos de los interesados, plazos de conservación etc.) derivado del control
de acceso a los estadios de sus miembros. Indicar para cada una de las normas referidas, la
fecha desde la que se encuentra en vigor, si tiene carácter de recomendación u obligación, y
si la aprobación de sus términos deriva de la promulgación de normas de carácter estatal.
La LNFP respondió con fecha 10/03/2023.
Cita el artículo 56.3 de la ley 39/2022 del Deporte, de 30/12, BOE 31/12/2022, entrada en
vigor desde el día siguiente a su publicación, (LD 2022) la ratificación por el C.S.D. de los
estatutos sociales y reglamentos de la LNFP. Manifiesta que los reglamentos aprobados por
la LNFP para el adecuado desarrollo de la competición no proceden de la mera voluntad
unilateral de aquella, sino de su aprobación por el C.S.D., constituyéndose en actos
administrativos emanados de dicho órgano, siendo por tanto susceptibles de recurso
contencioso administrativo.
Indica que la LNFP carece de capacidad para adoptar normas reguladoras de las
competiciones sujetas a la misma, siendo preciso el refrendo de la Administración Pública.
Considera que todas las normas que se han solicitado fueron aprobadas por el C.S.D.
Cita la doctrina de la sentencia del Tribunal Supremo de 19/02/2020, recurso de casación
670/2018 como ejemplo de naturaleza jurídica de la LNFP en un asunto de resolución en
ejercicio de sus competencias por la Asociación de Clubs de Baloncesto (Liga Profesional de
baloncesto) por la negativa a inscribir a un Club, tomada en desarrollo de su Reglamento.
La cuestión era si el C.S.D. era competente en los recursos contra resoluciones adoptadas
por la citada Asociación.
La sentencia indica (fundamento de derecho tercero):

“Las Ligas Profesionales son una de las formas de asociación deportiva contempladas en
la Ley 10/1990, de 15 de octubre, del Deporte (LD) y son definidas como “asociaciones de
Clubes que se constituirán, exclusiva y obligatoriamente, cuando existan competiciones
oficiales de carácter profesional y ámbito estatal, según lo establecido en el artículo 41 de la
presente Ley.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

5 / 139
El artículo 41 dispone que ”1. En las Federaciones deportivas españolas donde exista
competición oficial de carácter profesional y ámbito estatal se constituirán Ligas, integradas
exclusiva y obligatoriamente por todos los Clubes que participen en dicha competición.
2. Las Ligas profesionales tendrán personalidad jurídica, y gozarán de autonomía para su
organización interna y funcionamiento respecto de la Federación deportiva española
correspondiente de la que formen parte.
3. Los Estatutos y reglamentos de las Ligas profesionales serán aprobados por el Consejo
Superior de Deportes, previo informe de la Federación deportiva española correspondiente,
debiendo incluir, además de los requisitos generales señalados reglamentariamente, un
régimen disciplinario específico.
4. Son competencias de las Ligas profesionales, además de las que pueda delegarles la
Federación deportiva española correspondiente, las siguientes:
a) Organizar sus propias competiciones, en coordinación con la respectiva Federación
deportiva española y de acuerdo con los criterios que, en garantía exclusiva de los
compromisos nacionales o internacionales, pueda establecer el Consejo Superior de
Deportes .”
La sentencia interpreta que si la materia recurrida se relacionaba con la competencia de
organización general de las competiciones que es competencia de las Federaciones (en las
que se integran las Ligas ) desarrolladas como contenidas en el apartado a) del artículo 33.1
de La ley 10/1990, de 15/10, del Deporte: “ calificar y organizar en su caso las actividades y
competiciones deportivas oficiales de ámbito estatal, bajo la coordinación y tutela del
C.S.D. .”, son actos realizados en el ejercicio de las funciones públicas de carácter
administrativo que define el artículo 3.1 del Real Decreto 1835/1991 de 20/12, sobre
Federaciones Deportivas Españolas y Registro de Asociaciones Deportivas, recurribles ante
el C.S.D..
-Manifiesta la LNFP que “ La cuestión solicitada se encuentra reflejada en el artículo XII.2
“Reglamento de venta de entradas ”, dentro del RGLNFP, aprobado por la Comisión Directiva
del Consejo Superior de Deportes el 23/12/2015, que aporta como DOCUMENTO 1, en su
versión aprobada por C.S.D. el 7/11/2022, informando que el mencionado artículo XII.2 no
ha sido objeto de modificación alguna desde su aprobación.
Como DOCUMENTO 2, aporta certificación del acuerdo de aprobación de la modificación
del RGLNFP por parte del C.S.D., que tuvo lugar en su sesión de 23/12/2015, referido
específicamente a que la modificación incorpora como nuevo, el LIBRO XII del RGLNFP,
sobre “ venta de abonos y entradas ” (Reglamento de venta de abonos y entradas, RVAE ) En
el certificado, figura en “ antecedentes de hecho ”:
“ PRIMERO-Tuvo entrada en este Organismo escrito de la Liga Nacional de Fútbol
Profesional comunicando la aprobación, por la Asamblea General de la LNFP, de la
modificación del Reglamento General , y solicitando su aprobación definitiva por la Comisión
Directiva del Consejo Superior de Deportes (C.S.D.). La modificación incorpora dos nuevos
Libros, el Libro XI sobre comercialización de derechos audiovisuales, y el Libro XII que versa
sobre la venta de abonos y entradas .

Segundo.- Obra en el expediente Certificado expedido por el Secretario General de la LNFP,
en el que se hace constar que las modificaciones fueron aprobadas por la Asamblea
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

6 / 139
General Extraordinaria de la Liga Nacional de Fútbol Profesional , de conformidad con lo
dispuesto en el artículo 11. b) de sus Estatutos Sociales. Constan informes de las
Subdirecciones Generales de Alta Competición, de Deporte Profesional y Control Financiero
y de Régimen Jurídico del Deporte del C.S.D. La RFEF no remitió el informe solicitado a
este respecto por lo que no consta en el expediente.”
En los fundamentos de derecho del citado acuerdo, figura
“PRIMERO”-La Comisión Directiva del C.S.D. es competente para conocer de la solicitud
presentada, en virtud de lo previsto en los artículos 10. 2. b), de la Ley 10/1990, de 15 de
octubre, del Deporte , y el 3.b), del Real Decreto 1242/1992, de 16 de octubre, por el que se
regula la composición y funcionamiento de la Comisión Directiva.
Segundo.- En este sentido, se debe señalar que el acuerdo que la Comisión Directiva ha de
adoptar pasa por el examen de si la aprobación de las modificaciones reglamentarias
propuestas, se ajustan o no a la normativa vigente.”
Finaliza en el ACUERDA: “ Aprobar definitivamente y autorizar la inscripción en el Registro
de Asociaciones Deportivas del Consejo Superior de Deportes, de la modificación del
Reglamento General, que incorpora dos nuevos Libros, el Libro XI sobre comercialización
de derechos audiovisuales, y el Libro XII que versa sobre la venta de abonos y entrada…”
Reseña la LNFP el apartado 2, del citado artículo XII.2 del RGNLFP, sobre las “ condiciones
para la venta de abonos en gradas de animación”, al que le precede para su comprensión el
artículo XII.1, titulado “Condiciones para la venta de abonos de temporada” que determina
este que para todos los Clubs y SAD afiliados, se realizará mediante la “previa y debida
identificación de los adquirentes”, que “deberán suministrar al Club/SAD en el momento de
su adquisición, al menos los siguientes datos personales, que serán objeto de tratamiento,
de conformidad con lo dispuesto en la normativa vigente en materia de protección de datos
de carácter personal”
A- datos de filiación: nombre y apellidos y documento acreditativo de la identidad
B- datos de contacto: domicilio de efectos de notificaciones, teléfono de contacto y dirección
de correo electrónico.”
Recomendando si no se permite la cesión de abonos incluir en el abono fotografía de su
titular.”
A continuación, el siguiente artículo XII.2 titulado “ condiciones para la venta de abonos
gradas de animación ”, que describe y que, para denominarse tal, debe “ tener instalado el
sistema de acceso mediante reconocimiento biométrico ”, además de “ estar destinada a
aficionados locales ”, y ser o constituir un sector diferenciado del resto del aforo, con accesos
preferentemente exclusivos al sector o zona.
(art XII.2.1)
Los puntos 2 a 6 del mismo artículo reseñan:
“2. La venta de títulos o documentos de acceso de temporada o media temporada, con
independencia de su denominación, en las gradas de animación con las características
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

7 / 139
descritas en el apartado 1, requerirá que el aficionado facilite, junto con los datos
significados en el artículo 1 del presente Reglamento, aquel dato biométrico que se
determine, debiendo recabarse el consentimiento del interesado informando claramente de
las concretas finalidades para el tratamiento de los referidos datos de carácter personal, de
conformidad con la normativa vigente en materia de protección de datos de carácter
personal. En el momento de la adquisición del título de acceso, por parte del Club/SAD
afiliado, se asociará al aficionado con la filiación facilitada y el dato biométrico.
3. Los títulos de acceso de temporada o media temporada de gradas de animación serán
personales e intransferibles, independientemente de la política que sobre éstos tenga el
Club/SAD para el resto del recinto. A tal efecto, el Club/SAD establecerá, tanto en el
documento de adquisición del título de acceso, como en el reglamento interno
correspondiente que, en dichas zonas, los espectadores se someterán a todos aquellos
controles de verificación de identidad vigentes en cada momento, incluyendo aquellos
relativos a sistemas automáticos de carácter biométrico, así como de exhibición del título de
acceso junto al documento acreditativo de su identidad.
4. Únicamente se permitirá el acceso a las gradas de animación a los aficionados que hayan
obtenido el título de acceso a dicha zona y que, en el momento de la entrada, se sometan a
la lectura de su dato biométrico. Se denegará el acceso en el caso de que la persona no
aporte, si es requerido para ello, junto con el dato biométrico, un documento acreditativo de
su identidad que coincida con la filiación asociada al dato biométrico y al título de acceso.
5. Los integrantes de esta grada deberán aceptar, al menos, las siguientes obligaciones:
a) Que el documento de acceso es personal e intransferible, siendo responsable el titular de
su correcto uso.
b) Que en el acceso al recinto deportivo y, durante el desarrollo del partido, se someterá a
cuantos controles de identidad sean precisos cuando así lo requieran el personal del
Club/SAD o las Fuerzas y Cuerpos de Seguridad.
c) Que la utilización del documento de acceso por un tercero supone la prohibición de
acceso o expulsión del recinto de éste, así como respecto del titular del mismo, aquellas
otras consecuencias disciplinarias en que pueda incurrir en aplicación del régimen
disciplinario del Club/SAD.
d) En el momento de formalización del título de acceso, se incluirá la cláusula de
reconocimiento y cumplimiento definida en el artículo 1.3 del presente Reglamento.”
“6. Cualquier otro sistema de acceso a esta zona que no conlleve un reconocimiento
biométrico, tendrá carácter excepcional y puntual y obligará, en su caso, al Club/SAD a
disponer de un procedimiento que permita la identificación de todos aquellos que accedan
fuera del control biométrico. El Club/SAD deberá remitir dicho procedimiento, al comienzo de
la entrada en funcionamiento del sistema, a la Dirección de Integridad y Seguridad de la
LIGA para su conocimiento y validación.”
Manifiesta la LNFP que “ El reglamento, no obstante, no configura el control de acceso
biométrico como el único modo posible de acceder a las gradas de animación en recintos
deportivo s”. Añaden la cita del apartado 6 del citado artículo XII.2.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

8 / 139
Considera la LNFP que “ el reglamento cuyos efectos jurídicos emanan de su aprobación por
el Consejo Superior de Deportes establece la previsión de llevar a cabo controles en los
accesos a determinadas zonas de los recintos deportivos incluyendo el tratamiento de datos
biométricos sobre la base del consentimiento de los interesados, mencionando
expresamente la posibilidad de implementar sistemas alternativos de control de acceso ”.
Indica que la CEVRXID en el ejercicio de la potestad que le atribuye el artículo 13.1.b) de la
Ley 19/2007, de 11/07 contra la violencia, el racismo, la xenofobia y la intolerancia en el
deporte, acordó el 15/03/2022, trasladar el acuerdo adoptado el 3/03/2022, que insta la
puesta en ejecución para la primera y segunda división de fútbol de lo dispuesto en el
RGNLFP sobre las condiciones de venta de entradas y accesos a las gradas de animación,
reproduciendo los apartados 2 a 6 del artículo XII.2 del RGNLFP.
Aporta DOCUMENTO 3, que contiene el citado traslado y solicita se inste a los Clubes a
adoptar las medidas para su cumplimiento, bajo advertencia caso contrario, de ser objeto de
apertura de expedientes disciplinarios en las funciones atribuidas en los artículos 20.3.c)
primero, de la Ley 19/2007.
Visto el DOCUMENTO 3, se trata de un comunicado de la CEVRXID DE 15/03/2022 que
refiere su adopción del acuerdo de 3/03/2022, con el literal:
“ El artículo 13 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia
y la intolerancia en el deporte establece que “La Comisión Estatal Contra la Violencia, el
Racismo, la Xenofobia y la Intolerancia en el Deporte podrá decidir la implantación de
medidas adicionales de seguridad para el conjunto de competiciones o espectáculos
deportivos calificados de alto riesgo, o para recintos que hayan sido objeto de sanciones de
clausura con arreglo a los títulos segundo y tercero de esta Ley, y en particular las
siguientes: (…) b) Promover sistemas de verificación de la identidad de las personas que
traten de acceder a los recintos deportivos”.
Asimismo, el artículo 15.3 del Real Decreto 203/2010, de 26 de febrero, por el que se
aprueba el Reglamento de prevención de la violencia, el racismo, la xenofobia y la
intolerancia en el deporte, establece que: “En los supuestos contemplados en el artículo
13.1 de la Ley 19/2007, de 11 de julio, la comprobación y seguimiento de la identidad de
quienes adquieran entradas o el control de la distribución de localidades se realizará
implantando sistemas de venta de entradas nominativas y desarrollando procedimientos que
permitan supervisar la distribución de localidades asignadas y conocer la identidad de los
poseedores de títulos de acceso a las instalaciones deportivas.”.
Por su parte, el Libro XII del Reglamento General de LaLiga regula el Reglamento de Venta
de Abonos y Entradas en el que se recogen las denominadas Gradas de Animación como
sector, zona o graderío del recinto deportivo que en atención a sus características conlleva
el disfrute de condiciones especiales que, a su vez, lleva aparejado el cumplimiento de una
serie de obligaciones adicionales.
A la vista de lo indicado, la Comisión acuerda que, para las competiciones de Primera y
Segunda División de Fútbol, resulten de aplicación en dichos espacios las medidas
adicionales de seguridad que se detallan a continuación:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

9 / 139
1. La venta de títulos o documentos de acceso de temporada o media temporada, con
independencia de su denominación, requerirá que el aficionado facilite, junto con otros datos
que establezca la regulación del organizador de la competición, aquel dato biométrico que
se determine, debiendo recabarse el consentimiento del interesado informando claramente
de las concretas finalidades para el tratamiento de los referidos datos de carácter personal,
de conformidad con la normativa vigente en materia de protección de datos de carácter
personal. En el momento de la adquisición del título de acceso, por parte del Club/SAD
afiliado, se asociará al aficionado con la filiación facilitada y el dato biométrico.
2. Los títulos de acceso de temporada o media temporada serán personales e
intransferibles, independientemente de la política que sobre éstos tenga el Club/SAD para el
resto del recinto. A tal efecto, el Club/SAD establecerá, tanto en el documento de
adquisición del título de acceso, como en el reglamento interno correspondiente que, en
dichas zonas, los espectadores se someterán a todos aquellos controles de verificación de
identidad vigentes en cada momento, incluyendo aquellos relativos a sistemas automáticos
de carácter biométrico, así como de exhibición del título de acceso junto al documento
acreditativo de su identidad.
3. Únicamente se permitirá el acceso a los aficionados que hayan obtenido el título de
acceso a dicha zona y que, en el momento de la entrada, se sometan a la lectura de su dato
biométrico. Se denegará el acceso en el caso de que la persona no aporte, si es requerido
para ello, junto con el dato biométrico, un documento acreditativo de su identidad que
coincida con la filiación asociada al dato biométrico y al título de acceso.
4. Los integrantes de esta grada deberán aceptar, al menos, las siguientes obligaciones:
a) Que el documento de acceso es personal e intransferible, siendo responsable el titular de
su correcto uso.
b) Que en el acceso al recinto deportivo y, durante el desarrollo del partido, se someterá a
cuantos controles de identidad sean precisos cuando así lo requieran el personal del
Club/SAD o las Fuerzas y Cuerpos de Seguridad.
c) Que la utilización del documento de acceso por un tercero supone la prohibición de
acceso o expulsión del recinto de éste, así como respecto del titular del mismo, aquellas
otras consecuencias disciplinarias en que pueda incurrir en aplicación del régimen
disciplinario del Club/SAD.
d) En el momento de formalización del título de acceso, se incluirá la cláusula de
reconocimiento y cumplimiento de:
(i) las condiciones de acceso y de permanencia para los espectadores establecidas en los
artículos 6 y 7 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia
y la intolerancia en el deporte;
(ii) compromiso de no realizar actos o conductas previstas en los artículos 2.1 y 2.2 de la
referida Ley; y
(iii) de respeto las normas de régimen interno del recinto deportivo.
e) Que los materiales de animación que se exhiban en dicha grada, además de cumplir con
los requisitos legales correspondientes, deberán ser previamente aprobados por el
Club/SAD. Cuando éstos se refieran, hagan mención o identifiquen a una peña, agrupación
o grupo de aficionados será requisito previo que dicho colectivo se encuentre debidamente
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

10 / 139
inscrito en el Libro de registro de actividades de seguidores del Club/SAD y exista una
persona responsable de su uso.
6. Cualquier otro sistema de acceso a esta zona que no conlleve un reconocimiento
biométrico, tendrá carácter excepcional y puntual y obligará, en su caso, al Club/SAD a
disponer de un procedimiento que permita la identificación de todos aquellos que accedan
fuera del control biométrico. El Club/SAD deberá remitir dicho procedimiento, al comienzo de
la entrada en funcionamiento del sistema, a la Dirección de Integridad y Seguridad de la
LIGA para su conocimiento y validación”.
A este respecto, la Comisión ha acordado dirigir comunicación a esa entidad con el fin de
que se inste a los Clubes a adoptar las medidas oportunas para el cumplimiento de lo
indicado, recordándose, a los anteriores efectos, que su incumplimiento dará lugar a la
actuación de la Comisión a través de las correspondientes propuestas de apertura de
expedientes sancionadores en ejercicio de su función de vigilancia y control prevista en el
artículo 20.3 c) 1º de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la
xenofobia y la intolerancia en el deporte. Todo ello sin perjuicio de que, en su caso, se
puedan adoptar otras medidas adicionales para estas u otras competiciones.”
3.1.2. En el caso de que las normativas anteriores involucren el tratamiento de categorías
especiales de datos personales (datos biométricos dirigidos a identificar de manera unívoca
a una persona física, por ejemplo), se solicita motivar el levantamiento de la prohibición
general de tratamiento de los mismos (art. 9 RGPD) y facilitar la valoración del principio de
proporcionalidad del tratamiento de dichos datos para esta finalidad.
Respondió reiterando que el RGNLFP, aprobado por el C.S.D., establece en su artículo
XII.2.2 ( dentro de las “ condiciones para la venta de abonos en gradas de animación” ) que el
establecimiento de sistemas de reconocimiento a través de datos biométricos precisará el
consentimiento de los interesados, y que también el Reglamento establece la “ posible
adopción de otros procedimientos alternativos para el reconocimiento biométrico” , que
también se contienen en el acuerdo de la CEVRXID de 3/03/2022.” El tratamiento se
ampararía en el artículo 9.2.a) del RGPD ”.
Sobre la evaluación de la proporcionalidad del tratamiento, manifiesta que deberá formar
parte del análisis de riesgo y de medidas de responsabilidad proactiva que el Reglamento
impone a los responsables y o encargados de tratamiento, y como la LNFP no ostenta
ninguna de las dos condiciones, considera que no corresponde a la misma la realización de
este análisis.
3.1.3. En su caso, especificar si la LNFP participa como encargado o responsable del
tratamiento de categorías especiales de datos personales (datos biométricos dirigidos a
identificar de manera unívoca a una persona física, por ejemplo) que puedan realizar sus
miembros. En tal caso, facilitar el acuerdo jurídico que regule su participación en virtud del
artículo 28 del RGPD y el Registro de Actividades de Tratamiento (RAT) en lo que concierne
a dicho tratamiento.
La LNFP respondió, que ni por cuenta propia ni en nombre y por cuenta de los Clubes que
forman parte de la misma, realiza tratamiento de categorías especiales de datos,
considerando que no es ni responsable ni encargado del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

11 / 139
3.2 Petición de información al C.S.D.
Con fecha 17/02/2023, se solicitó al C.S.D.:
3.2.1 Informar si han sido adoptadas disposiciones que impongan o recomienden a los
Clubes o sociedades anónimas deportivas la instalación de sistemas biométricos para el
control de acceso a los recintos en los que se disputen competiciones deportivas.
En su caso, se solicita la copia de las disposiciones referidas y, si las hubiera, de las
evaluaciones de afectación al derecho a la protección de datos personales que se hayan
realizado en el proceso de adopción de dichas disposiciones.
Con fecha 28/03/2023, se recibe respuesta de la CERVIXD. Informa que en su reunión de
3/03/2022, “ adoptó un acuerdo mediante el que se establecían una serie de medidas
adicionales de seguridad para las gradas de animación en las competiciones de Primera y
Segunda División de Fútbol. Y ello conforme a lo dispuesto en el artículo 13 de la Ley
19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y la intolerancia en el
deporte y en el artículo 15.3 del Real Decreto 203/2010, de 26 de febrero, por el que se
aprueba el Reglamento de prevención de la violencia, el racismo, la xenofobia y la
intolerancia en el deporte. Entre las citadas medidas adicionales se preveía la instalación de
sistemas biométricos para el control de todos los accesos a las gradas de animación que
permita la identificación unívoca de los aficionados que accedan a dichas gradas
( documento 1, copia del acuerdo de 3/03/2022 ).”
Se accede al literal del escrito, que es un comunicado al Presidente de la LIGA, en el que
además de contenerse lo referido en el párrafo anterior, acuerda como medidas adicionales
el régimen contenido para el acceso a las gradas de animación, reproduciendo la parte
especifica del RGLNFP, y se insta la comunicación para que se indique a los Clubs que
adopten las medidas para su cumplimiento, pudiendo dar lugar a apertura de expedientes
sancionadores en ejercicio de sus funciones de vigilancia y control que le encomienda el
artículo 20.3.c)1 de la Ley 19/2007 (funciones de la CEVRXID: “ vigilancia y control a efectos
de proponer a las autoridades públicas competentes la adopción de medidas sancionadoras
a quienes incumplan la normativa prevista en esta Ley y en las normas que la desarrollan ”) .
Todo ello sin perjuicio de que, en su caso, se puedan adoptar otras medidas adicionales
para estas u otras competiciones
Indica el C.S.D., que el 20/10/2022 solicitó una consulta (aporta documento 2) al Gabinete
Jurídico de la .... (.. .. .. ....) ..... .. .. ......ó. ... ....... .. ./../.... ...
viable jurídicamente conforme a la normativa reguladora de Proteccion de datos. El citado
GJ de la .... .....ó ....... .. ../../.... (...... ......... ., ....... ../....).
En el documento de petición de consulta, documento 2, se mencionan las medidas
adicionales de seguridad que refiere el artículo 13.1 de la Ley 19/2007, y “ la situación de
inseguridad que vive las gradas de animación en los partidos de fútbol profesional se ha
planteado a la CEVRIXD que, con base en las competencias que tiene legalmente
atribuidas, valore la posibilidad de aprobar un acuerdo, a través del cual requiera a los
Clubes/SAD profesionales para que adopten medidas adicionales consistentes en la
instalación de sistemas biométricos para el control de todos los accesos a las gradas de
animación, que permitiría la identificación unívoca de los aficionados que accedan a las
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

12 / 139
citadas gradas .”. Expone la base de legitimación del RGPD sobre la que se tratarían los
datos (6.1.e) junto al 9.2.g)
Indica que el articulo 13.1 citado, implicaría “el tratamiento de categorías especiales de
datos a través de las cuales y por razones de un interés público esencial, garanticen la
seguridad de las personas, así como de prevenir y evitar vulneraciones en los derechos
fundamentales de las personas, como son los delitos de odio y discriminación en los
estadios, habida cuenta de la problemática existente con los aficionados que acceden a las
gradas de animació n.
Dicho lo anterior, el acuerdo que en su caso adopte la CEVRXID, establecería además las
medidas adecuadas y específicas que deberán adoptar los Clubes/SAD para proteger los
intereses y derechos fundamentales de los interesados respecto a la implantación de la
medida adicional requerida, tal y como exige el artículo 9.2.g) del RGPD, anteriormente
referido.
Por este motivo, atendiendo a que la medida adicional requeriría el tratamiento de
categorías especiales de datos, el acuerdo que adopte la CEVRXID en relación con la
obligación de adoptar la medida solicitada exigirá también que, antes de implantarla, se lleve
a cabo:
- Un juicio de proporcionalidad, donde se analice desde el punto de vista de protección de
datos, tanto la idoneidad de la medida como la necesidad del tratamiento y la
proporcionalidad de este en sentido estricto.
- Una Evaluación de Impacto relativa a la Protección de Datos que cumpla los requisitos del
artículo 35 del RGPD.
En definitiva, la medida garantizaría que el tratamiento de los datos personales
identificativos (incluidos los biométricos) que realicen los Clubes/SAD se lleve a cabo
respetando debidamente los principios de licitud, lealtad y transparencia, limitación de la
finalidad, min imización de datos, exactitud, conservación, seguridad, así como de
responsabilidad proactiva, tal y como establece el artículo 5 del RGPD .”
De la copia del citado informe emitido por la AEPD, se analiza de manera más relevante si
existe base de legitimación incluida la que levante la prohibición del tratamiento del dato de
categoría especial del dato biométrico para los accesos a la grada de animación de los
estadios de fútbol. Como amparo legislativo, en base al artículo 13.1 de la Ley 19/2007. El
informe analiza, en concreto al amparo de los artículos 6.1.e) del RGPD, “ el tratamiento de
los datos sería necesario para el cumplimiento de una misión realizada en interés público o
en el ejercicio de poderes públicos conferidos al responsable del tratamiento ”, referido a
garantizar la seguridad e integridad de las personas que acudan a los estados de fútbol así
como prevenir y evitar vulneraciones de los derechos fundamentales de las personas, como
los delitos de odio y discriminación, y puesto en relación con el artículo 9.2.g) del RGPD. La
consultante indica también que atendiendo a que la medida adicional requeriría el
tratamiento de categorías especiales de datos, el acuerdo que se adopte por la CEVRIXD en
relación con la obligación de adoptar la medida solicitada exigirá también que antes de
implantarse, se lleve a cabo: una EIPD que valore especialmente el juicio de
proporcionalidad y de necesidad en el tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

13 / 139
El informe determina que el apoyo normativo del artículo 13.1 de la Ley 19/2007, que se
desarrolla en el artículo 15.3 del RD 2023/2010 hace referencia a sistema de verificación de
la identidad, pero no contempla la posibilidad de que dichos sistemas puedan implicar
tratamiento de datos biométricos, “ ni establece garantías pertinentes y adecuadas para la
protección del derecho fundamental a la protección de datos personales ”, y que el citado RD
carecería de rango legal adecuado para proceder a la regulación de tratamiento de
categorías especiales de datos personales:
” el artículo 13.1. no cumple con los requisitos previstos legal y jurisprudencialmente, tal y
como se ha venido analizando en el presente informe.
Y sin que dicha laguna pueda suplirse mediante un acuerdo de la CEVRXID, al no tener el
rango normativo adecuado. En este sentido, como ya se ha indicado, la jurisprudencia del
Tribunal Constitucional es clara respecto de la norma que ha de contener las garantías
adecuadas que no puede deferirse a un momento posterior a la regulación legal del
tratamiento de datos personales de que se trate. Las garantías adecuadas deben estar
incorporadas a la propia regulación legal del tratamiento, ya sea directamente o por remisión
expresa y perfectamente delimitada a fuentes externas que posean el rango normativo
adecuado (sentencia del TCO 76/2019 de 22/05-FJ 8).”
Continua indicando C.S.D. que a la vista de ello, “ la Comisión acordó, en su reunión de
13/03/2023, señalar que, conforme a lo informado por la AEPD, el acceso a las gradas de
animación mediante datos biométricos se llevará a cabo con el consentimiento del
interesado, informando claramente de las concretas finalidades para el tratamiento de los
referidos datos de carácter personal; y que, no obstante lo anterior, los espectadores se
someterán a todos aquellos controles de verificación de identidad vigentes en cada
momento, así como de exhibición del título de acceso junto al documento acreditativo de su
identidad. Por tanto, en el caso de no contar con el consentimiento del interesado para
acceder a las gradas de animación mediante datos biométricos, será obligatorio que los
Clubes/SAD dispongan de un procedimiento que permita la identificación de todos aquellos
que accedan fuera del control biométrico. El Club/SAD deberá remitir dicho procedimiento a
la Dirección de Integridad y Seguridad de La Liga para su conocimiento y validación ”.
El acuerdo se comunicó a la LNFP para que instara su ejecución de los Clubes. Aporta
DOCUMENTO 4 escrito DE 21/03/2023 dirigido al Presidente de la Liga en que persiste en
el tratamiento de datos para acceso a las gradas de animación mediante datos biométricos
con el consentimiento de interesado que no contiene variación sustancial con el previsto en
el RGLNFP.
Manifiesta que aporta copia de DOCUMENTO 5, escrito de, Federación Accionistas y Socios
del Fútbol Español, (FASFE), de 1/03/2023, e indican: “ la entidad ante la que se comparece
estableció “Acuerdo en el ámbito de sus competencias, estableciendo medidas para el
cumplimiento de los Clubes consistentes en la instalación de sistemas biométricos para el
control de todos los accesos a las gradas de animación que permita la identificación unívoca
de los aficionados que accedan a dichas grada ”. En el escrito, además tras exponer la
normativa aplicable, y motivando los hechos, incluyendo entre otras, las Directrices 5/2022,
sobre el uso de tecnología de reconocimiento facial en el área de aplicación de la Ley,
solicita el cese de la medida de control de acceso mediante sistema biométrico y
cancelación y borrado de datos tomados con motivo de la puesta en marcha de la misma.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

14 / 139
Junto a ello, aporta copia de documento 6, de 21/03/2023, de la CEVRXID a la FASFE
conteniendo respuesta a dicha petición, en el que reitera “ que el acceso a las gradas de
animación en Primera y Segunda División con datos biométricos será aplicable con el previo
consentimiento del interesado, siendo obligatorio que los Clubes dispongan de un
procedimiento que permita la identificación de todos aquellos que accedan fuera del control
biométrico .”
CUARTO: Petición de información adicional
4.1 Petición de información adicional a la LNFP.
Con fecha 8/07/2023, se solicita a la LNFP la siguiente información y documentación en
relación con los controles de acceso a los estadios de fútbol de los miembros que forman
parte de la LNFP.
4.1.1. Identificación del conjunto de miembros de la LNFP que han informado la implantación
de sistemas de verificación de identidad a través de la lectura de datos biométricos para el
control de acceso a sus estadios, con inclusión de los siguientes datos para cada uno de
ellos:
a) Dato biométrico objeto de validación (huella dactilar, reconocimiento facial, etc.)
a) Zonas del estadio para las que estuviera habilitado (grada de animación, otros, todo el
estadio).
b) Determinación de si la utilización del control de acceso biométrico ha sido el único medio
de acceso disponible a la zona concreta regida por este control de acceso durante el
período en que haya estado en funcionamiento.
c) En el caso de que existieran medios de acceso alternativos, indicar de qué dependía su
utilización como mecanismo de control de acceso (voluntad del asistente, imposibilidad de
comprobar el dato biométrico, etc.…).
d) Fecha de puesta en marcha y, en su caso, de retirada del sistema de identificación
biométrica como mecanismo de control de acceso.
Respondió con fecha 27/07/2023.
Proporciona copia de un comunicado de la CEVRIXD a la LIGA de 21/03/2023, que informa
que “ en su reunión de 3/03/2022, adoptó un acuerdo mediante el que se establecían una
serie de medidas adicionales de seguridad para las gradas de animación en las
competiciones de Primera y Segunda División de Fútbol. Y ello conforme a lo dispuesto en
el artículo 13 de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la xenofobia y
la intolerancia en el deporte y en el artículo 15.3 del Real Decreto 203/2010, de 26 de
febrero, por el que se aprueba el Reglamento de prevención de la violencia, el racismo, la
xenofobia y la intolerancia en el deporte. Entre las citadas medidas adicionales se preveía la
instalación de sistemas biométricos para el control de todos los accesos a las gradas de
animación que permita la identificación unívoca de los aficionados que accedan a dichas
gradas
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

15 / 139
A este respecto es preciso señalar que la Agencia Española de Protección de Datos ha
emitido un informe, con fecha 22 de diciembre de 2022, en el que se concluye …”.” A la vista
de lo indicado, la Comisión ha acordado, en su reunión de 13 de marzo de 2023, señalar
que, conforme a lo informado por la AEPD, el acceso a las gradas de animación mediante
datos biométricos se llevará a cabo con el consentimiento del interesado, informando
claramente de las concretas finalidades para el tratamiento de los referidos datos de
carácter personal. No obstante, lo anterior, es preciso señalar que los espectadores se
someterán a todos aquellos controles de verificación de identidad vigentes en cada
momento, así como de exhibición del título de acceso junto al documento acreditativo de su
identidad. Por tanto, en el caso de no contar con el consentimiento del interesado para
acceder a las gradas de animación mediante datos biométricos, será obligatorio que los
Clubes/SAD dispongan de un procedimiento que permita la identificación de todos aquellos
que accedan fuera del control biométrico. El Club/SAD deberá remitir dicho procedimiento a
la Dirección de Integridad y Seguridad de la LIGA para su conocimiento y validación. A este
respecto, la Comisión ha acordado dirigirse a esa entidad con el fin de que se comunique a
los Clubes el acuerdo adoptado y se adopten las medidas oportunas para el cumplimiento
de lo indicado, recordándose, a los anteriores efectos, que su incumplimiento dará lugar a la
actuación de la Comisión a través de las correspondientes propuestas de apertura de
expedientes sancionadores en ejercicio de su función de vigilancia y control prevista en el
artículo 20.3 c) 1º de la Ley 19/2007, de 11 de julio, contra la violencia, el racismo, la
xenofobia y la intolerancia en el deporte. Todo ello sin perjuicio de que, en su caso, se
puedan adoptar otras medidas adicionales para estas u otras competiciones.”
Aporta relacionado con lo anterior, la LIGA, copia de la CIRCULAR 19, temporada 22/23, de
23/03/2023, titulada: “ Comunicación de la Comisión Estatal contra la violencia, el racismo, la
xenofobia y la intolerancia en el deporte sobre las gradas de animación ”, que representa una
comunicación a los Clubes y SAD afiliados, indicando que se ha recibido comunicado de la
citada Comisión de 13/03, que trae casusa del informe del GJ de la .... .. ../../...., .:
“ Según señala el meritado acuerdo, el acceso a las gradas de animación mediante datos
biométricos puede mantenerse, pero siempre que exista consentimiento libre del interesado,
previa información de las concretas finalidades para el tratamiento de los datos de carácter
personal. En caso de no contar con el consentimiento de los interesados, la CEVRXID
recuerda que los espectadores de estas gradas no estarán exentos de someterse a todos
los controles de verificación de identidad que se hallen vigentes en cada momento y, a tal
fin, resulta obligatorio que el Club o SAD cuente con un procedimiento que permita
identificarlos. Este procedimiento, además, deberá ser comunicado a la Dirección de
Integridad y Seguridad de La Liga para su conocimiento y validación en la dirección de
correo seguridad@laliga.es ”
-Aporta la LIGA situación a temporada 22/23, en primera y segunda división, un cuadro de
los Clubes, del que se puede destacar:
-Clubes/equipos que antes de la Circular 19, temporada 22/23, de 23/03/2023, de la
LNFP a los Clubes y SAD, disponían de sistemas biométricos, (9 tanto en primera como en
segunda división, uno de los sistemas en cada división refiere “ imagen facial ”, el resto
“ huella dactilar ”) y en el mismo período, el sistema alternativo implementado, figurando entre
otros RFID, escáner en los tornos, o escáner de mano.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

16 / 139
-Clubes/equipos indicando si los han dejado de usar tras la Circular 19-los datos
biométricos-, (tres si en primera división, dos si en segunda).
-La zona del estadio que dispone de dicho sistema (todos en grada de animación,
excepto uno en todo el estadio, en primera división que se instaló en 2022/2023 y que se
trata de “ imagen facial ”.
-Los tipos de sistemas de acceso utilizados después de la Circular 19, figurando en
todos los Clubes/SAD una alternativa al dato biométrico, excepto los cinco que figuraban
que después de la Circular no utilizan los sistemas biométricos.
-En motivo de utilización de sistemas alternativos, figura en todos “ voluntariedad ”.
-Temporada de instalación del sistema, constando en algunos 2015/2016 y los
últimos 22/23, sin que figure ninguno en 20/21 ni en la siguiente temporada.
4.1.2. Copia de los Protocolos de Seguridad, Prevención y Control (artículo 5 del Real
Decreto 203/2010) en lo que respecta a los apartados 2.c (medidas de control de acceso) y
4.e (sistemas de verificación de identidad para el acceso a los recintos) de los miembros de
la LNFP.
Respondió indicando que aporta documentos 2 a 73 de los protocolos de los miembros de la
LNFP en la temporada 22/23, algunos Clubes comprenden varios, por haber sido notificados
a la LIGA.
4.1.3. El Libro XII del RGLNFP, especifica en el preámbulo que las sociedades/Clubes
miembros de la LNFP han de adaptar el mismo en sus reglamentos internos.
Se solicita copia de los reglamentos internos de cada miembro (en lo que respecta al
contenido de este Libro XII -control de accesos / sistema de verificación de identidad para el
acceso-) con indicación de las fechas de aprobación/puesta en funcionamiento de los
mismos.
Respondió indicando que aporta documentos 74 a 114 de la temporada 22/23,
comprendiendo 41 documentos dada la estructura de uno de los equipos. Añade que, en la
actualidad, ninguno de los Clubes establece el sistema biométrico como obligatorio.
4.1.4. El artículo XII.2.6 del RGLNFP, dispone que los miembros de la LNFP que arbitren
sistemas de acceso a las gradas de animación que no conlleven reconocimiento biométrico
han de remitir dichos procedimientos a la LNFP para su conocimiento y validación. A tal
efecto, se solicita la copia de los procedimientos informados por los miembros, así como las
resoluciones de validación/denegación que la LNFP haya podido efectuar al respecto.
Se solicita, asimismo, sobre los períodos de vigencia de dichos procedimientos y su estado
actual.
Respondió que, con carácter general, los medios utilizados por los Clubes para garantizar el
acceso a los estadios son facilitados por la LNFP a través de la SOCIEDAD ESPAÑOLA DE
FÚTBOL PROFESIONAL SAU, en adelante SEFPSA, entregando a los Clubes que así lo
solicitan los distintos dispositivos para el accionamiento de los tornos de entrada a los
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

17 / 139
recintos deportivos, disponiendo aquellos los procedimientos de activación que consideren
necesarios a través de reconocimiento por huella digital, escaneado del documento de
abono, o de la entrada, .... ...é.....
En la actualidad, todos los Clubes asociados a la LNFP, con las únicas excepciones del
***CLUB.1 , el ***CLUB.2 ., y el ***CLUB.3 . utilizan en el acceso a los recintos
exclusivamente los dispositivos de reconocimiento biométrico facilitados por la LNFP a
través de SEFPSA. No obstante, estos Clubes del mismo modo que los restantes, utilizan
los medios alternativos a los biométricos para el acceso, puestos a disposición por la LNFP.
“ Dado que los medios de acceso a determinadas zonas de los recintos deportivos
alternativos al uso de dispositivos de reconocimiento biométrico habían sido objeto de
verificación y análisis por parte de LA LIGA, no resultaba necesario someter a su
autorización los procedimientos basados en el uso de tales medio s”
“ Asimismo, con las medidas mencionadas los Clubes deberán haber implementado
conforme a lo dispuesto en el artículo 13.2 de la ley 19/2007 medidas adicionales tendentes
a la verificación de la identidad de los interesados que no hubieran hecho uso de los
dispositivos de reconocimiento biométrico en el acceso a determinadas zonas del estadio,
por ejemplo el reconocimiento in situ a través de la exhibición del DNI o documento
identificativo similar, no siendo precisa su autorización por LA LIGA al proceder del
cumplimiento de una obligación lega l”.
4.1.5. Descripción, en su caso, de las actuaciones realizadas por La Liga y las
sociedades/Clubes miembros de la misma tras la recepción del comunicado de la CERVIXD
del 21/03/2023 (adjunto). Se solicita evidenciar las manifestaciones que se realicen.
Respondió que ante dicha decisión, la LNFP, adoptó la Circular n 19 de la temporada
2022/2023, de 23/03/2023, por la que se trasladaba, a los Clubes lo indicado por la citada
CERVIXD, y el informe de la AEPD. Como consecuencia, algunos Clubes que tenían
implementados sistemas de reconocimiento biométrico para el acceso al recinto deportivo,
adoptaron medidas encaminadas, bien a la supresión de ese modo de acceso, bien al
mantenimiento del mismo como voluntario y complementario de otros procedimientos de
acceso a los estadios. Las citadas modificaciones fueron comunicadas formalmente a la
LNFP. Aportan copia documento 115 de la Circular.
Afirma que según la información de que dispone la LNFP, ninguno de los Clubes asociados
a la misma exige de forma obligatoria el reconocimiento biométrico para el acceso a los
recintos deportivos.
4.1.6. En el caso de que la LNFP haya actuado como proveedor de la plataforma
tecnológica -***DISPOSITIVO.1 ( o diseño de la misma) utilizada por sus miembros para
implementar el control de acceso a través de datos biométricos, se solicita la aportar la
memoria técnica de la misma.
Aporta el documento 122 con la memoria técnica solicitada relativa a la solución de acceso a
los estadios a través de la huella dactilar. En la misma, se indica que los dispositivos a
instalar serán:
 en los torniquetes:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

18 / 139
-el sensor/lector de huella ***DISPOSITIVO.2 , dispositivo visible en el exterior del torno a
través del cual se obtendrá la huella dactilar del usuario.
-CPU o electrónica de control, dispositivo electrónico encargado de procesar toda la lógica
de la solución. Comunicará a través de (…) . Esta electrónica de control será la encargada
(…) . También comunicará a través de TCP/IP con el software de gestión en el caso de existir
red IP.
-cableado, se trata de las interfaces de conexión entre los dispositivos y servidores
 en ***LOCALIZACIÓN.1 (Lector de huellas -para el proceso de registro de la huella o
enrolamiento-; software con la lógica de negocio). Se extrae la siguiente información al
respecto:
Los sensores implementan los estándares “ ***ESTÁNDAR.1 - Part 2: ***ESTÁNDAR.2”. En
los tornos (control de acceso) se utiliza el modelo ***DISPOSITIVO.2 , mientras que en
***LOCALIZACIÓN.1 el ***DISPOSITIVO.3.
La electrónica de control del torno tiene capacidad de almacenamiento de las plantillas de
las huellas dactilares y de identificación (1:N) de las mismas.
El software que implementa la lógica de negocio es una versión de ***DISPOSITIVO.4, de
***EMPRESA.1 .
Cuando se produce el enrolamiento de los usuarios se registran los siguientes datos en la
plataforma: DNI, “ IdPerson a” (“ Campo unívoco de la persona a enrola r”), número de socio,
nombre y dos apellidos. De acuerdo a la información recabada (Diligencia Referencias) el
dispositivo ***DISPOSITIVO.3 es un producto de ***EMPRESA.2 .
4.2 Petición de información adicional al C.S.D.
Con fecha, 6/07/2023, se solicita al C.S.D., la siguiente información y documentación en
relación con los controles de acceso a los estadios de los miembros que forman parte de
LNFP.
4.2.1. Copia de la inscripción (artículo 56 de la LD 2022) de la LNFP en el Registro Estatal
de Entidades Deportivas y del acto administrativo (artículo 83 de la LD 2022) que resuelve la
calificación de las competiciones organizadas por la LNFP como profesionales.
Con fecha 21/07/2023, respondió aportando Anexo 1 con la inscripción.
“ En lo que respecta a la solicitud del acto administrativo que resuelve la calificación de las
competiciones organizadas por LA LIGA como profesionales es preciso señalar que la
organización de dichas competiciones (Primera y Segunda División) como profesionales es
anterior a la regulación contenida en la derogada Ley 10/1990, de 15 de octubre, del
Deporte, por lo que no se produjo un acto administrativo que calificara como tales dichas
competiciones. La Liga Nacional de Fútbol Profesional se constituyó en 1984, y según
consta en el artículo 1 de los Estatutos de aquel momento, como asociación deportiva que
integraba los Clubes de fútbol que, de conformidad con las normas deportivas de la Real
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

19 / 139
Federación Española de Fútbol, participan en competiciones oficiales de carácter
profesional .”
4.2.2. El artículo 13 de la Ley 19/2007, dispone que la CEVRXID podrá decidir la
implantación de medidas adicionales de seguridad (entre las que explicita “ Promover
sistemas de verificación de la identidad de las personas que traten de acceder a los recintos
deportiv os”) para el conjunto de competiciones o espectáculos deportivos calificados de alto
riesgo, o para recintos que hayan sido objeto de sanciones de clausura con arreglo a los
títulos segundo y tercero de esta Ley. Se solicita indicar si las competiciones y espectáculos
organizados por La Liga para los que se promovieron los sistemas de verificación de
identidad mediante datos personales de carácter biométrico han sido calificados de forma
global (alto riesgo, sanciones de clausura) según lo dispuesto en este artículo. En tal caso,
se requiere adjuntar los actos/disposiciones/documentos a través de los cuales se han
efectuado tales calificaciones o sanciones.
Respondió indicando que el citado artículo 13 recoge tres escenarios independientes:
-Al conjunto de competiciones,
-A los espectáculos deportivos calificados de alto riesgo,
-A aquellos recintos que hayan sido objeto de sanciones de clausura.
“Se entendió que la CEVRXID puede decidir la implantación de dichas medidas adicionales
de seguridad en una competición sin necesidad de que esta haya sido declarada de alto
riesgo y ello, porque no se contempla en la ley 19/2007 de 11/07, y de manera específica,
en su artículo 10, la relación de alto riesgo de una competición de forma global, sino de
encuentros que forman parte de la misma.
De conformidad con la anterior, la CEVRXID entendió habilitada para adoptar medidas
adicionales para la competición de LA LIGA Primera y Segunda División- activando el
artículo 15.3 del Real Decreto 203/2010 de 26/02.
El principal motivo de esta actuación reside en que, en cualquier caso, el disfrute de
condiciones especiales en una determinada sección o área de un recinto deportivo (grada
de animación) respecto a las condiciones generales del resto de sectores (gradas) debiera
llevar aparejado el cumplimiento de una serie de obligaciones específicas tales como la
identificación biométrica con las garantías legalmente previstas respecto al tratamiento de
datos personales ”
4.2.3. Copia de los Protocolos de Seguridad, Prevención y Control (artículo 5 del Real
Decreto 203/2010) actualizados en lo que respecta a los apartados 2.c (medidas de control
de acceso) y 4.e (sistemas de verificación de identidad para el acceso a los recintos)
desarrollados por La Liga y/o los miembros de ésta. Indicación de la fecha de actualización,
de las modificaciones efectuadas con respecto a la versión precedente, y del período en que
estuvo en vigor esta última.
Se adjuntan en anexo
4.2.4. Indicación de si se han articulado en las competiciones de La Liga procedimientos de
verificación de identidad alternativos, de acuerdo al artículo 80 del Real Decreto 203/2010
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

20 / 139
(Garantías de cumplimiento de las sanciones de prohibición de acceso a recintos
deportivos). En tal caso, se solicita describir los procedimientos articulados.
Manifestó que: “ en lo que respecta a este organismo, no se tiene conocimiento de la
articulación en las competiciones de LA LIGA de procedimientos de verificación de identidad
alternativos de acuerdo con el citado artículo ”.
4.2.5. Copia, en su caso, de las propuestas de apertura de expedientes sancionadores (y de
las resoluciones emitidas) a los miembros de La Liga efectuadas por la CEVRXID con
motivo en la no implantación de sistemas de control de acceso basados en biometría.
Respondió que la CEVRXID no ha acordado ninguna propuesta de apertura de expedientes
sancionadores a los miembros de la LNFP con motivo de la implantación de sistemas de
control de acceso basados en biometría. Adjunta certificado del secretario en anexo dos.
4.3 Petición de información a la SOCIEDAD ESPAÑOLA DE FÚTBOL PROFESIONAL SAU
(SEFPSA)
Con fecha 22/08 y 4/09/2023, se solicitó a SEFPSA, la siguiente información relativa a los
sistemas de reconocimiento biométrico implantados en los Clubes pertenecientes a la LNFP:
4.3.1. Listado de Clubes para los cuales la SOCIEDAD ESPAÑOLA DE FÚTBOL
PROFESIONAL, S.A.U (en adelante, SEFPSA) ha actuado como proveedor del sistema de
tecnología para la identificación biométrica para el control de acceso a los estadios de fútbol.
Con fecha 15/09/2023, se recibió respuesta, identificando solo para las zonas de las gradas
de animación son SIETE, los equipos de primera división y OCHO de segunda, los que lo
tienen implantado, “ siendo los tornos correspondientes a dichas zonas, los únicos que
incorporan la tecnología necesaria para el reconocimiento biométrico ”.
4.3.2. Indicar si en el marco de esta provisión para los Clubes habría adquirido el rol de
encargado (o, en su caso, responsable) de los tratamientos de datos personales. En su
caso, facilitar los acuerdos de encargo de tratamiento suscritos en virtud del artículo 28 del
RGPD.
Respondió que solo es suministrador del software y el hardware (tornos de accesos,
servidores) necesarios, sin acceder en ningún caso a los datos personales almacenados en
dichos sistemas, no ostentando el rol de responsable ni de encargado de tratamiento. Como
consecuencia, no ha llevado a cabo análisis de riesgos o evaluación de impacto al no serle
de aplicación las previsiones del RGPD. .
4.3.3. Identificar todos los lugares en los que se almacenan los patrones biométricos
registrados en el proceso de enrolamiento de los distintos Clubes- (torno, clientes/servidores
del Club, servidores de SEFPSA)-, y las medidas de seguridad (encriptación, hashing, etc.)
que se les aplican en cada sitio y en el tránsito entre los mismos. Señalar, si existen
variantes entre los sistemas implantados en los distintos Clubes y, en su caso, cuál habría
sido su motivo.
Respondió que SEFPSA facilita a los Clubes tanto el hardware como el software necesario
para que pueda llevarse a cabo el control biométrico de acceso a los estadios.” Por ello, en
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

21 / 139
la versión original de los sistemas aportada por SEFPSA, los datos biométricos estarían
almacenados en el Servidor de Gestión de Identificación ((...)) ubicado en las instalaciones
del Club. En (...), se encuentran almacenados, únicamente con respecto a aquellos
interesados que utilicen la identificación biométrica, los datos correspondientes a su nombre,
apellidos, DNI, ID Persona (identificación aleatoria para evitar accesos duplicados a los
estadios), y el vector biométrico resultante del proceso de registro del abonado. De este
modo, si bien la comparación de patrones se produce en (...), dicho proceso no genera
ningún nuevo dato personal, limitándose el sistema a arrojar un resultado positivo o negativo
como consecuencia de la comparación realizada. Dentro de los requerimientos contenidos
en el hardware y software suministrados por SEFPSA, se incorporan las siguientes medidas
de seguridad,
-Respecto del vector biométrico:
 Se almacenan (...) para garantizar que la plantilla obtenida por cada interesado no
coincidirá con la empleada en otros sistemas de control, de manera que imposibilite la
interconexión con otros sistemas y evite solapamientos o sustituciones de identidad.
 El producto está diseñado de manera que permita que de la misma fuente puedan
extraerse múltiples, e independientes (...) , a fin de poder (…) en caso de violación de los
datos o de evolución tecnológica. En tal sentido, de cada usuario se recogen dos o más
huellas dactilares, con dos plantillas por huella. Esto es, al menos cuatro plantillas por
usuario. Esto facilita que el usuario pueda utilizar más de un dedo, si la información de una
de las ellas fuera comprometida, es posible su eliminación y el uso de las restantes o nuevo
registro del usuario.
 El vector biométrico está cifrado con (…) de ***EMPRESA.2 , de carácter irreversible para
sus propios empleados, clientes incluyendo el Club, y proveedores de estos.
 Medidas que garantizan la imposibilidad de reconstrucción de datos originales a partir de
las plantillas.
 Se dispone de mecanismos de supresión de datos.
-Respecto de los sistemas de información
 A través de prohibición de uso de software no autorizado y con software de (...).
 Actualización continua de sistemas operativos, aplicaciones y dispositivos
 Procedimientos de securización de sistema de información
 Uso y definición de (…) para pruebas, desarrollo y operación.
 Se llevan a cabo copias de respaldo de la información, así como los sistemas que la
procesan, con carácter diario (…) .
 Gestión periódica de vulnerabilidades técnicas de software
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

22 / 139
4.3.4. Identificar el lugar en el que se produce la identificación biométrica (comparación
patrón leído con patrón almacenado).
Respondió que durante la lectura biométrica existe un lector instalado en el torno de acceso
que genera un vector biométrico cifrado de la huella dactilar del interesado que en ese
momento está tratando de acceder al estadio.
Una vez generado el vector, la electrónica de control del lector, instalada en el torno, lo
comunica a través de (…) , ubicado en las instalaciones del Club y al que solo éste tiene
acceso, donde se encontrarían almacenados los vectores biométricos dispuestos por el Club
para, inmediatamente proceder a la comparación mediante una carga de la totalidad de los
vectores biométricos previamente suministrados por los abonados. Se produce así, un
proceso de comparación de identificación biométrica 1 a N, o 1 a varios.
De manera simultánea a la correspondencia de vectores biométricos, e igualmente en el
(...) , se verifica la correspondencia de los datos del servidor de gestión de aforos del Club-
ID persona, nombre y apellidos- con el vector biométrico generado en el torno, con el
objetivo de obtener una respuesta que puede ser: “ no reconocido ” o “ ..... ...... ”, ......
esta última la que facilitaría el acceso del interesado al estadio mediante la activación del
torno.
“ De todo lo anterior cabe concluir que se producen dos comparaciones simultáneas en el
(...), uno: la comparación entre vectores biométricos -el generado por el torno y los
almacenados en los servidores del Club-, y dos: la comparación entre los datos asociados al
vector biométrico y los datos identificativos almacenados .”
4.3.5. Describir cómo es el proceso de supresión de los patrones biométricos en los
diferentes sistemas en los que se encuentran almacenados, identificando las entidades
(Club, La Liga, etc.…) que actúan en el proceso.
Respondió que los Clubes que disponen de tecnología aportada por SEFPSA almacenan los
patrones biométricos en los servidores y sistemas de cada uno de los Clubes que disponen
de la tecnología aportada por SEFPSA. Por este motivo, será responsabilidad de cada Club
establecer los plazos y procesos de supresión de los datos. SEFPSA no tiene conocimiento
de los procesos de supresión ni de los plazos establecidos a tal efecto por cada uno de los
Clubes.
4.3.6. En caso de que dispusiera de ella, facilitar el análisis de riesgos y evaluación de
impacto efectuadas por SEFPSA en relación con los sistemas biométricos implantados.
Respondió que, al no ostentar ningún rol en el tratamiento de datos, no ha realizado análisis
de riesgos o evaluación de impacto, considerando que no se le aplica el RGPD.
QUINTO: Volumen de negocio de la LNFP
De acuerdo con el informe recogido de la herramienta AXESOR, con fecha 22/09/2023, la
LIGA Nacional DE FÚTBOL PROFESIONAL, G78069762 le consta la siguiente información:
-Empresa matriz global
-de (…) empleados
-ventas: más de (…) euros
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

23 / 139
-total activo, de (…) euros
-Tamaño empresa UE: Corporate
En cuenta de resultados, consta “ cifra de negocios ” en el último año que figura, 2018, de
(…) euros.
-Como empresas filiales y asociadas, figuran once, con participación en las mismas que va
del 100% AL 25%.
SEXTO: Acuerdo de inicio
Con fecha 27/12/2023, se acordó por la directora de la AEPD:
“PRIMERO: INICIAR PROCEDIMIENTO SANCIONADOR a la LIGA NACIONAL DE
FÚTBOL PROFESIONAL con NIF G78069762 , por la presunta infracción del artículo 35 del
RGPD, de conformidad con el artículo 83.4. a) del RGPD, y calificada a efectos de
prescripción de la infracción como grave en el artículo 73.t) de la LOPDGDD.
SEGUNDO: ORDENAR como medida provisional a la LIGA NACIONAL DE FÚTBOL
PROFESIONAL con NIF G78069762 , de acuerdo con lo dispuesto en el artículo 69 de la
LOPDGDD y 56 de la LPACAP, la comunicación a los miembros de la LNFP de una
suspensión temporal de todo tratamiento de datos personales relativos a los datos
biométricos para el acceso a las gradas de animación de los estadios de fútbol de primera y
segunda división. La medida perdurará, en tanto no disponga de una evaluación de impacto
de protección de datos del tratamiento válida, que tenga en cuenta los riesgos para los
derechos y libertades de los aficionados y las medidas y garantías adecuadas para su
tratamiento, con superación de los variados requisitos que la componen, o incluso si se
realizara, precisara efectuar la previsión de consulta que se establece en el artículo 36 del
RGPD.
La medida provisional deberá llevarse a cabo en el plazo de treinta días hábiles, contados
desde la notificación de este acuerdo de apertura del procedimiento, y permanecerá hasta
su resolución final, en que deberá ser confirmada, modificada o levantada, sin perjuicio de lo
dispuesto en el art. 56.5 de la LPACAP. A tal fin, deberá justificar ante esta Agencia
Española de Protección de Datos la atención del presente requerimiento.
QUINTO: QUE a los efectos previstos en el art. 64.2 b) de la LPACAP, la sanción que
pudiera corresponder sería por la infracción del artículo 35 del RGPD es de una multa
administrativa de 10.000.000 euros (diez millones), sin perjuicio de lo que resulte de la
instrucción .”
SÉPTIMO: Petición de ampliación de plazo y copia del expediente
Con fecha 5/01/2024 se recibe escrito de la reclamada, otorgando su representación a una
persona física, también aludiendo a su condición de DPD solicitando la copia del expediente
y ampliación de plazo para formular alegaciones que le fue otorgado. Aporta para acreditar
su representación una escritura notarial de otorgamiento de poderes de 13/03/2023.
OCTAVO: Alegaciones de 25/01/2024
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

24 / 139
Con fecha 25/01/2024, se recibe escrito del representante de la LIGA, también
manifestando su condición de DPD efectuando alegaciones, acompañado por dos anexos
de documentos denominados uno y dos
1) Sobre el contenido de la parte dispositiva referido a la adopción de la medida provisional
impuesta, manifiesta que no es un acto de trámite, sino que puede ocasionar perjuicios.
Manifiesta que lo va a impugnar en vía contencioso-administrativa al objeto de obtener la
suspensión de la decisión por afectar a sus derechos e intereses susceptibles de protección
Al anunciar dicha interposición, solicita en aplicación del artículo 90.3 de la LPACAP que se
suspenda cautelarmente la medida provisional adoptada.
2) Indefensión por el envío parcial de la copia del expediente, considerando que son
documentos relevantes para el desarrollo de las actuaciones. Alude a los que, formando
parte de las actuaciones previas de investigación, procedentes del ***CLUB.4 de 16/03,
27/07 y 4/09/2023 se contemplaban a modo de índice, pero que no fueron remitidos.
Manifiesta que: “ no han podido tener conocimiento del alcance, contenido de las
informaciones” y que “ puede afectar a la motivación que ha justificado la apertura del
procedimiento, al tratarse de uno de los Clubes que instauraron un sistema de control
biométrico de acceso a su estadio”. Manifiesta que: “lo que se haya indicado por la citada
entidad en respuesta a los requerimientos de la .... .. .. .......ó. .. ........... ...
tratamiento de los datos obtenidos por los sistemas de acceso biométrico puede resultar
sustancial para demostrar hasta qué punto resulta infundada la imputación”, y como ”no
ostenta en relación con dicho tipo de acceso a las gradas de animación la condición de
responsable de tratamiento que la .... ........ ..........”.
Añade que tampoco se incluyen “gran parte de documentación que presentaron en
respuesta al segundo de los requerimientos remitidos”. Estima que la .... .. .....
excluir ninguna información contenida en dos expedientes (EXP202213792 y EXP
202315637), al margen de que decida con posterioridad fragmentar el contenido de un
expediente previo, como lo ha hecho en este caso. Dicha disgregación sin motivo genera
completa indefensión que no le permite tomar en consideración las evidencias que ha
dispuesto la .... . ... ........ ........... ... ......ó. ......... . .. ........ .. ..
acuerdo de inicio. Considera que se ha vulnerado su derecho previsto en el artículo 53.1.a)
de la LPACAP de “ acceder y obtener copia de los documentos contenidos en los citados
procedimientos ” y a la tutela judicial efectiva contenida en el artículo 24 de la Constitución
Española.
3) Aporta para completar la información, en documento 1, copia de un INFORME de
1/12/2015 de la Subdirección General de Régimen Jurídico del deporte, del C.S.D., en
relación con la modificación del RGLNFP, que indica la normativa por la que le corresponde
emitir el informe a las modificaciones del texto del citado RGLNFP, adicionando entre otros,
el Libro XII, aprobado por la Asamblea General Extraordinaria en su reunión del 24/09/2015.
Tales normas son el artículo 10.2.b) de la Ley 10/1990, de 15/10, del Deporte, en relación
con el artículo 27 del Real Decreto 1835/1991, sobre federaciones deportivas españolas y
Registro de Asociaciones Deportivas.
El informe,” favorable a la citada adición al RGLNFP ” “ propone a la Comisión Directiva del
C.S.D. su aprobació n”.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

25 / 139
También para que se incorpore completando el expediente, aporta en documento DOS, la
copia de la Circular 34 de la temporada 21-22, enviada a los Clubes el 25/04/2022, dando
traslado del acuerdo de la CEVRIXD de su reunión de 3/03/2022.
Visto el documento 2, se trata de que la Liga comunica a los Clubes y SADs afiliados que
“ se ha recibido, un acuerdo de la Comisión Estatal contra la violencia, el racismo, la
xenofobia y la intolerancia en el deporte, dirigido a que LaLiga inste a los Clubes y SADs El
documento, que se acompaña como anexo a la presente circular, incide sobre determinados
aspectos vigentes en el Reglamento General de LaLiga (en particular, en el Libro XII,
Reglamento de venta de abonos y entradas), texto normativo de obligado cumplimiento
aprobado por la Comisión Directiva del Consejo Superior de Deportes.
Desde LaLiga se insiste en la necesidad de adoptar las medidas oportunas para el
cumplimiento de la normativa aplicable a las gradas de animación, y en las
responsabilidades en que se puede incurrir en el supuesto de incumplimiento, en especial
con ocasión de incidentes o incidencias que puedan estar relacionados .”
Se acompaña como Anexo también el literal del escrito consistente en el comunicado literal
de la CEVRIXD a la LIGA en su reunión de 3/03/2022, del que ya se ha hecho mención de
su literal en el hecho TERCERO, 3.1.1.
-Manifiesta la LIGA que el criterio sostenido en el Informe 98/2022 del Gabinete Jurídico de
la .... “ .......... .. ........... .. ..... ....é...... .... .. ...... . ... ...... ..
animación sobre la base del consentimiento del interesado . No obstante , la Guía sobre
tratamiento de control de presencia mediante sistemas biométricos publicada en la web de
la .... .. ../../...., .... .. .ñ. .....é., ......... ............... ... .....
tratamiento no podrá basarse en el consentimiento de los interesados, dado que su carácter
libre excluye el cumplimiento del principio de necesidad en el tratamiento , contradiciendo así
lo indicado en el meritado informe”.
4) Manifiesta la LIGA:
-El RVAE, que se integra en el RGNLFP, es un acto administrativo aprobado, no
simplemente autorizado o refrendado por el C.S.D., siendo dicha aprobación lo que le dota
de eficacia. La LNFP fue requerida hasta en dos ocasiones expresamente por la CEVRXID
para comunicar a los Clubs el cumplimiento de lo dispuesto, con amparo en sus facultades
de iniciar procedimientos sancionadores (art 20.3.c) primero de la Ley 19/2007 de 11/07.
- La interpretación de que la LIGA es responsable del tratamiento la considera una
interpretación forzada.” Ni LA LIGA tiene capacidad alguna para determinar los fines, ni los
medios del tratamiento, ni conoce siquiera el modo en que el mismo será, en su caso, y
cuando lo sea, llevado a cabo por los Clubes en el ámbito de lo establecido en el artículo 2
del RVAE .
-Reitera que no procede de la exclusiva voluntad de la LIGA, sino que es objeto de
aprobación por el C.S.D., y responde al requerimiento en al menos dos ocasiones por la
CEVRXID.
Señala que al artículo 41 de la LD 2022 establece expresamente que los Reglamentos de
las Ligas Profesionales, serán aprobados por el C.S.D. ” Las funciones ejercidas por las ligas
profesionales no proceden de la libre formación de su voluntad, sino de un acto
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

26 / 139
administrativo que es el que determina la aprobación del RVAE, siendo las Circulares el
medio por el que se produce el traslado de los acuerdos de la CEVRIXD, ante las
previsiones sancionadoras que dichos acuerdos contienen .”
Respecto del traslado a los Clubes mediante Circular, es el medio previsto en desarrollo del
artículo 31 del Libro IV del RGLNFP, que reza: “ La Liga Nacional de Fútbol Profesional
informará mediante Circulares, de las medidas que en cada momento tenga establecidas la
Comisión Nacional contra la Violencia y que afecten a las competiciones organizadas por
aquélla.”
El artículo 27 del Real Decreto 1835/1991 de 20/12 sobre Federaciones Deportivas,
actualmente vigente, establece un procedimiento reglado para la aprobación de los citados
Estatutos, que pone de manifiesto hasta qué punto la LNFP queda sometida a la decisión
del acto administrativo recurrible, del C.S.D., que no se limita a validar u otorgar un mero
visto bueno a los mismos.
“E l razonamiento contenido en el acuerdo de inicio parte de considerar que las funciones de
la LIGA contenidas en el título III de sus Estatutos, se establecen y configuran en el ejercicio
de su propia potestad de autorregulación, cuando las mismas proceden en toda su
extensión inicialmente de lo establecido en la propia normativa deportiva y en segundo lugar
de que el ejercicio de dichas funciones se aprueba expresamente por el C.S.D.” “Esa misma
naturaleza la ostentan las obligaciones de los Clubs y SAD integradas en la LIGA en lo
relacionado con el control de accesos a los recintos deportivos contenidos en el artículo 60
de los Estatutos de LA LIGA. En este sentido, si bien la citada norma se refiere a la
instalación de un control de acceso en los términos que indique la LIGA, debe indicarse que
al ser dicho contenido propio del reglamento regulador de la actividad de los Clubs y
sociedades anónimas deportivas en el marco de la competición, el mismo no procede
directamente de la voluntad de la reclamante sino que es objeto igualmente de aprobación
por parte del C.S.D., materializándose en el libro XII de su reglamento general que contiene
el RVAE.
En definitiva, los actos de ejecución que pudiera desarrollar LA LIGA en el marco del citado
RVAE, no se realizan como función propia sino como función delegada de las competencias
atribuidas a la administración competente en materia del deporte por la legislación deportiva,
a la que corresponde en todo caso la potestad normativa mediante la aprobación del propio
RVAE
En ese sentido lo pone de manifiesto la sentencia del TS, de 19/02/2020 :
“Así, con independencia de las funciones privadas que puedan desarrollar las ligas
profesionales, su participación en el visado de las licencias y la competencia de
organización general de las competiciones deportivas, deben considerarse encuadradas en
el ámbito de las funciones públicas que pueden desarrollar y ejercer por delegación legal,
convirtiéndose en agentes de la administración pública, como las federaciones deportivas.
Función a la que cabe añadir las delegadas por las Federaciones al amparo del artículo 28
del Real Decreto 1835 /1991.
Continua la LIGA indicando que : “Y si la supuesta decisión sobre los medios y los fines del
tratamiento que el acuerdo de inicio imputa directamente a mi representada no le es propia,
sino que se ejerce por delegación de los poderes públicos y está sometida a su previa
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

27 / 139
aprobación, no autorización ni refrendo, difícilmente es posible concluir que esa supuesta
decisión sobre los medios y los fines del tratamiento corresponde a la LIGA, sino que en el
caso de que la hubiera, procedería directamente de la administración titular de la
competencia que aprueba su adopción.
No debe olvidarse que conforme al artículo 8.1 párrafo segundo de la ley 40/2015 la
delegación de competencias no supone la alteración de la titularidad de la competencia,
aunque sí de los elementos determinantes de su ejercicio en cada caso se prevén”
-Las medidas relacionadas con el tratamiento de datos biométricos para el acceso a los
recintos deportivos, y en particular a las llamadas gradas de animación, aparecen recogidas
en el RVAE y fueron acordadas por el órgano, que conforme a lo establecido en la normativa
vigente en materia de prevención de la violencia, el racismo, la xenofobia y la intolerancia en
el deporte, tiene atribuida a competencia para adoptar medidas especiales de prevención de
conductas contrarias a lo establecido en la ley 19/2007.
-En su respuesta al requerimiento de información sobre el requerimiento dirigido por la
CEVRXID a la LIGA, el C.S.D. señaló que se consideraba competente para decidir sobre “ la
implantación de dichas medidas adicionales de seguridad en una competición sin necesidad
de que esta haya sido declarada de alto riesgo ”, de forma que aquella se consideraba
habilitada para “ adoptar medidas adicionales para la competición de LA LIGA, activando el
artículo 15.3 del RD 203/2010 de 26/01, en desarrollo de lo establecido en el citado artículo
13.1.b) de la Ley 19/2007”.
-“ La doctrina sustentada por la .... .. .. ....... .. ...... ..........í. ... .. .... ..
que una Administración Pública imponga al administrado la obligación de llevar a cabo un
determinado tratamiento de datos personales, fijando los aspectos esenciales del mismo,
seria esa administración, la que determinaría los fines y los medios del tratamiento,
deviniendo responsable, lo que supondría una interpretación novedosa del RGPD, que
precisamente en su artículo 4.7 señala que “si el derecho de la Unión o de los Estados
miembros determina los fines y los medios del tratamiento, el responsable del tratamiento o
los criterios específicos para su nombramiento podrá establecerlos el derecho de la Unión o
de los Estados miembros ”.
Fue la CEVRXID la que requirió a los Clubes y SAD la adopción de las medidas contenidas
en el requerimiento de 22/03/2022, indicando que de no adoptarla, podría implicar la
adopción de procedimientos sancionadores dirigidos contra los Clubes y SAD que integran
la Liga, con lo que con la “ doctrina sostenida por la AEPD, los medios y los fines del
tratamiento que los Clubes habrían de llevar a cabo, conteniéndose tal decisión en un
acuerdo de la citada Comisión adoptado conforme a los requisitos establecidos en su
normativa reguladora.” se cumpliría.
Esta capacidad de la CEVRXID para determinar los fines y medios del tratamiento,
siguiendo lo razonado por la AEPD, incluso persistió reforzada aún más al establecerse la
base jurídica que debía regir el tratamiento de los datos en el segundo requerimiento dirigido
a aquella el 21/03/2023, insistiendo en el tratamiento de datos biométricos, si bien indicaba
que el mismo únicamente tendría lugar con el consentimiento de los interesados.
-La CEVRXID no requiere a la LIGA para que lleve a cabo el tratamiento de los datos
biométricos y de cumplimiento a lo acordado, sino que se limita a solicitar de la misma que
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

28 / 139
adopte las medidas necesarias para dar traslado de su requerimiento a Clubes y SAD,
verdaderos responsables del tratamiento, también a juicio de la Comisión, sobre los que
podría recaer el régimen sancionador previsto en la Ley 19/2007 de 11/07 en caso de que no
llevasen a cabo todas las actividades del tratamiento.
-Subraya la LIGA, que el requerimiento dirigido por la CEVRXID a la Liga indicaba que el
principal “ motivo de esta actuación reside en que, en cualquier caso, el disfrute de
condiciones especiales en una determinada sección o área de un recinto deportivo (grada
de animación) respecto a las condiciones generales del resto de sectores (gradas) debiera
llevar aparejado el cumplimiento de una serie de obligaciones especificas tales como la
identificación biométrica con las garantáis legalmente previstas respecto al tratamiento de
datos personales”, lo que estima es una vinculación directa e inmediata entre lo exigido a los
Clubes y SAD con los objetivos perseguidos por la Ley 19/2007.
Concluye la LIGA, que los fines y medios del tratamiento los había establecido el C.S.D.,
con la aprobación del RVAE, así como que también posteriormente, indicó que la no
realización del tratamiento podría implicar la adopción de procedimientos sancionadores
dirigidos contra los Clubes y SAD que integran la LNFP.
-Al razonamiento de la AEPD, de que la supuesta atribución de la LNFP del carácter de
responsable del tratamiento deriva de lo establecido en los apartados 2 a 4 del RVAE,
considerando que con tales previsiones determina los fines y los medios del tratamiento, y
que dicha determinación se lleva a cabo para los propios objetivos ejerciendo en atención a
esos fines propios una influencia decisiva en el tratamiento que la convierte en responsable
del mismo, manifiesta la LIGA, que:
-Los fines perseguidos con el tratamiento no pueden considerarse propios de la
LIGA, sino derivados directamente de lo establecido en la normativa cuyo objeto es la
prevención de la violencia, el racismo, la xenofobia y la intolerancia a en el deporte, que
impone estas obligaciones a los propios Clubes, y ello, al margen de lo que se hubiera
indicado en el propio RVAE
-La determinación del carácter nominativo de las entradas no procede de una
decisión propia de la LNFP, sino de lo acordado por la CEVRXID, señalando los artículos de
la Ley 19/2007 de 11/07 que establecen la inclusión de un sistema informatizado de venta de
entradas y de acceso al recinto en todos los recintos deportivos, con sanción de clausura de
los mismos caso de incumplimiento (art 11.1), y el articulo 13.c de dicha norma habilita a la
CEVRXID “ para decidir la implantación de sistemas de emisión y venta de entradas que
permitan controlar la identidad de los adquirentes de entradas ”.
-Estima la LIGA que incluso aunque el RVAE hubiere guardado silencio en ese punto, la
CEVRXID requirió a la LIGA para que comunicase a los Clubes y SAD la obligación de
tratamiento del dato biométrico para el acceso a las gradas de animación. Es decir, en este
caso, la delimitación de la finalidad del tratamiento derivaría de lo establecido en la Ley
19/2007 de 11/07 y su Real Decreto 203/2010, de 26/02, acordado, además por quien, al
menos aparentemente, conforme a lo indicado por el C.S.D., ostentaba la competencia para
imponer esta obligación.
“ no es posible considerar que LA LIGA decide en modo alguno sobre la finalidad del
tratamiento, que procede directamente de lo establecido en la citada normativa que el RVAE
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

29 / 139
se limita a plasmar, siendo dicha finalidad, la erradicación de la violencia en el deporte, un
objetivo de política general que no pude considerarse como hace el acuerdo de inicio,
meramente propio de la LIGA .”
-Lo dispuesto en los artículos 11.1 y 13 de la Ley 19/2007 de 11/07, no se dirige a las Ligas
Profesionales, ni a las Federaciones, sino a los propios participantes en las competiciones, y
si la obligación se dirige a los Clubs o SAD, de conformidad con el APARTADO 24 de las
DIRECTRICES 7/2020 sobre los conceptos de “ responsable del tratamiento, y encargado
del tratamiento en el RGPD, versión 2.0, adoptada el 7/07/2021 ”, se deriva que son aquellos
los que ostentarían la condición de responsable en la realización de los tratamientos
vinculados con la identificación y acceso a esos recintos, dado que la Ley les impone a
dichos Clubes y nunca a la LIGA, la realización de actuaciones necesarias para el
cumplimiento de esa obligación.
También el APARTADO 27 de las citadas DIRECTRICES aluden a la relación o interacción
del interesado con el responsable del tratamiento como criterio esencial para la delimitación
de esta condición.” A tal efecto la única relación existente en lo que respecta al régimen de
acceso a un recinto deportivo es la que se deriva de la condición de abonado a un
determinado Club o SAD, o la de hallarse en posesión de un título nominativo o no, que
habilita el acceso al recinto deportivo. Es decir, la relación jurídica subyacente al tratamiento
se produce únicamente entre el Club y el abonado o poseedor de la entrada, encontrándose
LA LIGA al margen en dicha relación ”.
Considerándose pues, que la finalidad no viene determinada por la LIGA, debe igualmente
indicarse que la LIGA tampoco establece los medios esenciales del tratamiento,
concretándose en el tipo de datos personales tratados, ¿Qué datos se trataran?, la duración
del tratamiento ¿Cuánto tiempo se trataran?, las categorías de destinatarios ¿Quién tendrá
acceso a los datos, y las categorías de interesados?
“ La LIGA no adopta decisión alguna en relación con los citados medios esenciales del
tratamiento, recayendo en los propios Clubes y SAD que implanten el sistema .”
Respecto del colectivo al que afectaría, las gradas de animación o su no existencia,
depende exclusivamente de la decisión del Club o SAD.
También cada Club determinara conforme a su criterio, cual sea el dato biométrico, y la
tecnología facilitadora de dichos tratamientos, no solo fue la facilitada por la LIGA.
“ La LIGA tampoco ha establecido distintos extremos del tratamiento, como el cumplimiento
de los principios en la normativa, el plazo de conservación, el modo de conservación en los
sistemas, las medidas técnicas y organizativas que garanticen su confidencialidad .”
Sobre la categoría de destinatarios, también es la propia Ley 19/2007 de 11/07 la que lo
establece.
Incluso la base jurídica del tratamiento resulta coincidente con la contemplada en el informe
98/2022, de conformidad con los distintos precedentes que en aquella se establecían.
También se contenía tal consentimiento en las directrices 3/2019 sobre el tratamiento de
datos personales mediante dispositivos de video aprobadas el 29/01/2020, en las que el
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

30 / 139
Comité reconocía la posible existencia de tratamientos consistentes en el reconocimiento
facial y fundados en el consentimiento del interesado en el apartado 77.
“ La LIGA no determina los fines ni los medios del tratamiento, ni el tratamiento atiende a los
objetivos propios de LA LIGA. No concurre en la LIGA ninguno de los requisitos necesarios
para que pueda considerarse responsable del tratamiento “.
-Estima la LIGA que no concurriría la doctrina que se señala citando la sentencia de TJUE
de 5/12/2023, asunto 683/21, porque se trata de supuestos distintos, ya que en la
comentada sentencia fue una entidad la que para el objetivo de gestión de la pandemia
COVID 19, decidió utilizar una herramienta informatica para realizar el seguimiento de los
datos de las personas expuestas al virus, pues en este caso, los Clubes pueden decidir si
disponen o no de gradas de animación, establecer el tipo de tratamiento que llevaran a cabo
y los distintos elementos aplicables al tratamiento, siendo la finalidad del mismo, propia de
los Clubes y SAD, no de la LNFP, y tampoco es similar al caso de la sentencia de
10/07/2018, en que existía corresponsabilidad del tratamiento de la Comunidad junto con
sus miembros.
5) La obligación de efectuar una EIPD, en este caso, sobre el tratamiento de datos
biométricos para el acceso a los recintos deportivos le corresponde a los Clubs y SAD,
careciendo de la condición de responsable del tratamiento la LIGA.
Tras repasar el contenido mínimo de la EIPD que prevé el artículo 35.7 del RGPD y
aludiendo a diversos aspectos de la “ Guía sobre gestión del riesgo y evaluación de impacto
en tratamiento de datos personales, adoptada por la AEPD” y publicada en junio 2021,
concluye que la imputación resulta inadecuada y su consecuencia, el archivo.
Destaca de la citada Guía los siguientes aspectos:
-La probabilidad de alto riesgo muy significativo para los derechos y libertades de las
personas que puede producir impactos en los derechos y libertades de las personas, exige
un análisis del ciclo de vida de los datos. La Guía repasa entre las formas de descripción y
contextualización del tratamiento, la del análisis del ciclo de vida que entre otros aspectos
incluiría la recogida, registro, uso, comunicación a un tercero y finalización, siendo la
finalidad poder min imizar en cada fase el impacto del tratamiento en los derechos y
libertades de los interesados y el riesgo derivado del tratamiento.
Además, el acuerdo de inicio califica el riesgo de muy significativo, pese a que el Dictamen
3/2012 sobre evolución de tecnologías biométricas indica el perfeccionamiento de los
sistemas biométricos y su adecuación a un uso extenso en distintos entornos
El RVAE ni siquiera especifica el dato biométrico que podrá ser objeto de tratamiento ni el
modo en que el tratamiento se llevará a cabo, sin conocer la tipología de los datos objeto del
tratamiento, menos será posible conocer los detalles del propio tratamiento, tales como el
modo en que se recogen aquellos, almacenamiento que según el acuerdo de inicio se
realiza en los propios servidores de los Clubes y SAD. La LNFP no puede conocer el ciclo
de vida de los datos. Tampoco las medidas técnicas y organizativas encaminadas a
preservar los derechos y libertades de los interesados, como contrapesos al riesgo que el
tratamiento puede generar en tales derechos y libertades ni como recaba el consentimiento
cada Club o SAD que tiene en marcha la medida, por lo que tampoco puede valorar las
garantías necesarias para garantizar la licitud y transparencia del tratamiento.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

31 / 139
Manifiesta la LNFP que ello refleja la inadecuada imputación que debe ser archivada.
6-Efectúa la LNFP alegaciones relacionadas con la vulneración del principio de
proporcionalidad estimando que los factores considerados como agravantes son elementos
de la propia conducta que se pretende sancionar, rebatidos en este escrito de alegaciones.
Considera, que solo se valora la cifra de negocios y la cuantía impuesta en el acuerdo de
inicio como disuasoria, acordándose imponer la sanción individual más elevada impuesta
hasta esta fecha por la AEPD, “constituiría el 28,5% del límite superior derivado de la
aplicación de la cifra de negocio mencionada, referido única y exclusivamente a la comisión
de una única infracción .”
Considera que:
a) El artículo 4 de los Estatutos de la LIGA refiere que esta se crea por tiempo indefinido y
carece de ánimo de lucro y el artículo 49: “ La Liga concebida como expresión solidaria de
los intereses comunes de las competiciones que organiza y de sus afiliados, se constituye
sin ánimo de lucro y, en consecuencia, sus ingresos, deducidos sus gastos de
mantenimiento social, los compromisos adquiridos y el Fondo Social que se constituya,
serán distribuidos entre los asociados, en la cuantía o proporción que se determine por los
presentes estatutos ”.
Añade la LIGA que, dado que ejerce funciones asociativas en interés de sus miembros, le
corresponde el ejercicio de potestades publicas delegadas por parte de la Administración
deportiva, y su régimen económico no puede asimilarse sin más al propio de una mercantil.
La LIGA gestiona los derechos de los Clubes por cuenta de los mismos, destinando el
importe de los rendimientos que pudiera obtener por su gestión o explotación a sus propios
asociados, sin que la cifra de facturación pueda considerarse como elemento relevante al
menos de forma aislada para determinar los supuestos en que una sanción pudiera ser
calificada de disuasoria. La imposición de una sanción a la LIGA repercutiría en las
cantidades que esta gestiona para los Clubs y SAD, que verían mermados sus recursos.
Las cuentas de la LIGA son sometidas a auditoría de cuentas, según refleja el artículo 58.2
de la LD 2022. La Ley 22/2015 de 20/07, de auditoría de cuentas, indica que las Ligas
Profesionales, a los efectos de dicha ley, tienen la consideración de entidad de interés
público.
Señala la LIGA, que en la memoria de las cuentas anuales al ejercicio terminado el
30/06/2023, se indica que el excedente o beneficio de la Liga, se reparte entre sus
asociados en su totalidad o incrementa el Fondo Social.” Considerando lo mencionado en la
nota 2.c) por el que se generó en el ejercicio económico terminado el 30/06/2022 unas
reservas por importe de 6.335 miles de euros, La LIGA, con el propósito de favorecer a los
Clubes/SAD a través del reparto de mayores recursos, ha finalizado el ejercicio económico
terminado el 30/06/2023 con unas pérdidas de 6.335 miles de euros, de modo que la
propuesta de la Comisión Delegada a la Asamblea General sobre la distribución del
resultado del ejercicio, será la compensación de estas pérdidas contra las reservas
generadas el ejercicio terminado el 30/06/2022 ”.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

32 / 139
Sobre la cifra de negocios, indica:
-Una parte importante de esa cifra de negocio es consecuencia de la competencia ex lege
de gestionar los derechos audiovisuales de terceros (Clubes y entidades participantes en la
competición) a los que el Real Decreto Ley 5/2015 de 30/04 reconoce expresamente como
titulares, siendo un gestor de derechos ajenos.
-Una parte importante de dichos ingresos tienen adicionalmente, la condición de prestación
publica obligatoria en los términos del artículo 30 de la Constitución para financiar el
deporte, que supone el 50% de la financiación presupuestaria de las subvenciones a
federaciones.
Solicita que, de la cifra de negocio tomada como criterio de fijación de la propuesta de
infracción, sean deducidas las cantidades que se corresponden a derechos titularidad de
terceros y las que forman parte de la prestación pública obligatoria con el fin de que se
establezca una proporcionalidad directa entre la cifra de negocio y la cuantía que
determinaría que la multa a imponer resulte disuasoria.
Considera que, en el ámbito de la Unión Europea, no se ha impuesto una sanción por el
artículo 35 del RGPD tan alta como la que se le ha propuesto. Señala el procedimiento
PS/121/2021 por una infracción del mismo artículo, con un informe de auditoría publicado de
cifra de negocios, ultima conocida, de más de 25.000 millones y 90 mil empleados, 1.636
tiendas abiertas, con imposición de una cuantía de 50.000 euros, y en cuyo caso no se
planteaba cuestionamiento de su condición de responsable de tratamiento.
-La cuantificación se basa en consideraciones generales carentes de sustrato probatorio,
tales como la “ muy alta afectación en intensidad de uso y número de personas sobre las que
puede recaer el tratamiento ”, mera potencialidad, vulnerando un principio del derecho penal
aplicable al derecho administrativo sancionador, como es que aplica un principio de
responsabilidad objetiva basado en un riesgo que califica de potencial, siendo valorada
dicha potencialidad como agravante “ de la conducta que solo potencialmente se ha llevado
a cabo ”.
-Tampoco se muestra de acuerdo con la plasmación como agravante de que se indica que
existían distintas directrices de aplicación referidas a los datos biométricos, lo que estima es
redundante, dado que el supuesto alto riesgo derivado del tratamiento, ya ha sido valorado
como elemento integrante del tipo sancionador. Además de ignorarse que tipo de agravante
podría ser la existencia de dichos documentos, también prevén la posibilidad el tratamiento
de datos biométricos con base al consentimiento. El probable alto riesgo es decisivo para la
exigencia legal de realización y superación de una EIPD, y el alto riesgo del tratamiento de
datos de categoría especial, biométricos que identifican de forma unívoca a las personas
titulares de los mismo, es inherente y se parte de la base de que conlleva como obligación la
elaboración de esa EIPD. Lo que resulte de su realización en cuanto a riesgos es algo
desconocido en este caso, pues la LNFP no ha llevado a la práctica su efectiva realización,
luego no se ha valorado específicamente como agravante los riesgos en que ha incurrido
estableciendo dicho tratamiento
-No está de acuerdo en considerar agravante asimilada a la falta de diligencia cuando se
indica que la LIGA desarrolla una actividad que depende del público, y que, además, se le
presume una profesionalidad en el uso y manejo habitual de datos personales.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

33 / 139
Estima que no ha podido hacer alegaciones frente a esta consideración produciéndosele
indefensión, ignorando el significado y relación de que “ depende del público “, con la
infracción que se pretende imputar, y careciendo de la condición de responsable del
tratamiento, ignora el modo en que se produce el uso y manejo de datos personales del que
supuestamente se predica la profesionalidad mencionada.
NOVENO: Auto de la AN de 2/04/2024, pieza separada medidas cautelares
Con fecha 2/04/2024, la Audiencia Nacional, sala de lo contencioso administrativo, sección
1ª emitió el auto 310/2024, recurso 155/2024: “ pieza separada de medidas cautelares
155/2024 ” promovido por la reclamada.
El auto efectúa una valoración circunstanciada de los intereses en conflicto. Se cita por
considerar de interés parte del razonamiento que conduce a desestimar la suspensión
solicitada, que figura en el fundamento CUARTO:
“Así las cosas, en contra de lo que dice la parte actora, la adopción de dicha medida se
encuentra debidamente motivada, siendo proporcional dado los intereses en juego. En este
sentido, en cuanto a la ponderación de los intereses en conflicto, a la vista de las
circunstancias concurrentes en el presente caso, esta Sala considera que debe prevalecer
la salvaguarda del interés general, consistente en la protección del derecho a la protección
de datos personales de los interesados que es un derecho fundamental, frente al interés
particular de la parte recurrente, máxime cuando el Reglamento General de LA LIGA
Nacional de Fútbol Profesional, no configura el control de acceso biométrico como el único
modo posible de acceder a las gradas de animación en recintos deportivos, y que del cuadro
de Clubs y Sociedades Anónimas Deportivas que aportó LA LIGA Nacional de Fútbol
Profesional hasta la temporada 22/23, sin incluir la actual, con información de la fecha de
implantación de los sistemas de dato biométrico utilizados para el acceso a las gradas de
animación, se parte de que la implantación de sistema biométrico contempla un total nueve
equipos tanto en primera como en segunda división, de un total de 20 equipos en primera y
de 22 en segunda.
Es decir, la medida provisional adoptada por la Agencia Española de Protección de Datos no
haría perder la finalidad legitima del recurso, siendo su objetivo fundamental es que se
garanticen los derechos y libertades de los interesados, la continuidad del tratamiento
vulneraría gravemente los mismos, debiendo prevalecer este sobre el interés general.
La suspensión pretendida vaciaría de contenido de la medida en cuestión, que tiene por
finalidad proteger los derechos y libertades de los interesados con carácter inmediato, y en
tanto no exista un resultado de dicha evaluación. Debemos añadir que, la parte actora
dispone de otras posibles alternativas para la misma finalidad del control que no serían tan
intrusivas como la que fue objeto de la resolución recurrida.”
DÉCIMO: Segundo y tercer escrito de la reclamada de alegaciones.
Con fecha 21/05/2024, se recibe escrito de la reclamada indicando que el 7/05/2024 han
recibido escrito de la CEVRXID dando traslado a la LIGA de lo acordado en la reunión de la
citada Comisión de 30/04/2024.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

34 / 139
En el acuerdo se significa que han tenido conocimiento de la publicación el 23/11/2023 de la
“ Guía sobre tratamientos de control de presencia mediante datos biométricos ” y el 6/03/2024
ha elevado una consulta a la AEPD, solicitando aclaración de si la mencionada guía es
vinculante, y, por tanto, anula el criterio del informe de 22/12/2022, afectando al acuerdo
adoptado por esta Comisión con fecha 13/03/2023 ”.
El acuerdo señala que en su reunión de 30/04/2024, la Comisión ha acordado suspender la
aplicación del acuerdo adoptado con fecha 13/03/2023, hasta que se reciba respuesta de la
AEPD a la consulta planteada.
La reclamada adoptó el 13/05/2024 la Circular 28, de la temporada 23/24, dando traslado a
los Clubs integrados en la LIGA que, en base a lo acordado por la CEVRXID, se comunica a
los Clubs/SADs afiliados que procedan a suspender temporalmente todo tratamiento de
datos personales relativos a los datos biométricos para el control de acceso a las gradas de
animación.
Aporta copia de documento 1 de la CEVRXID, dirigido al Presidente de la LNFP con el fin
también de que se comunique el acuerdo adoptado a los Clubes que la integran y
documento 2 firmado por la LNFP el 13/05/2024, conteniendo la Circular dirigida a los Clubs.
Con fecha 16/07/2024 se presenta escrito por la LNFP, indicando:
-Aportan copia de la resolución de sanción impuesta por la .... .. ***...... ... .. .....
realizado una EIPD, y deduce que “ como puede comprobarse, es el citado Club y no la
LNFP la obligada a la realización de una EIPD. En dicha resolución, y en términos similares
a los manifestado por la LNFP, esa .... ......... ... ... ... ...... . .. .. ....
quienes ostentan la condición de responsables del tratamiento, siendo aquellos los
obligados a la realización de la EIPD, contradiciendo la imputación efectuada a la LNFP ”.
-Aportan copia de un auto del Juzgado de Instrucción 7 de Sevilla, en el que se acuerda la
medida de alejamiento de los investigados en dicho procedimiento a cualquier campo de
fútbol en los que se disputen competiciones. En el punto 3 de la parte dispositiva, se señala:
“ Notifíquese la resolución para su efectividad a la LNFP a efectos de comunicación de la
resolución adoptada al ***CLUB.5 , al ***CLUB.1 y resto de Clubes nacionales de fútbol ”.
Deduce de ello la LNFP, que son los Clubes y no la LNFP, quienes han de adoptar las
medidas adecuadas para control de accesos a los estadios, por lo que solo aquellos
ostentarían la condición de responsables del tratamiento, siendo los únicos obligados a la
realización de una evaluación de impacto en la protección de datos, conforme a lo
preceptuado en el artículo 35 del RGPD.
DÉCIMO PRIMERO: Propuesta de resolución
Con fecha 12/11/2024, se emitió propuesta de resolución, del literal:
“ PRIMERO: Que por la Directora de la Agencia Española de Protección de Datos,
respecto de LIGA NACIONAL DE FÚTBOL PROFESIONAL con NIF G78069762 ,
-Se sancione por una infracción del artículo 35 del RGPD, de conformidad con el artículo
83.4 a) del RGPD, calificada como grave a los solos efectos de la prescripción de dicha
infracción, en el artículo 73.t) de la LOPDGDD , con una multa de 10.000.000 euros.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

35 / 139
SEGUNDO: Para salvaguardar el derecho fundamental de los abonados a las gradas
de animación, sobre la suspensión temporal incluida como medida provisional en el acuerdo
de inicio, en virtud del artículo 58.2.f) del RGPD, se propone que se eleve a definitiva .”
DÉCIMO SEGUNDO: Alegaciones a la propuesta de resolución.
Con fecha 10/12/2024 tuvo entrada escrito de alegaciones contra la propuesta, en las que
se indica:
1- “Vulneración de los derechos de la liga y fundamento de derecho de la propuesta”
-Sobre la medida provisional adoptada en el acuerdo de inicio, dio cumplimiento a la medida
al trasladar a los Clubes la improcedencia de llevar a cabo el tratamiento de datos
biométricos en el acceso a las gradas de animación, si bien se halla recurrida
-Sobre documentos aportados en actuaciones previas de investigación “ por un tercero ”, el
***CLUB.4, y las razones expuestas en la propuesta, estima que no se ajustan a derecho ni
a la realidad. Analizando diversos puntos de la resolución del procedimiento sancionador
contra ***CLUB.4 manifiesta que ambas reclamaciones tuvieron entrada el 4/11/2022, no se
dirigían ni contra el ***CLUB.4 ni contra la LNFP sino contra “ el C.S.D. ”. E n todo caso, “ la
AEPD decidió que la investigación afectaba tanto a mi representada como al ***CLUB.4 ,
tramitando las actuaciones de investigación de forma conjunta, al entender que podía existir
un nexo de unión entre ambas. De hecho, en los antecedentes de hecho de la Resolución
del procedimiento PS/00483/2023 sí constan los escritos formulados por mi representada,
así como los restantes que obran en la “porción” del procedimiento a la que se ha dado
acceso a mi representada, pero sin que figuren en ésta última los documentos aportados por
el ***CLUB.4 ” , “ cuyo contenido, como inmediatamente se indicará, a la vista de la
Resolución de aquel procedimiento, sí producen un efecto sustancial en la valoración que ha
fundamentado el reproche sancionador dirigido por la Propuesta de Resolución contra
LALIGA .”
“ La Administración no puede decidir la segregación o la fragmentación de un expediente
administrativo por propia iniciativa sin ni siquiera motivar los hechos que justifican dicha
decisión. El expediente administrativo es único y no es dable a la Administración segregar o
trocear el mismo como lo estime conveniente, máxime cuando existe una indudable
conexión entre la información sustraída al conocimiento de mi representada y la
fundamentación empleada para imponer” la sanción”.
“ La decisión unilateral de la .... .. ......., .. ........ ..........., ..é ..... ...
expediente administrativo que sirve d e fundamento para la tramitación de un expediente
sancionador contra LALIGA, puede libremente ocultársele, dado que ésta sólo tiene derecho
a acceder a la “porción” del expediente que la .... ...... ............”
El artículo 70 de la LPACAP, dispone lo que se entiende por expediente administrativo, como
conjunto ordenado de documentos y actuaciones que sirven de antecedente y fundamento a
la resolución administrativa, así como las diligencias encaminadas a ejecutarla.
“ De este modo, el expediente administrativo deberá contener todos los documentos,
pruebas, acuerdos, notificaciones, decretos, requerimientos y diligencias que hayan tenido
lugar a lo largo del procedimiento administrativo, incluidas las actuaciones previas, que
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

36 / 139
evidentemente se incorporarán al mismo cuando la investigación se convierta, como ha
sucedido en este caso, en un procedimiento sancionador.
Y el expediente administrativo ha de ser único. Es decir, si de la realización de unas
actuaciones administrativas previas de investigación se desprendiese la necesidad de
proceder a la apertura de dos procedimientos administrativos sancionadores contra dos
entidades distintas, el expediente que sirve de base a dicha tramitación ha de ser el
efectivamente tramitado, y no la “porción” que, sin motivación ni fundamentación alguna,
considere la Administración sancionadora que ha de incorporarse en cada caso.” Si la
Administración entendía que las actuaciones de investigación debían diferenciarse en uno u
otro caso, simplemente podría haber procedido a la apertura de unas nuevas actuaciones a
las iniciadas con posterioridad, incorporando sólo a ellas las diligencias que se tramitasen
en el seno de esta última. Pero si la .... .. ........... .......... ........ ..
investigación en este caso no puede sustraer del conocimiento de mi representada todo lo
actuado en ese procedimiento, dado que en ese caso estaría afectando gravemente los
derechos de mi representada.”
“ El ***CLUB.4 sí podía acceder a todo el expediente, incluyendo lo señalado por mi
representada, mientras que LALIGA no podía acceder a lo manifestado por el ***CLUB.4 , el
contenido de dichas manifestaciones, en lo que resulta de la Resolución recaída en el
expediente PS/00483/2023, que evidentemente no reproduce la “porción” del expediente
sustraída al conocimiento de mi mandante, pone de manifiesto hasta qué punto lo indicado
por el ***CLUB.4 en los tres escritos a los que LALIGA no ha podido acceder es
sustancialmente relevante para negar a mi representada la condición de responsable del
tratamiento que pretende imponérsele en este expediente . “
En dicha Resolución se indica, como acreditado, que:
1 -“No se tiene constancia de que LALIGA hubiera adoptado medidas dirigidas a
exigir el cumplimiento de las obligaciones previstas en el referido artículo del
RGLALIGA hasta que la CEVRXID le instó a hacerlo. En concreto, consta acreditado
que la CEVRXID instó hasta en dos ocasiones a LALIGA para que promoviera la
implantación por los Clubes de las medidas de control biométrico indicadas en el
Libro XII de su Reglamento General, exclusivamente para las gradas de animación
en primera y segunda división. En sus acuerdos hace referencia además a que su
incumplimiento dará lugar a “las correspondientes propuestas de apertura de
expedientes sancionadores en ejercicio de su función de vigilancia y control prevista
en la Ley”.
Sin embargo, la Propuesta de Resolución considera que el establecimiento de un
sistema biométrico de acceso a los recintos deportivos procede de la decisión
unilateral de LALIGA, manifestada en el Reglamento de Venta de Abonos y Entradas
(en adelante “ RVAE”), integrado en el Reglamento de LALIGA, cuando de la
información recabada y sustraída a mi representada se desprende que LALIGA no
llevó a cabo acción alguna encaminada a exigir el cumplimiento de esta previsión en
tanto no fue requerida a ello por la Comisión Estatal contra la Violencia, el Racismo,
la Xenofobia y la Intolerancia en el Deporte (en adelante, “CEVRXID”).
De este modo, la información sustraída al conocimiento de mi mandante pone de
manifiesto, precisamente, lo contrario de lo que se afirma en la Propuesta.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

37 / 139
2-“Recibido el comunicado anterior [de la CEVRXID, de fecha 21 de marzo de 2023],
LALIGA adoptó el día 23 de marzo de 2023 la “Circular N.º 19 de la Temporada
2022/2023, por la que se trasladaba a los Clubes lo indicado por la citada Comisión,
informando asimismo del informe de esa .... .. .. .. ......... .. ....”. ..
Circular traslada a los Clubes que “el acceso a las gradas de animación mediante
datos biométricos puede mantenerse, pero siempre que exista consentimiento libre
del interesado, previa información de las concretas finalidades para el tratamiento de
los datos de carácter personal. En caso de no contar con el consentimiento de los
interesados, la CEVRXID recuerda que los espectadores de estas gradas no estarán
exentos de someterse a todos los controles de verificación de identidad que se
hallen vigentes en cada momento y, a tal fin, resulta obligatorio que el Club o SAD
cuente con un procedimiento que permita identificarlos”.
“ Se pone nuevamente de manifiesto que el establecimiento de los sistemas de
acceso a los recintos no deriva de una decisión de mi representada, sino que
procede de la adoptada a su vez por la CEVRXID, a la vista del informe 98/2022 del
Gabinete Jurídico de esa AEPD.”
3-“ La Liga, a través de la entidad SEFPSA, provee a los miembros que lo solicitan
los distintos dispositivos para el accionamiento de los tornos de entrada a los
recintos deportivos, incluyendo, en su caso, los sistemas biométricos de
reconocimiento por huella dactilar. Los Clubes son libres de contratar el sistema de
huella dactilar de SEFPSA o cualquier otro , siempre y cuando dispongan de un
sistema biométrico de venta de abonos y control de acceso a sus gradas de
animación.
Sin embargo, en la Propuesta de Resolución se indica “[l] a LNFP ha contratado y ha
puesto a disposición de los Clubes de fútbol y Sociedades Anónimas Deportivas, sus
propios asociados, un sistema de acceso biométrico a las gradas de animación de
los estadios de primera y segunda división predisponiendo fines y medios para tratar
dichos datos biométricos, de lo que se deduce que la LNFP no obra en ejecución de
ningún mandato legal, ni siquiera de un mandato normativo -puesto que el RGLNFP
no ostenta naturaleza reglamentaria, como se ha señalado ”, utilizando esta
afirmación para indicar que LALIGA decide sobre los fines y medios del tratamiento y
la forma en que dicho tratamiento se llevará a cabo. De esta afirmación parece dar a
entenderse que el tratamiento que realizarán los Clubes se lleva a cabo (i) porque
así lo quiere LALIGA; (ii) de la forma que estima conveniente LALIGA; y (iii) con
intervención de LALIGA en las operaciones de tratamiento. Sin embargo, ninguna de
estas afirmaciones resulta cierta si se confronta esta afirmación con lo indicado en la
Resolución del procedimiento PS/00483/2023.
• Tras la recepción de la Circular 19 de la Liga de 23 de marzo de 2023, los Clubes
que tenían implementados sistemas de reconocimiento biométrico adoptaron
medidas encaminadas bien a la suspensión de este procedimiento de acceso, bien al
mantenimiento del mismo como voluntario y complementario de otros”, lo que no
hace sino ahondar en el hecho de que LALIGA se limita a poner en conocimiento de
los Clubes las decisiones adoptadas por la CEVRXID, que es la que había resuelto
el establecimiento de este sistema de control biométrico de acceso a los recintos.
• Se indica que en el tercer requerimiento de información se solicita al ***CLUB.4
“ q ue aporte información sobre los lugares en los que se almacenan los patrones
biométricos (servidores del Club -(...)- o Tornos) ”, respondiendo éste que “ se
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

38 / 139
almacenan solo en el (…) . Manifiesta, entre otros aspectos, que “Lo normal es
recoger 2 templates por dedo y 2 dedos por abonado. El enrolamiento se realiza
mediante (…) , que interactúa y se maneja desde la (…) en el equipo del Club. − Una
vez el proceso de enrolamiento finaliza, la aplicación cliente trasmite (...) ”. (…).“El
torno (lector) (…) , tan solo sirve de emisor, recoge el template del abonado a través
del (...) ” , añadiendo en cuanto a la información requerida sobre la destrucción de los
datos que “cuando un empleado autorizado del Club, decida eliminar un patrón
biométrico o todos ellos, lo podrá realizar desde el sistema ***DISPOSITIVO.4 ,
eliminándolos del único sitio en el cual están almacenados, el Servidor del Club
((...)); dicho proceso es irreversible, por lo que una vez eliminados no es posible su
recuperación”.
Y de todo ello deduce la .... ...:
“Por tanto, el proceso de identificación incluye necesariamente la realización de
varias operaciones de tratamiento (recogida o captura de datos, registro,
almacenamiento, procesamiento, comparación, autenticación, conservación,
supresión, limitación…etc.) de las que solo el ***CLUB.4 fue responsable a los
efectos previstos en el artículo 4. 7 del RGPD, que dispone: “ 7) «responsable del
tratamiento» o «responsable»: la persona física o jurídica, autoridad pública, servicio
u otro organismo que, solo o junto con otros, determine los fines y medios del
tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines
y medios del tratamiento, el responsable del tratamiento o los criterios específicos
para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados
miembros”.
En definitiva, cuando el ***CLUB.4 implantó un nuevo sistema de detección de huella
dactilar para la identificación-verificación de la identidad de personas físicas (en lugar
del método habitual de comprobación de identidad mediante DNI, y título de compra
a través de lector QR, o chip en tarjeta) debió ser consciente de que iba a pasar a
ser responsable de fijar los fines y medios de varias operaciones de tratamiento de
datos de categoría especial y de alto riesgo.”
Sin embargo, respecto de mi representada, la .... .. .. ...... ........ ..
existencia de una sola de las operaciones de tratamiento a las que se refiere el
artículo 4.2 del Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la
protección de las personas físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de estos datos (en adelante, “ RGPD ”),
realizándose todas estas operaciones por los Clubes y Sociedades Anónimas
Deportivas (en adelante, “ SAD ”) en sus propios servidores y como consecuencia de
su decisión de acudir a la tecnología que han considerado oportuna, lo que pone de
manifiesto que no concurre en mi representada la condición de responsable del
tratamiento.
Todo lo que ha venido indicándose hasta este lugar pone de manifiesto cómo la mera lectura
de lo considerado acreditado por la Resolución del procedimiento ***PROCEDIMIENTO.1
resulta sustancial para la resolución del presente procedimiento sancionador, habiendo sido
esta información sustraída al acceso de mi representada, provocándole una palmaria
indefensión .”
Considera que no permitir el acceso al expediente completo ha causado un perjuicio
real y efectivo, dado el hecho de que no ha “podido tener en consideración lo
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

39 / 139
invocado por uno de los Clubes que la conforman para poder acreditar hasta qué
punto son única y exclusivamente los Clubes y las SAD los responsables del
tratamiento, constituye un vicio esencial que priva a mi mandante de la utilización de
evidencias, de las que la .... ..... ............ .... ... ...............
sustrae del presente procedimiento, que evidencian hasta qué punto lo afirmado en
la Propuesta de Resolución resulta no sólo contrario a la normativa de protección de
datos, sino a la propia ratio decidendi que guio a la .... . .. ........ó. .. ...
sanción al ***CLUB.4 como consecuencia de datos obrantes en el mismo expediente
tramitado contra LALIGA.
No puede considerarse subsanado por el mero hecho de que mi mandante formule las
presentes alegaciones ni porque haga uso en las mismas del contenido de la Resolución
mencionada, dado que en la instancia del procedimiento en la que nos encontramos LALIGA
sigue sin poder tener conocimiento del contenido íntegro del expediente que dio lugar a la
apertura de este procedimiento sancionador, sólo pudiendo limitarse a reproducir pasajes de
la citada Resolución ”
Reitera “nuevamente que la sustracción de la “porción” del expediente administrativo que la
AEPD, sin fundamento decisorio alguno, ha considerado oportuna en el momento en que
dicho expediente le ha sido puesto de manifiesto, constituye una frontal vulneración de sus
derechos a la tutela judicial efectiva y a la defensa, que debe conducir ineludiblemente al
archivo del presente procedimiento, dando aquí por reproducido lo indicado en las
alegaciones al Acuerdo de Inicio”
Añade, además, que “se ha producido una palmaria infracción de los derechos de defensa
de mi mandante derivada de los términos en los que ha sido requerida con carácter previo,
en tanto que dichos requerimientos en ningún caso han permitido a LALIGA comprender qué
conducta se pretendía verificar ni mucho menos cuáles eran los supuestos indicios que la
AEPD pretendía comprobar. Los términos y condiciones en que se han llevado a cabo tanto
la tramitación de ambos expedientes como dichos requerimientos de información han
imposibilitado a LALIGA también determinar cuál era el alcance concreto de su deber de
colaboración (ex art. 47.1.A LPAC), impidiendo así ejercitar de forma plena sus derechos de
defensa ante la posible ulterior incoación (posteriormente confirmada) de un expediente
sancionador que lleva aparejada unas gravísimas consecuencias.
En este sentido, con fecha 17/02/2023, se solicitó a LALIGA “en relación con los controles
de acceso a los estadios de los Clubes y SAD (sociedades anónimas deportivas), miembros
que forman parte de la LNFP, lo siguiente:
3.1.1. Aportar el conjunto de normas, instrucciones, recomendaciones, etc.,
aprobadas por la LNFP y actualmente en vigor en relación con los distintos aspectos
del tratamiento de datos personales (principios, bases de legitimación, categorías
especiales de datos, deber de información, derechos de los interesados, plazos de
conservación, etc.), derivado del control de acceso a los estadios de sus miembros.
Indicar para cada una de las normas referidas, la fecha desde la que se encuentra en
vigor, si tiene el carácter de recomendación u obligación, y si la aprobación de sus
términos deriva de la promulgación de normas de carácter estat al.
Sin que en dicho requerimiento se advirtiese del contexto al que ahora se incorpora,
requerimiento realizado en términos amplios y sin la debida motivación, que determinaría su
posterior derivación en un procedimiento disciplinario.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

40 / 139
Ello ha determinado una vulneración del derecho fundamental a no declarar contra sí mismo
y no confesarse culpable (artículos 24.2 de la CE y 48.2 de la Carta de Derechos
Fundamentales de la UE) toda vez que, en la medida en que resulta imposible para LALIGA
comprender qué conductas estaba investigando la AEPD, de igual forma tampoco resultó
posible discernir que la respuesta al requerimiento podría ser incriminatoria (siempre bajo el
criterio de la AEPD) y dar como resultado la incoación de un procedimiento sancionador y la
eventual adopción de una decisión sancionadora contra LALIGA con base en la información
facilitada en respuesta a los Requerimientos de Información, no habiéndose adoptado las
debidas garantías.
Cabe recordar que las actuaciones inspectoras de las autoridades de control se encuentran
sometidas de forma estricta a los principios de necesidad y proporcionalidad para evitar
excesos o desviaciones entre el fin perseguido y los medios empleados para conseguirlo y,
en particular, impedir injerencias injustificadas en el derecho a la libertad de empresa y los
derechos de defensa y, en el caso de las inspecciones, también del derecho a la
inviolabilidad domiciliaria.
En este sentido, el Tribunal Supremo en su sentencia de 2 de noviembre de 2015, rec.
2354/2013 señaló respecto de los requerimientos de información que, por analogía con las
actuaciones inspectoras, “se encuentran sometidas al principio de proporcionalidad y
adecuación para evitar excesos o desviaciones entre el fin perseguido y lo medios
empleados para conseguirlo”.
Cabe señalar que en el contexto en que realiza LALIGA el traslado de información
desconocía absolutamente la necesidad y relevancia de dicha información a los efectos de
la investigación luego conocida (de forma parcial, como hemos señalado). Es más, a la vista
de lo analizado cabe considerar que los requerimientos realizados pudieran considerarse
una investigación exploratoria (fishing expedition), conducta expresamente vetada por la
jurisprudencia del TJUE y TEDH”
2-“ El presupuesto esencial de la propuesta de resolución ”
“ La condición de organizador de la competición profesional de fútbol, en este caso, es una
condición que tiene un fuerte componente de actuación delegada de los poderes públicos
que se manifiesta con mayor claridad a la hora de velar por la seguridad en los estadios,
que resulta ser un aspecto especialmente sensible de la competencia organizativa de la
competición que no puede desarrollarse al margen de administración sino bajo su estricta
supervisión ”.
“ Es complejo de aceptar que la condición de suministrador sea un elemento valorativo para
atribuir a la LNFP la condición de responsable del tratamiento. Si el que suministra el
software o directamente lo vende es responsable de las condiciones de uso del que lo
adquiere podemos indicar que se ha invertido el esquema de responsabilidad que no es por
las propias acciones sino por el uso de terceros. “ no resulta admisible, en términos de
responsabilidad, es que se trasladen al diseñador y al proveedor las condiciones que, en
materia de protección de datos, corresponden únicamente al responsable del tratamiento
que, en ningún caso, es LALIGA.
Son los terceros que adquieren el software los que resultan responsables – en su caso- de
su uso conforme a la legalidad vigente. Este argumento, llevado a sus últimos extremos-
haría responsables a todos los comerciantes del uso de lo que venden lo que no es
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

41 / 139
admisible en el marco sancionador público en el que solo se puede ser responsable de
aquello que uno hace y no de lo que corresponde o realizan terceros con los que no existe
una vinculación directa.
Cabe recordar que el principio de responsabilidad tiene amparo constitucional en el artículo
9.3. de la CE. De la misma forma, con el principio de responsabilidad se respeta el principio
constitucional del derecho a defensa y a la presunción de inocencia, amparado en el artículo
24 de la CE ., recordando que la exigencia de responsabilidad remite a la actuación a título
de dolo o culpa”. Estima que no ha quedado acreditada que la conducta imputada en el
acuerdo de inicio resulte achacable a la LNFP ni a título de dolo, ni de culpa, sin que como
aquí se intenta mantener, la responsabilidad por hechos de terceros. “Que LALIGA indique
los métodos o las formas para el cumplimiento de las obligaciones legales e, incluso, que
dispense el software para hacerlo no le convierte en usuario y, por tanto, no es responsable
de lo que, en su caso, realicen quienes lo usan.”” Los requisitos o las condiciones para la
utilización de un software son propias e inherentes a quienes lo usan no a quienes lo
dispensan o lo comercializan. La pérdida de la conexión directa entre la actividad objeto de
sanción y la responsabilidad de LALIGA es inasumible en términos de responsabilidad
administrativa y, desde luego, no sirve para fundar el esquema y el reproche sancionador
que aquí se pretende indica r”
“El aserto de que la aprobación del RGLNFP procede de la exclusiva voluntad de LALIGA es
infundado porque la intervención pública en la organización de las competiciones se mueve
en un triple plano y utiliza elementos diferenciales desde la perspectiva de la técnica jurídica
pero esto no evita que el conjunto de la intervención pública no consista en ejercer las
funciones públicas mediante la interposición de un ente instrumental de carácter privado y
de configuración legal al que se le señalan los elementos centrales de su actuación.
Esta confusión conceptual se asienta en una interpretación errónea de la doctrina del
Tribunal Supremo en relación con la naturaleza jurídica de los estatutos y reglamentos
federativos. La doctrina del Tribunal Supremo es que no se trata de auténticas disposiciones
de carácter general strictu sensu ,”” Pero esta determinación no afecta, en absoluto, a la
naturaleza de la actividad que se mantiene en el plano administrativo sin lugar a duda. Por
decirlo en términos más coloquiales: que no sean disposiciones generales no privatiza los
reglamentos de las ligas y federaciones. Transforma su condición, pero no su naturaleza.
En este sentido, resulta evidente que las funciones que ejerce la LIGA no proceden de su
libre formación de la voluntad, sino de un acto administrativo, que fue lo que determinó la
aprobación del RVAE, como parte del RGLNFP, y que ejerce por delegación funciones
públicas de carácter administrativo actuando como agente colaborador de la Administración,
y que LALIGA ha sido instada en dos ocasiones al cumplimiento de las medidas de acceso
biométrico en las gradas de animación y sus accesos ”. Según la Sentencia del Tribunal
Supremo 626/2024, llega a la conclusión de que las Federaciones Deportivas, ejercen por
delegación de funciones públicas de carácter administrativos, actuando en tal caso como
agente colaborador de la Administración Pública, reflejado en el artículo 30.3 de La Ley del
deporte de 1990, se contiene como especificidad que reconoce que aun siendo
asociaciones de naturaleza privada, la LO 1/2002 las excluye por ello de su ámbito por esta
especialidad, atribuyendo su coordinación y tutela al Consejo Superior de Deportes que se
concretan en el artículo 33.1 de La Ley del deporte de 1990, y se concreta en el artículo 6 de
los Estatutos . Eran las siguientes funciones:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

42 / 139
“ Ambas Leyes del deporte, la de 1990 y la de 2022, establecen un marco de ejercicio de
funciones organizativas que opera a partir del control público. El marco regulador se
completa con el RD 1835/1991 de 20/12 sobre Federaciones deportivas que se i vincula al
ejercicio de las potestades de autoorganización con la técnica aprobatoria de los estatutos y
reglamentos.
Este triple esquema es de naturaleza administrativa, sin que pueda formularse una prueba
más definitiva que la del fuero jurisdiccional aplicable al conjunto de estas actuaciones, que
es la jurisdicción contencioso-administrativa. Refiriendo los actos impugnables en esta vía
contenidos en la definición del artículo 25.1 de la LJCA .”
“ Como consecuencia de esto podemos afirmar que el acto de aprobación de los estatutos y
reglamentos y los derivados de la organización y, en su caso, del ejercicio de la potestad
disciplinaria encuentran como fuero jurisdiccional el contencioso-administrativo porque están
dictadas por un órgano de una Administración Pública o por un órgano privado en el
ejercicio de funciones públicas .
Esto justifica una cuestión que parece haberse olvidado en el presente supuesto: es la
actuación de un órgano administrativo o en el ejercicio de las funciones públicas y el
sometimiento al Derecho Administrativo el elemento central para la consideración de actos
de carácter administrativo.
Lo que tiene que resultar claro es que el debate sobre si los estatutos y reglamentos
federativos son o no disposiciones generales es un debate de relevancia para la
determinación de la naturaleza jurídica de lo impugnado, pero no para alterar su esencia. Su
esencia es administrativa y, en este contexto, serán un acto o una disposición, pero siempre
de un mismo género: el administrativo .”
“ En relación con las facultades del C.S.D. reflejadas en el artículo 14 g) de la Ley 30/2022
Ley del deporte, “ratificación “ trata de un término, complejo de descifrar en la dogmática
administrativa, que se identifica con la expresión “ratificación” lo que apunta a una facultad
de control centrada en la validación de contenidos sin otra consideración de oportunidad o
que no sea puramente de legalidad.” Por tanto, la ahora denominada “ratificación” no es sino
un control de legalidad que opera sobre todos y cada uno de los preceptos del Reglamento
o los Estatutos, pero tiene especial significación en aquellos aspectos que afectan al
ejercicio de competencia pública delegada .”
“ Este precepto permite entender que la aprobación o ratificación es consecuencia de la
materia y, específicamente, de que el esquema legal atribuye a las Federaciones y a las
Ligas el ejercicio de funciones delegadas. Esta naturaleza no se enerva ya sea una
disposición de carácter general o ya sea un acto administrativo de validación de la norma
estatutaria.
Para mayor desarrollo, el artículo 56.3 de la LD de 2022 establece que:
“Los estatutos de las ligas profesionales, así como los reglamentos disciplinario, de
control económico a las entidades participantes, electoral, de competición, en el caso
de que lo hubiera, de organización interna, en tanto regule este la composición y el
funcionamiento de sus órganos obligatorios, y las modificaciones correspondientes,
serán ratificados por el Consejo Superior de Deportes, previo informe preceptivo y no
vinculante de la federación deportiva española, debiendo incluir los requisitos
establecidos reglamentariamente.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

43 / 139
Los estatutos y reglamentos a que se refiere el párrafo anterior serán inscritos en el
Registro Estatal de Entidades Deportivas, entrando en vigor tras su publicación en la
web de la liga profesional. Dicha publicación se llevará a cabo de forma que asegure
la fecha de inserción y, en todo caso, en el plazo de un mes desde la citada
ratificación, sin perjuicio de cualquier otro medio que asegure su publicidad, será
permanentemente accesible y se realizará en todas las lenguas oficiales en el
territorio estatal ”.
El régimen estatutario de la LNFP se regula en el artículo 57 de la Ley del Deporte de 2022 y
en el Real Decreto de Federaciones Deportivas, artículo 26.
“ Expuesto lo anterior, podemos establecer las siguientes consideraciones :
a) La ordenación de la vida interna y de las funciones a desarrollar por una liga
profesional están asentadas en la intervención administrativa mediante la técnica de la
aprobación o ratificación por parte de un órgano administrativo de sus normas de
organización y dirección interna y, sobre todo, de la función pública que desarrollan.
b) La regulación legal y reglamentaria determina un contenido mínimo de las normas
organizativas, aunque no impide que se incluyan elementos auxiliares o accidentales en
función de la capacidad de ordenar los medios necesarios para el ejercicio de la función de
organización que la LD les confiere ex lege.
c) La técnica de intervención pública en vía de aprobación o ratificación supone un
control de legalidad que afecta a cada uno de los preceptos que se incluyen en el
Reglamento. No es una adveración general sino un control concreto de cada regulación que
admite requerimientos y subsanaciones cuando se considera que alguno de los preceptos
no se ajusta a la legalidad.
d) La materia, una vez, aprobada o ratificada es, claramente, administrativa porque la
competencia para la realización de dicha función se atribuye expresamente a un órgano
administrativo que actúa con criterio de legalidad – conforme dispone el artículo 103.1 de la
CE- y para determinar si se han asumido las determinaciones obligatorias que se fijan en la
estructura normativa y, adicionalmente, si en la parte de contenido voluntario se produce
una afección del marco legal.
e) A partir de este esquema, la aprobación de un Reglamento – como es el caso-
demuestra que la Administración considera que está en el marco funcional de la respectiva
liga profesional y que la medida y la regulación propuesta es ajustada al Ordenamiento
Jurídico porque no se opone a la legalidad vigente.
f) Esta asunción del contenido material de la norma estatutaria o reglamentaria es
susceptible de control en el ámbito jurisdiccional contencioso-administrativo y está del todo
desvinculada de la consideración material como acto o como reglamento porque esta
distinción no produce el efecto transformador que la Propuesta sugiere. Lo que es
intervención pública es el establecimiento – cualquiera que fuera la modalidad- de un control
administrativo de legalidad que afecta al ajuste al Ordenamiento en el que se incluye.
Llegados a este punto conviene insistir en que en la Propuesta se produce una suerte de
confusión en la interpretación de la STS. Que no sea disposición de carácter general, strictu
sensu, ni reglamento no significa que no sea un verdadero acto administrativo de
aprobación de la actuación de un privado. La técnica de aprobación – o ahora de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

44 / 139
ratificación- es una técnica de control de la legalidad y de afirmación del ajuste a la misma
que la LD atribuye a un órgano administrativo y que tiene como esencia salvaguardar la
actuación del ente instrumental privado al que se le encomienda una función con relevancia
pública.
El acto de aprobación valida la sujeción a la legalidad del acto en cuestión y del contenido
de lo aprobado o ratificado sin perjuicio de su análisis posterior en el ámbito contencioso
administrativo.
Por intentar dejarlo aún más claro: cuando la Administración es la garante directa de la
legalidad, dicta un acto administrativo. Cuando la Administración es la garante de la
actuación legal de terceros que cumplen funciones de relevancia o interés público permite
que éstos operen en el ámbito de las competencias delegadas, sometiendo su actuación al
control público mediante la técnica de la aprobación o la ratificación que, aunque no son
idénticas, si tiene en común habilitar la actuación de terceros que exige un mecanismo de
control público .”
Estima que la aprobación del RGLNFP procede del ejercicio de sus competencias que para
las Ligas Profesionales, se contienen en el artículo 95.a) de la Ley del Deporte de 2022,
“ respecto a la organización de las competiciones, que se incluyan en el acto del C.S.D. de
declaración de competiciones profesionales, en coordinación, cuando proceda con la
federación Deportiva Española correspondiente, de acuerdo con lo dispuesto en el artículo
siguiente ”, que se complementa con el artículo 25 del Real Decreto de Federaciones
Deportivas
“El conjunto de las determinaciones indicadas nos sitúa ante un planteamiento claro:
a) La organización de la competición obliga no solo al cumplimiento de las obligaciones
materiales de carácter deportivo sino, también, al cumplimiento de las que derivan del marco
de seguridad pública.
b) En consideración a lo anterior, la existencia de controles biométricos es una medida
posible de cumplimiento de las obligaciones en materia de seguridad que encuentra un
encaje natural en el conjunto de los preceptos que se han indicado y que habilitan la
existencia de controles y dispositivos que permitan el cumplimiento de las obligaciones
indicadas.
c) Esto justifica que la utilización de controles biométricos, en cuanto una medida de las
que tiene encaje en la Ley 19/2007, de 11/07 contra la violencia, el racismo, la xenofobia y la
intolerancia en el deporte (en adelante, “Ley 19/2007”), fuera llevada al RGLNFP y, en
consecuencia, que fuera, aprobado por la Comisión Directiva del Consejo Superior de
Deportes el 23/12/2015, tal y como acreditó mi representada mediante la aportación en
respuesta al Requerimiento de Información de febrero 2023, en su versión aprobada por el
C.S.D. el 7 de noviembre de 2022, indicando expresamente que el artículo XII.2 del RVAE
no ha sido objeto de modificación alguna desde la aprobación por el C.S.D. de la
modificación del RGLNFP que tuvo lugar en su sesión de 23 de diciembre de 2015. Todo
ello demuestra que la aprobación del C.S.D. era y es del todo correcta.
d) En relación con el medio o el instrumento en concreto, la CEVRXID en el ejercicio de
la potestad que le atribuye el artículo 13.1.b) de la Ley 19/2007, acordó el 15/03/2022,
trasladar el acuerdo adoptado el 3/03/2022, que insta la puesta en ejecución para la primera
y segunda división de fútbol de lo dispuesto en el RGLNFP sobre las condiciones de venta
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

45 / 139
de entradas y accesos a las gradas de animación, reproduciendo los apartados 2 a 6 del
artículo XII.2 del RGLNFP.
e) En base a lo anterior, la obligación de los organizadores de utilizar instrumentos que
permitan el cumplimiento de los fines de interés público que se exigen en la normativa
general y en la de prevención de la violencia, es la que justifica que la CEVRXID señalara
los controles biométricos como un medio para conseguir el fin público que soporta dicha
regulación.
f) La inclusión en las normas internas de regulación de las obligaciones de los
organizadores tiene un amparo genérico indudable en las normas de violencia que no
limitan los medios en cuestión, sino que declaran abiertamente que se pueden establecer
cumpliendo los requisitos que respectivamente fueran aplicables. Pero, adicionalmente, a la
habilitación genérica lo que es evidente es que la CEVRXID introduce una prescripción
específica sobre los controles biométricos. Esto demuestra que tanto por la vía genérica
como por la específica se trata de un instrumento admisible y proporcional para el fin público
que se trata de conseguir.
g) La aprobación de su inclusión en el Reglamento se presenta, así como una
manifestación del organizador del cumplimiento de las obligaciones públicas reclamadas por
los órganos administrativos en el cumplimiento de fines públicos.
La regulación contenida en el Reglamento no convierte a la LNFP en responsable de lo que
hacen o los que usan el sistema, lo que es evidente es que el contexto de la organización de
las competiciones profesionales está controlado y regulado por las autoridades y fruto del
compromiso público en el cumplimiento de obligaciones y medidas de seguridad, siendo una
medida en un contexto .”
“ La LIGA no puede ser responsable del uso y condiciones de implantación de los sistemas
de biometría por parte de terceros, puede reglamentar una obligación, pero es a quien le
corresponde su utilización al que se le puede exigir que cumpla con los requisitos
sectoriales, en este caso, los de protección de datos personales. . La evaluación del riesgo,
su proporcionalidad, en el ámbito de la protección de datos, corresponde únicamente al
usuario y no al que indica que se debe contar con ello. La forma de contar con ello es
responsabilidad del ejecutor y éste no es LALIGA. Para llegar al fundamento de que la
responsabilidad recae sobre LALIGA se construye artificialmente el argumento de que no
deriva de la regulación pública ni del cumplimiento de indicaciones de autoridades públicas.
Los documentos presentados y la propia conformación literal de los documentos
presentados nos llevan a considerar que la regulación encaja perfectamente en las
obligaciones de seguridad y que la forma de su utilización solo puede corresponder a quien
realmente ejecuta una determinación que encaja con el interés público de seguridad .”
Considera que la previsión de utilizar sistemas biométricos en los campos de fútbol y en las
gradas de animación enlaza con las determinaciones legales y reglamentarias en materia de
prevención de violencia y de la seguridad en los estadios que habían sido objeto de DOS
requerimientos por el órgano competente la CEVRXID. La inclusión es consecuencia del
propio status del organizador de las competiciones profesionales, que debe cumplir las
determinaciones de carácter deportivo, pero también las de carácter o conexión con la
seguridad pública
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

46 / 139
En atención a esto “ la Liga lo incluye en su reglamento y el C.S.D. como autoridad de
control de legalidad asume que es una medida proporcionada y adecuada y
consecuentemente aprobó el reglamento que la contiene ”.
“Que el producto final sea un acto de alcance general o una manifestación sui generis de la
capacidad de dictar disposiciones generales es un debate que no afecta en nada a la
naturaleza de la función desarrollada, siendo indiscutible que es un acto administrativo y en
ningún caso es un acto privado no se ha de confundir la naturaleza del acto con la de si se
trata de una actuación pública o privada”.
En consideración con lo anterior, el Reglamento de la Liga, aprobado por el C.S.D. es una
medida de organización que enlaza con las determinaciones de la CEVRXIDY que tiene
pleno encaje en el marco abierto de obligaciones que la propia ley habilita a los
organizadores de este tipo de competición.
3- “ La LNFP no puede ser considerada en ningún caso responsable del tratamiento de los
datos personales con la finalidad de acceso a los estadios ”
De lo analizado en la propuesta de resolución, en su fundamento de derecho IV,
“ Responsable del tratamiento ”, señala que admite que la interpretación extensiva que los
conceptos establecidos en la normativa de protección de datos han de ser objeto de una
interpretación amplia, “ pero no puede en ningún caso exceder de la propia lógica y
sistemática de protección de datos, tratando de imponer criterios que resultan contrarios a la
lógica, que no pueden encajar en las definiciones contenidas en el RGPD ”, considerando
que la LNFP no participa en el tratamiento real y efectivo, requisito que se menciona en las
Directrices 7/2020 sobre la finalidad de la misma en cuanto a aclarar el significado de los
conceptos, funciones y distribución de responsabilidades entre los participan tes”, y a sensu
contrario, quien no participa en el tratamiento de una forma real y efectiva, o sería
responsable ni encargado de tratamiento.
Niega que la LIGA determine el “ por qué tiene lugar el tratamiento” ni decide “que debe
llevarse a cabo el tratamiento para un fin concreto”, dado que este “por qué” y ese “para
qué” procede de una decisión que no es propia de LALIGA, sino que “deriva, como se indicó
reiteradamente en nuestras alegaciones al Acuerdo de Inicio, de lo dispuesto en la Ley
19/2007, que es la que fija la finalidad del control de acceso a los recintos deportivos,
complementado por lo acordado por la CEVRXID que, hasta en dos ocasiones, requirió, de
forma imperativa y taxativa a mi representada para que trasladase a los Clubes y SAD la
obligación de implementar sistemas de acceso biométrico en las gradas de animación de los
estadios de las competiciones organizadas por LALIGA .” También que los fines del
tratamiento le son propios a la LNFP porque derivan de la normativa de prevención de la
violencia, el racismo la xenofobia en el deporte. Para ello, aduce que el control de acceso a
los estadios no se halla entre las funciones que a la LIGA atribuía el artículo 41.3 de la Ley
10/1990 del Deporte ni el actual artículo 95 de la vigente Ley 39/2022.
“ De este modo, mi mandante fija las condiciones de organización de los encuentros
disputados en el marco de la competición, pero en ningún caso lleva a cabo el control de los
espectadores a los recintos, función ésta que corresponde exclusivamente a los Clubes y
SAD que la integran. Por este motivo, si lo que pretende la Propuesta de Resolución es
atribuir a mi representada la condición de responsable del tratamiento sobre la base de la
afirmación mencionada, esto es, que LALIGA es responsable del tratamiento de los datos
para el control de acceso a los recintos deportivos porque el establecimiento de un régimen
de acceso a dichos recintos “no le es ajeno ”, considera la LNFP que “ la interpretación
efectuada es no ya extensiva, sino claramente contraria a la propia normativa deportiva. El
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

47 / 139
citado control no sólo “no es ajeno”, si se sigue el razonamiento extensivo de la AEPD, a
LALIGA, sino que tampoco lo es a los órganos competentes en materia deportiva, y
especialmente al C.S.D., que aprueba o ratifica el RGLNFP y a la CEVRXID, a la que se
atribuye específicamente la competencia para establecer medidas reforzadas de acceso a
los recintos, como no le es ajeno a las Fuerzas y Cuerpos de Seguridad, encargadas de
velar por la preservación de la seguridad en los estadios o al legislador. Y evidentemente,
aun en menor medida lo será a los Clubes, que son quienes deben implementar las medidas
necesarias para llevar a cabo el adecuado control del acceso a los recintos deportivos .”
“ LA LIGA en modo alguno tiene interacción con los asistentes a los eventos deportivos y
menos con los abonados de los Clubes y SAD, dándose el vínculo entre los Clubes y los
propios interesados, sin participación de ningún tipo de la LIG A”.
Manifiesta que se cita de forma incompleta algunos párrafos de las Directrices 7/2020 como
el apartado 27 que figuran como ejemplos para la explicación de intentar conocer quién y
porque una entidad puede ser considerada responsable del tratamiento. En dicho apartado
se completaría con
“En este caso, las funciones tradicionales existentes y la competencia profesional que
suelen implicar una cierta responsabilidad ayudarán a identificar al responsable del
tratamiento: por ejemplo, una empresa en relación con el tratamiento de los datos
personales de sus empleados, un editor que trata datos personales de sus suscriptores o
una asociación que trata datos personales de sus miembros o contribuyentes. Cuando un
ente participa en el tratamiento de datos personales con motivo de sus interacciones con
sus propios empleados, clientes o miembros, normalmente es el que determina los fines y
medios del tratamiento y, por tanto, actúa en calidad de responsable del tratamiento en el
sentido previsto en el RGPD.”
Y la LNFP manifiesta que no interacciona de ningún modo con los asistentes a los eventos
deportivos, ni con los abonados de los Clubes y SAD, siendo esa relación con los Clubs
Siguiendo la línea del enfoque basado en los hechos, la palabra “ determine ” significa que el
ente que realmente ejerce una influencia decisiva sobre los fines y medios.
“ En el supuesto analizado en este procedimiento LALIGA ni siquiera ejerce tal función de
encargado, limitándose a poner a disposición de los Clubes una determinada solución, para
que estos, si lo estiman pertinente y con total libertad, tal y como incluso señala la propia
AEPD en los antecedentes probados de la resolución recaída en el procedimiento
***PROCEDIMIENTO.1, decidan si consideran oportuna su contratación .”
“ La .... ..... .. .. ....... .. ... ...... ......... ... ..... ... ..........., .... ..
siquiera analiza si dicha determinación resulta acorde con lo indicado en las Directrices. Es
decir, según la AEPD, de forma completamente apodíctica, y sin margen para el análisis, es
evidente y notoria la conclusión mencionada. Sin embargo, no tiene en cuenta que mi
representada:
(i) no determina siquiera el dato biométrico que será objeto de tratamiento;
(ii) no establece un régimen específico de conservación de los datos, pese a que la
Propuesta parece indicar que mi representada ha establecido que los datos “se podrían
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

48 / 139
conservar como mínimo durante toda la temporada, si no más, para futuras temporadas,
elementos que contribuyen a incrementar los riesgos”;
(iii) no establece quién tendrá acceso a los datos, al ser la legislación aplicable la que
prevé cuáles serán dichos accesos y los destinatarios de los datos, entre los que, en ningún
caso, se encontrará mi representada; o
(iv) las categorías de interesados, dado que, como se indicaba en las alegaciones al
Acuerdo de Inicio, son los Clubes y SAD los que deciden en todo caso si existe grada de
animación y el modo de acceso a la misma, existiendo recintos en los que no se delimita la
mencionada grada .
Considera la propuesta que la LIGA ostenta la condición de responsable del tratamiento a
partir de premisas que serían:
-La aprobación el 23/12/2015 del RGLNFP, en su especifica parte del RVAE estableciendo el
tratamiento de datos biométricos para acceso a gradas de animación, como garante
organizador de las competiciones de fútbol de primera y segunda división, constituyendo un
régimen singularizado de acceso diferenciado del ordinario aplicable al resto de
espectadores que no ocupan localidades ubicadas en dicho sector, decidiendo que los
títulos validos de acceso a los recintos deportivos donde se celebran las competiciones se
realicen de un determinado modo en cuanto a la finalidad y uso de datos personales, bajo
unas determinadas condiciones y requisitos y con concretas consecuencias
-LA LNFP ha desarrollado un sistema para implementar dicho tratamiento, considerando los
medios, entre ellos los técnicos, a través de su filial SEFPSAU que ofertaba el desarrollo
tecnológico del sistema biométrico de huella dactilar
Y la contenida en el fundamento de derecho V:
“ La LNFP es responsable del tratamiento de datos personales de carácter biométrico
para el acceso a las gradas de animación de los estadios de fútbol de primera y
segunda división, no solo al haber aprobado la norma que instaura como obligatoria
para sus Clubs y SAD afiliados, como finalidad de lucha contra la violencia, el
racismo, la intolerancia y la xenofobia, sino, también por delimitar en relación con el
diseño del sistema mediante su filial SEFPSA tales medios que implican riesgos para
los derechos y libertades de los abonados, y que debió contar y superar una previa
EIPD.”
Llevando a cabo una interpretación extensiva de los conceptos de tratamiento y responsable
del mismo que no puede tener cabida en la normativa de protección de datos. Considera
que pretende la .... ....... .. ........ . ......... ......... ... ........... .....
haber guardado en el pasado o en el futuro relación con datos personales. Niega que el
tratamiento pueda extenderse a cualquier relación, por muy remota que pueda considerarse
con las operaciones que terceras entidades puedan real y efectivamente estar llevando, por
sí mismas o por medio de encargados del tratamiento.
Pese a que no niega que una entidad pueda ser considerada responsable de un tratamiento
que materialmente no lleva a cabo, el artículo 4.2 del RGPD establece un alcance no
taxativo de lo que se considerarían operaciones de tratamiento, “ no puede ignorarse, como
pretende hacerse por la Propuesta, que dichas actividades, en todo caso, implican una
actuación relacionada con los datos personales. Es decir, el concepto de tratamiento de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

49 / 139
datos se vincula a la existencia de una operación que revele tal tratamiento, no pudiendo
considerarse aplicable a operaciones que no lo revelan, en aras de una interpretación del
concepto que no resulta extensiva, sino completamente forzada y contraria al propio criterio
del RGP D” ” Ni en la más extensiva de las interpretaciones de esa norma un tratamiento
puede alcanzar acciones tales como la ideación o decisión general acerca de la realización
del mismo, es decir, la mera indicación de que se procederá al tratamiento de un dato
biométrico por los Clubes o SAD en caso de que dispongan de gradas de animación no
puede nunca suponer en sí misma un tratamiento de datos personales, porque ninguna
relación guarda con operación de tratamiento alguna ni de las incluidas en la definición
establecida por el artículo 4.2 del RGPD ni de las que pudieran resultar de la más extensiva
de las interpretaciones establecidas en el mismo .
La Propuesta pretende negar esta circunstancia, haciendo referencia al hecho de que el
tratamiento de datos en este caso “se compone de varias fases u operaciones de
tratamiento, que corresponden a diversos “responsables sucesivos independientes””. Y así,
distingue, por un lado, el que denomina el “diseño genérico del sistema para el control de
acceso en los estadios de primera y segunda división en relación con la grada de animación,
contratado puesto a disposición de los Clubes y sociedades anónimas deportivas. La LNFP,
al definir el contenido y contratar dicho sistema, decide sobre los fines y medios de esta
operación de tratamiento” y, por otro lado, “la implantación efectiva” del tratamiento.
Considera que semejante afirmación resulta completamente excesiva en una interpretación
recta del concepto de tratamiento establecido por el RGPD. Efectivamente, nadie cuestiona
que un determinado tratamiento de datos pueda contar con una serie de fases sucesivas,
pero de lo que no cabe duda es de que para que esas fases puedan considerarse
integradas en el concepto genérico de tratamiento es preciso que las mismas encierren
actividades que encajen en el concepto de tratamiento de los datos personales, implicando
ello que exista una relación real y efectiva entre la operación y los datos personales, y no un
mero desiderátum o una mera ideación, como indica la AEPD.
Y es que el razonamiento empleado en la Propuesta es claramente circular, dado que parte
de una premisa que trata de modificar a partir de la apreciación de una serie de afirmaciones
que no encajan en esa premisa inicial: así, dado que (i) es preciso hacer una interpretación
del concepto de tratamiento que garantice la protección de los derechos de los interesados;
y (ii) el concepto de tratamiento de datos personales se refiere a numerosas actividades de
tratamiento; (iii) un tratamiento puede tener varias fases; (iv) incluyendo en las mismas las
que no encajarían siquiera en una interpretación más extensiva, pero recta, del concepto; (v)
de este modo, a través de este razonamiento, permítasenos, viciado, se podrá considerar
que cualquier actividad que remotamente pueda relacionarse con lo que un tercero hace
sobre los datos personales pueda ser considerado tratamiento; (vi) logrando así el objetivo
de garantizar el derecho fundamental.
Obviamente, basta una lectura de las premisas y consecuencias mencionadas para poner
de manifiesto cómo la construcción contenida en la Propuesta no resulta mínimamente
admisible desde los más esenciales principios de la lógica.
El hecho de que el RVAE indique que el acceso a las gradas de animación se lleve a cabo,
siempre que el interesado así lo consienta, a través de un sistema de reconocimiento
biométrico (teniendo además en cuenta que esta previsión proviene directamente de los
acuerdos adoptados por la CEVRXID, que exigieron a mi representada comunicar a los
Clubes (i) la exigencia de implementación en todo caso de dicho sistema, so pena de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

50 / 139
aplicarse las potestades sancionadoras establecidas en la Ley 19/2007; y (ii) posteriormente,
la necesidad de contar con el consentimiento del interesado, por así requerirlo esa .... ..
su informe 98/2022) no supone ni puede suponer en ningún caso una operación o fase de
un tratamiento de datos, puesto que no implica ningún tipo de actividad relacionada con los
mismos o sobre los mismos.
Y no se olvide que el artículo 4.2 del RGPD, antes de enumerar las operaciones de
tratamiento, establece un requisito que debe ser común a todas ellas, al indicar que es
tratamiento de datos personales “ cualquier operación o conjunto de operaciones realizadas
sobre datos personales o conjuntos de datos personales, ya sea por procedimientos
automatizados o no” . La indicación de que el acceso pueda controlarse mediante el control
biométrico no puede considerarse una “operación” realizada “sobre” datos personales. Y
obsérvese que en el concepto el RGPD utiliza el participio del verbo realizar, lo que implica
que esa operación ha debido tener lugar, no incluyendo en ningún caso como operación de
tratamiento lo meramente posible, sino lo “realizado ”.
Reitera que no es de aplicación al caso, la sentencia del TJUE 5/12/2023, asunto C-683/21
( Nacionalinis visuomenės sveikatos centras prie Sveikatos apsaugos min isterijos y
Valstybinė duomenų apsaugos inspekcija), por no concurrir las mismas circunstancias “ por
cuanto es preciso tener en consideración las circunstancias del supuesto analizado por la
sentencia, en que el poder de decisión quedaba materializado en lo señalado en el apartado
32 de la sentencia, en que se indica claramente que “la creación de la aplicación móvil en
cuestión fue encargada por el CNSP y tenía por objeto alcanzar el objetivo asignado por
este, a saber, la gestión de la pandemia de COVID-19 mediante una herramienta informática
para registrar y realizar un seguimiento de los datos de las personas expuestas al virus de la
COVID-19. A tal fin, el CNSP había previsto que se trataran los datos personales de los
usuarios de la aplicación móvil. Además, de la resolución de remisión se desprende que los
parámetros de esta aplicación, tales como las preguntas planteadas y su formulación, se
adaptaron a las necesidades del CNSP y que este desempeñó un papel activo en su
determinación”.
Es decir, en el citado supuesto, la aplicación creada lo fue siguiendo los parámetros de
quien es considerado responsable por el TJUE, siendo además dicho responsable quien
encargó el desarrollo de la aplicación conforme a las directrices que el mismo estableció. Y
estas circunstancias en modo alguno concurren en este caso, en que los Clubes pueden,
por una parte, decidir si disponen o no de grada de animación, por otra, establecer el tipo de
tratamiento que llevarán a cabo y, además, determinar los distintos elementos aplicables al
tratamiento, siendo la finalidad del mismo propia de los Clubes y SAD y no de LALIGA.”
Tampoco considera que le sería de aplicación la mencionada sentencia del TJUE
10/07/2018, asunto C-25/17, Jehovan todistajat), por cuanto en ese supuesto existe una
relación directa entre los objetivos de la comunidad que es considerada, en este caso,
corresponsable del tratamiento junto con sus miembros. En particular, recordaba mi
mandante que el apartado 71 de la sentencia indica que “ la recogida de datos personales
sobre las personas contactadas y su posterior tratamiento sirven para alcanzar el objetivo de
la comunidad de los Testigos de Jehová consistente en difundir la fe de esta comunidad y,
por lo tanto, se llevan a cabo por los miembros predicadores para los fines propios de dicha
comunidad. Además, la comunidad de los Testigos de Jehová generalmente no solo tiene
conocimiento de la realización de estos tratamientos para la difusión de su fe, sino que
organiza y coordina la actividad de predicación de sus miembros, en particular repartiendo
las zonas de actividad de los distintos predicadores”.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

51 / 139
Del mismo modo, mi representada considera que no es posible aplicar al supuesto la
doctrina incorporada a las sentencias del TJUE correspondientes a los asuntos C-40/17,
Fashion ID, y C231/22, État belge, citadas en la Propuesta, dado que las mismas se refieren
a supuestos en los que los distintos implicados en el tratamiento de los datos, calificados
como responsables, llevan a cabo acciones que encajan dentro de las enumeradas en el
artículo 4.7 del RGPD, al llevarse a cabo las mismas “ sobre ” los datos personales y no como
mera ideación, como sucedería en el presente caso.
“Ni siquiera el hecho de que mi representada haya puesto a disposición de los Clubes y SAD
que la integran un sistema que permita el tratamiento biométrico de los datos por parte de
aquéllos puede ser en modo alguno considerado como una operación llevada a cabo “sobre”
los datos personales de ningún interesado.” estimando que la solución puesta a disposición
de los Clube para el tratamiento biométrico, no i implicaba su imposición, pudiendo cada
Club o SAD contratar la que más oportuno estimara, como se puso de manifiesto en el
***PROCEDIMIENTO.1, y dicha solución se implementa en los sistemas de los propios
Clubes, siendo los mismos los que determinan entre otros, el modo, los medios en que se
llevará a cabo el tratamiento, la forma en que se informará al interesado y se obtendrá su
consentimiento, el plazo de conservación de los datos, el modo en que los mismos serán
almacenados, siempre dentro de los servidores del Club o SAD, o como se ejercitarán ante
los mismos los derechos en materia de protección de datos.
Es decir, LALIGA no sólo no fija los medios del tratamiento (que podrán ser los de esta
solución o los de cualquier otra), sino que dichos medios únicamente serán fijados por
dichos Clubes y SAD, que son los únicos responsables del tratamiento de los datos porque
realizan, por sí o a través de encargados del tratamiento, operaciones “sobre” los datos
personales.
De este modo, LALIGA no sería en este caso más que un facilitador para los Clubes y SAD
de una solución tecnológica, de las existentes en el mercado, que aquéllos podrán
libremente decidir implementar o no en sus sistemas de acceso.
Debemos remitirnos nuevamente a la doctrina sentada en la sentencia del TJUE de
5/12/2023. El papel de LALIGA sería el del desarrollador de la aplicación (y ni tan siquiera
eso, ya que se limitaría a poner a disposición de los Clubes una solución ya existente en el
mercado), y no el de quien exige que la misma lleve a cabo determinados tratamientos de
datos personales que vaya a efectuar, a través de ese tercero, en el marco de la prevención
de una pandemia .”
“ En el presente caso, LALIGA únicamente pone a disposición de los Clubes una herramienta
desarrollada y comercializada por un tercero, por la que aquéllos pueden optar si lo estiman
procedente y que, además, adaptarán a sus propios sistemas, dado que la información
objeto de tratamiento únicamente se conservará en los mismos y serán los Clubes quienes
habrán de decidir acerca del modo en que dan cumplimiento a las obligaciones establecidas
en la normativa de protección de datos, (i) adecuando sus políticas de privacidad; (ii)
estableciendo los procedimientos de ejercicio de los derechos en materia de protección de
datos; (iii) gestionando los consentimientos prestados por los interesados; o (iv) cumpliendo
las medidas de responsabilidad proactiva establecidas en el RGPD en atención al modo en
que implementen la herramienta puesta a su disposición .”
Considera la LNFP que “ se pone de manifiesto en la propia Propuesta cuál es su verdadero
propósit o” cuando afirma que:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

52 / 139
“De no reconocerse este concepto amplio de tratamiento, que permite considerar al
diseño, la definición del sistema, su contratación y su puesta a disposición para otros
sujetos (que decidirán utilizarlo en la buena fe de que el sistema está perfectamente
diseñado y contratado, cumpliendo los estándares y obligaciones fijadas por el
RGPD) como una operación de tratamiento y exigir responsabilidad sin necesidad de
que se haya iniciado la ejecución de las operaciones materiales del tratamiento
(recogida/extracción de los datos personales) se dejaría sin efecto y fuera del ámbito
de aplicación del RGPD diversas obligaciones esenciales que se hayan previstas en
el mismo”.
La .... “.......... .. ..... ... ...í.... ... ... ...., .... ... ......... ... ...
actividad llevada a cabo “sin necesidad de que se haya iniciado la ejecución de las
operaciones materiales del tratamiento”, debe considerarse como “operación realizada
sobre datos personales”, lo que ya por sí solo constituye una completa contradicción en sus
propios términos. Se pretende así llevar a cabo una vis expansiva de la normativa de
protección de datos que alcance a cualquier actividad que la .... ....... ... .....
personales, aunque la vinculación sea hipotética y aunque no exista tratamiento, dado que
la ideación o puesta a disposición de un sistema ya será un tratamiento ”
“ Pero es que aplicando esta regla, como ya anticipábamos en las alegaciones al Acuerdo de
Inicio, cualquier herramienta que, contratada por una entidad, implique el tratamiento de
datos personales en el futuro convierte a quien la ponga a su disposición (aunque ni siquiera
la haya desarrollado) en responsable del tratamiento. Como del mismo modo lo sería,
siguiendo el ejemplo mencionado en un lugar anterior, el desarrollador de un servicio de
almacenamiento en nube estandarizado o el intermediario que lo pusiera a disposición de
los clientes del desarrollador, dado que implica la puesta a disposición del responsable de
un medio para la conservación de los datos, que obviamente encaja en el concepto de
tratamiento .
Y es que, en definitiva, la aplicación de la doctrina que pretende sustentar la Propuesta de
Resolución conduce a resultados que en modo alguno pueden considerarse cubiertos por la
normativa de protección de datos personales. Como tampoco puede considerarse admisible
el argumento manifestado por la Propuesta de que el hecho de que mi representada pusiera
a disposición de los Clubes y SAD una determinada solución para el tratamiento de los datos
“genera en ellos la buena fe de que el sistema cumple con las previsiones del RGPD”, lo que
convierte a LALIGA en responsable del tratamiento.
De este modo, cualquier asociación que ponga a disposición de sus asociados un sistema
de tratamiento de datos personales que aquéllos puedan o no utilizar y, en caso de hacerlo,
deban implementar en sus propios sistemas, es responsable del tratamiento por el mero
hecho de generar la buena fe en sus asociados que indica la Propuesta de Resolución .”
Considera que se interpretan de forma no valida y extensiva los conceptos de tratamientos
de datos y responsable del tratamiento para imponer a quien no aparece como responsable
la obligación de llevar a cabo una EIPD.
“ Es decir, no se trata de que LALIGA esté obligada a la realización de una EIPD por el hecho
de ser responsable, sino que, como se pretende por la .... ... ...... ..... . .... .....
EIPD, aun no estando obligada a ello, la .... ........ .......... .. .......ó. ..
responsable del tratamiento, aun cuando la misma no tenga encaje posible en la normativa
de protección de datos personales ”.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

53 / 139
4- “ Imposibilidad material de que la liga pueda llevar a cabo una EIPD ”.
En cuanto al fundamento de derecho V de la propuesta, incumplimiento de la obligación de
realizar una EIPD, manifiesta que sus alegaciones al acuerdo de inicio ( hecho OCTAVO,
punto 5) no han sido contestadas, y reitera que sin conocer detalles del tratamiento (ciclo de
vida, tipo de dato biométrico, tipología de datos objeto de tratamiento ni los detalles, modo
de recogida, almacenamiento, que conforme a lo indicado en el expediente administrativo se
realiza en los servidores de los propios Clubes y SAD. Y tampoco podrá mi representada
conocer las medidas técnicas y organizativas encaminadas a preservar los derechos y
libertades de los interesados y que, precisamente actuarán como contrapesos del riesgo
que el tratamiento puede generar en tales derechos y libertades”
Añade que en el ***PROCEDIMIENTO.1 se sancionó al ***CLUB.4 por no haber efectuado
una EIPD, pretendiendo con la propuesta que se lleven a cabo dos EIPD sucesivas, “ una
por quien realmente no ostenta la condición de responsable y no puede conocer los
extremos necesarios para la realización del tratamiento y otra posterior por quien
efectivamente ostenta esa condición y decide realmente sobre los fines y medios del
tratamiento .”
“La .... ........ ....... .. ........ó. .. .........ó. .. ... ...., .. . .......
intervienen en las fases del tratamiento sino:
(i) a quien lo incluye en una norma de funcionamiento interno, aprobada por el Consejo
Superior de Deportes;
(ii) a quien facilita una solución tecnológica disponible en el mercado para su
implementación, aunque no realice operación alguna “sobre” los datos;
(iii) al encargado del tratamiento; y
(iv) a quien realmente ostente la condición de responsable, por llevar a cabo esas
“operaciones realizadas sobre” los datos personales, a las que se refiere el artículo 4.2 del
RGPD.
Curiosamente, sólo quedaría excluido el Órgano que se dirige a mi representada
intimándole a que comunique a los Clubes la obligatoriedad de llevar a cabo este
tratamiento, es decir, la CEVRXID (sin que por ello deba considerar la .... ... ..
mandante considera a aquélla responsable del tratamiento, como no lo es LALIGA).”
5- “ Vulneración de los principios del derecho sancionador en la determinación de la sanción
propuesta ”
-“ La LIGA parte de la base de que su actividad es delegada de las Administraciones Publica
competentes en materia del deporte, la lógica consecuencia de dicha circunstancia es la de
que su actividad, en el marco del ejercicio de esas competencias delegadas, deba quedar
sometida a lo establecido por el legislador para la actividad administrativa vinculada con el
ejercicio de funciones de derecho público. Con cita del artículo 83.7 del RGPD y del artículo
77.2 de la LOPDGDD, solicita que la sanción ha de ser la de apercibimiento”. Cita la
sentencia de la Audiencia Nacional de 1/04/2011, recurso 323/2020 “cuando en relación con
los tratamiento llevados a cabo por la Federaciones Deportivas en el marco de las
competencias delegadas de organización de una competición deportiva, señala que : como
indica la parte recurrente, las Federaciones Deportivas ejercen por delegación como función
pública de carácter administrativo no sólo la correspondiente al apartado f) del artículo 33.1
(potestad disciplinaria) sino la totalidad de actividades que se describe en el citado precepto.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

54 / 139
-LA LNFP alega sobre la inadecuada utilización del concepto de empresa que maneja la
propuesta de resolución. Considera que la cita la considerando 150 del RGPD que aplica el
concepto de empresa establecido en el derecho de la UE en materia de defensa de la
competencia únicamente puede ser usado como criterio interpretativo de su parte
dispositiva. Es decir “ el contenido del RGPD no debe interpretarse en un sentido que difiera
de su articulado sobre la mera base del contenido de uno de sus considerandos, que no
pueden afectar a su contenido dispositivo. Los considerandos carecen de valor jurídico
vinculante, conforme indica el TJUE en la sentencia de 22 de enero de 2022 (asunto C-
165/20, ET y Bundesrepublik Deutschland), indica:
“55. De esta manera, conforme a la jurisprudencia del Tribunal de Justicia según la cual la
exposición de motivos de un acto de la Unión no tiene un valor jurídico vinculante y no
puede ser invocada ni para establecer excepciones a las propias disposiciones del acto de
que se trata ni para interpretarlas en un sentido manifiestamente contrario a su tenor .”
Cita los conceptos de empresa y grupo de empresas definidos por el articulo 4.18 y 4.19 del
RGPD y el literal del artículo 83.4 que contiene la referencia a “ una empresa ”, que considera
es distinto al termino “ grupo de empresas ”, y que “ el considerando 150 del RGPD en sentido
interpretativo no puede constituirse en termino para la aplicación del límite superior que
refleja el artículo 83.4 del RGPD ”
Manifiesta la LNFP que “ los apartados 122 y siguientes de las Directrices 4/2022 del Comité
Europeo de Protección de Datos, sobre el cálculo de las multas administrativas
contempladas en el RGPD obvian la existencia de estos dos conceptos diferenciados en el
RGPD, señalando que “en consonancia con la jurisprudencia consolidada del TJUE, el
término empresa en los artículos 101 y 102 del TFUE puede referirse a una única unidad
económica (SEU, por sus siglas en inglés), incluso si dicha unidad económica está formada
por varias personas físicas o jurídicas”, añadiendo que “si varias entidades forman una SEU
depende en gran medida de si la entidad individual es libre en su capacidad de toma de
decisiones o de si una entidad principal, a saber, la sociedad matriz, ejerce una influencia
decisiva sobre las demás. Los criterios para determinarlo se basan en los vínculos
económicos, jurídicos y organizativos entre la sociedad matriz y su filial, por ejemplo, el
importe de la participación, los vínculos de personal u organización, las instrucciones y la
existencia de contratos de empresa”, aplicando en los supuestos en los que “una sociedad
matriz posee el 100 % de las acciones o casi el 100 % de las acciones de una filial que ha
infringido el artículo 83 del RGPD y, por lo tanto, puede ejercer una influencia decisiva sobre
el comportamiento de su filial” la presunción derivada de la sentencia del Tribunal de Justicia
de la UE de 10 de septiembre de 2009 (asunto C-97/08 P, Akzo Nobel y otros/Comisión).”
“ Pues bien, si se sigue la interpretación contenida en las Directrices, que obvia la existencia
de un concepto diferenciado de “empresa” en el RGPD, se estaría equiparando dicho
concepto con el de “grupo de empresas”, contenido en el propio RGPD, dado que es la
existencia de un control o influencia el que determina la aplicación del artículo 4.19 del
RGPD. Es decir, la interpretación efectuada por las Directrices obvia que el concepto de
“grupo de empresas” en el RGPD se diferencia del de “empresa”, siendo así que es el
primero de ellos y no el segundo el que se encontraría vinculado con la aplicación de los
artículos 101 y 102 del Tratado de Funcionamiento de la Unión Europea. De este modo, la
interpretación de las Directrices es diametralmente opuesta a lo establecido en el RGPD,
dado que el artículo 83.4 del mismo se refiere a “empresa” y no a “grupo de empresas”, que
es el concepto que pretende aplicar la AEPD, sobre la única y exclusiva base del
considerando 150 del RGPD y de unas directrices que, por su propia definición y contenido,
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

55 / 139
carecen de valor normativo, no pudiendo suponer un criterio interpretativo contrario a la
literalidad del RGPD .”
“ Los artículos 101 y 102 del TFUE deben interpretarse atendiendo a la ubicación en el
capítulo I del título VII del Tratado, dentro de las normas reguladoras de la competencia en
la Unión, lo que, supone que incluso en el negado supuesto de que pudiera no considerarse
suficiente lo indicado y se obviase que el RGPD contiene un concepto específico de “grupo
de empresas”, no referenciado en el artículo 83.4 del RGPD, la aplicación extensiva del
concepto de “empresa” a efectos del derecho de la competencia únicamente podría operar
en los supuestos en que la conducta supuestamente infractora, respecto de la que se
pretende determinar el importe de la sanción, pudiera dar lugar a una alteración o distorsión
de la competencia ”
Manifiesta que “ no es cuestión pacifica la aplicación automática de los artículos 101 y 102
del TFUE, basada únicamente en un considerando del RGPD y las Directrices del CEPD,
como pone de manifiesto que existe un procedimiento por cuestión prejudicial relacionado
con estos conceptos en trámite ante el TJUE, asunto C-383/23 ”, acompañando copia de las
cuestiones planteadas;
“ El Vestre Landsret solicita al Tribunal de Justicia de la Unión Europea que responda a las
siguientes cuestiones:
1. ¿Debe interpretarse que el término «virksomhed» [(empresa, en la versión en español)]
que figura en el artículo 83, apartados 4 a 6, del Reglamento General de Protección de
Datos se refiere a una empresa, en el sentido de los artículos 101 TFUE y 102 TFEU, en
relación con el considerando 150 de ese mismo Reglamento, y de la jurisprudencia del
Tribunal de Justicia de la Unión Europea en materia de Derecho de la competencia de la
Unión, de manera que dicho término engloba a toda entidad que desarrolla una actividad
económica, al margen de su estatuto jurídico y de la manera en que se financia?
2. En caso de respuesta afirmativa a la primera cuestión prejudicial ¿debe interpretarse el
artículo 83, apartados 4 a 6, del Reglamento General de Protección de Datos en el sentido
de que, cuando se impone una multa a una empresa, es preciso tener en cuenta el volumen
de negocio total anual global del grupo en el que está integrada esa empresa o únicamente
el volumen de negocio total anual global de la propia empresa ? “
Agrega la LNFP, que no solo se plantea si serían aplicables de forma automática los
artículos 101 y 102 del TFUE, sino incluso si en este caso procedería utilizar la base de
cálculo que la .... ........ ....... .. ..... .....á.... .. .... ..... ..ñ... ... ...í.
aplicable la doctrina del TJUE del acto claro, sentencia 6/10/1982, asunto 283/81 (doctrina
Cilfit) que relaciona el cumplimiento de la obligación de someter una cuestión al TJ cuando
se suscite ante él una cuestión de derecho comunitario a menos que se haya comprobado
que la cuestión suscitada no es pertinente o que la disposición comunitaria fue ya objeto de
interpretación por el TJU o que la correcta aplicación del derecho comunitario se impone con
tal evidencia que no deja lugar a duda razonable ”C onforme a la doctrina del “acto claro” el
hecho de que se haya producido el planteamiento de una cuestión prejudicial ante el
Tribunal implica, al menos, que existe una duda interpretativa acerca de la cuestión
planteada, sobre la que no existe ningún pronunciamiento del Tribunal .”
Considera que al existir pendiente tal aclaración del alcance del artículo 83.4 del RGPD, con
base a la aplicación de los principios de derecho penal al procedimiento sancionador por
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

56 / 139
mor de la norma más beneficiosa, no se aplique la tesis de la cuantía prevista en la
propuesta de resolución.
-Por otro lado, la propuesta no ha valorado suficientemente la función y la estructura de
ingresos de LALIGA limitándose a un mero cálculo matemático descontextualizado de la
naturaleza y de la propia organización de dicha entidad. Con lo que “ acaba de decirse, los
ingresos que deberían computarse son los correspondientes a la LNFP, porque toda la
estructura, gira sobre esta premisa para la gestión de los derechos audiovisuales que
provienen del marco del Real Decreto Ley 5/2015 de 30/04 en el que se impuso, sin libertad
de forma a la Liga la condición de entidad comercializadora, en su condición de explotación
directa.
A) La configuración legal de los derechos que proceden de la normativa legal y su
diferenciación de los que proceden de la iniciativa y la gestión económica.

“ La tesis fundamental que se mantiene es que los derechos de explotación comercial no son
fruto de una actividad económica libremente realizada por LALIGA, sino que son fruto de un
sistema de encomienda de gestión que realiza el RDL 5/2015 a quienes considera como
entidades comercializadoras de las competiciones que están en su ámbito de aplicación
Como consecuencia de esta diferenciación, la estructura de la LIGA y su reflejo contable,
señalan nítidamente los ingresos y las operaciones que proceden de la encomienda y los
que se producen como consecuencia de la actividad de la organización y explotación
comercial de la competición. “
Señala que para entender el concepto es preciso atender a los artículos 2.1, que atribuye la
titularidad de los derechos audiovisuales incluidos en el ámbito de aplicación de la Ley a los
Clubes o entidades participantes en la correspondiente competición, el artículo 2.2. que
consigna “ que la participación en una competición oficial de fútbol de ámbito estatal
conllevará necesariamente la cesión por sus titulares a la entidad organizadora de las
facultades de comercialización conjunta de los derechos audiovisuales ”
Manifiesta que la LNFP actúa como “ gestor de recursos ajenos, fruto de una encomienda
legal, para el cumplimiento de una misión legalmente establecida (comercialización conjunta
de los derechos audiovisuales) y con afección directa de su propia actividad que queda
sometida a un marco de regulación que no la convierte en propietaria ni en gestora
voluntaria de los derechos, sino que es una entidad obligada a la gestión de derechos de
terceros.
 artículo 5 prevé la predeterminación legal de los derechos y de las reglas de reparto,
indicando:
1. Los ingresos obtenidos por la explotación y comercialización conjunta de
los derechos audiovisuales del Campeonato Nacional de Liga se distribuirán
entre los Clubes y entidades participantes en la Primera y Segunda División
conforme a los criterios establecidos en este artículo.
2. El 90 por 100 de los ingresos se asignará a los Clubes y entidades
participantes en la Primera División del Campeonato Nacional de Liga y el 10
por 100 restante a los Clubes y entidades de la Segunda División.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

57 / 139
3.La Liga Nacional de Fútbol Profesional distribuirá las cantidades
correspondientes a cada categoría conforme a los criterios que se acuerden,
respetando en todo caso, las siguientes reglas y límites:
a) Un porcentaje se distribuirá entre los participantes de cada categoría a
partes iguales. La cantidad a repartir será del 50 por 100 en la Primera
División y al menos el 70 por 100 en la Segunda División.
b) La cantidad restante tras detraer la partida señalada en la letra a) se
distribuirá entre los Clubes y entidades de cada categoría de forma variable.
Cada mitad de esta cantidad se repartirá atendiendo a cada uno de los
siguientes criterios.
• Art. 6.1.- Establecimiento de una prestación personal obligatoria en el ámbito de la
comercialización, que se articula en un conjunto de obligaciones que se imponen
a LALIGA (como a ningún otro operador de mercado) y que suponen la
obligación de detraer antes del reparto – a nombre y por cuenta de cada Club o
SAD- las siguientes partidas e ingresarlas en los respectivos beneficiarios. Así,
se indica que :
Con objeto de mejorar la promoción y funcionamiento de la competición y
contribuir al fomento del deporte en general, cada uno de los Clubes y
entidades participantes en el Campeonato Nacional de Liga, en cualquiera de
sus categorías, deberán cumplir anualmente con las siguientes obligaciones,
en proporción a los ingresos que obtengan por la comercialización conjunta
de los derechos audiovisuales:
a) Un 2,5 por 100 se destinará a financiar un Fondo de Compensación del que podrán
beneficiarse las entidades deportivas que, disputando la competición del fútbol profesional,
desciendan de categoría. El 90 por 100 de esta cantidad se destinará a los equipos que
desciendan de Primera división, y el 10 por 100 restante a los que desciendan de Segunda
División.
b) Un 1 por 100 se entregará a la Liga Nacional de Fútbol Profesional, que lo destinará
exclusivamente a la promoción de la competición profesional en los mercados nacional e
internacional.
c) Un 2 por 100 se entregará a la Real Federación Española de Fútbol, como
contribución solidaria al desarrollo del fútbol aficionado y de las infraestructuras federativas,
así como a la mejora de la competitividad de las categorías no profesionales. Esa cantidad
podrá incrementarse en el marco del convenio al que se refiere el artículo 28 del Real
Decreto 1835/1991, de 20 de diciembre, sobre Federaciones Deportivas Españolas y
Registro de Asociaciones Deportivas. De este 2 por 100, un 50 por 100 se destinará a las
federaciones de ámbito territorial, en función del número de licencias, para las finalidades y
con arreglo a los criterios de reparto que el Gobierno determine reglamentariamente. El 50
por 100 restante se aplicará a las actividades propias de la Real Federación Española de
Fútbol para el fomento y desarrollo de las selecciones españolas de fútbol en todas las
especialidades, el fomento del fútbol aficionado y la dotación de las infraestructuras propias
necesarias, en los términos que se establezcan reglamentariamente.
d) Hasta un 1 por 100 se entregará al Consejo Superior de Deportes, que lo destinará a
financiar, en la cuantía y los términos que reglamentariamente se establezcan, los costes de
los sistemas públicos de protección social que correspondan a los trabajadores que tengan
la condición de deportista de alto nivel y para quienes el deporte constituya su actividad
principal y, en su caso, los convenios especiales que permitan su inclusión en el Régimen
Especial de Trabajadores Autónomos. Asimismo, podrán destinarse a financiar ayudas a
deportistas que participen en competiciones internacionales.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

58 / 139
e) Hasta un 0,5 por 100 se entregará al Consejo Superior de Deportes, que lo
destinará, en la cuantía y los términos que reglamentariamente se establezcan, a las
siguientes finalidades, por orden de preferencia:
1.º Ayudas a las entidades que participen en la Primera División de Fútbol
femenino para financiar el pago de las cuotas empresariales
correspondientes a la contratación de deportistas y entrenadores incluidos en
el Régimen General de la Seguridad Social, así como a las deportistas y
entrenadores para financiar el pago de las cuotas del trabajador.
2.º Ayudas a las entidades que participen en la Segunda División B del
Campeonato Nacional de Liga para financiar el pago de las cuotas
empresariales correspondientes a la contratación de deportistas y
entrenadores incluidos en el Régimen General de la Seguridad Social, así
como a las deportistas y entrenadores para financiar el pago de las cuotas del
trabajador.
3.º Ayudas a las asociaciones o sindicatos de futbolistas, árbitros,
entrenadores y preparadores físicos, en función del número de licencias que
ostente cada una en las categorías nacionales. Cuando dentro de un mismo
colectivo existiesen varias asociaciones o sindicatos, se asignarán las
cantidades en función de su representatividad acreditada.
El Consejo Superior de Deportes podrá suscribir convenios con esas
asociaciones para que los recursos obtenidos se empleen en facilitar la
inserción en el mercado de trabajo de esos deportistas cuando finalice su
dedicación al fútbol, así como a financiar sus gastos de funcionamiento.
f) Un 1,5 % se entregará al Consejo Superior de Deportes, que lo destinará a
la promoción, impulso y difusión del deporte federado, olímpico y paralímpico,
así como a la internacionalización del deporte español.
A tal efecto, podrá constituirse una fundación, con participación del Consejo
Superior de Deportes, la Real Federación Española de Fútbol, La Liga de
Fútbol Profesional («LaLiga»), y las restantes Federaciones deportivas
españolas y competiciones oficiales y no oficiales, a la que se encomiende la
consecución de los fines previstos en el párrafo anterior”.
LALIGA gestiona el cumplimiento de la citada obligación mediante la detracción de las
cantidades que legalmente les corresponde aportar a los Clubes y SAD en una función
claramente de aseguramiento del cumplimiento de las obligaciones legales y esto con
carácter previo a cualquier beneficio individual.
A partir de este esquema su volumen de negocios, en términos de actividad mercantil real,
es el volumen de negocios neto generado para el funcionamiento de la competición por su
propia iniciativa y capacidad económica y de organización con exclusión real de aquellos
supuestos en los que gestiona – de forma obligada desde la ley- los derechos de terceros
que son, además, sus beneficiarios directos y reales. Esta afirmación resulta claramente
incorporada al esquema legal y organizativo de LALIGA.
Por ello, la actuación de LALIGA con respecto a la comercialización de los derechos
audiovisuales es meramente de gestor de dichos activos de los Clubes y SAD y garante de
la aportación pública cuya concepción establece la norma legal, no debiendo por tanto
considerarse para el cálculo de dicha cuantía de infracción.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

59 / 139
En este punto debe tenerse presente la Exposición de Motivos del RDL 5/2015 cuando, al
referirse al modelo, lo fundamenta indudablemente en el interés general en los siguientes
términos:
“En principio, la existencia de ineficiencias en un mercado de bienes y servicios
constituye un asunto estrictamente privado, cuya solución incumbe a los agentes que
operan en el mismo. Cualquier intervención pública debe tener carácter excepcional
y justificarse en superiores razones de interés general.
En el caso del mercado de derechos audiovisuales de las competiciones de fútbol
profesional tres son las razones que legitiman la intervención urgente del Gobierno:
por un lado, la indiscutible relevancia social del deporte profesional, en segundo
lugar, la reiterada y unánime demanda de dicha intervención desde todos los
sectores afectados y, finalmente, la necesidad de promover la competencia en el
mercado de la televisión de pago actuando sobre uno de sus activos esenciales. La
relevancia social del deporte profesional en España y, concretamente, del fútbol,
constituye una evidencia que queda reflejada en…”
“Es decir, que el legislador considera que la forma de comercialización de los derechos
audiovisuales del fútbol exige una regulación ya que en dicha comercialización hay una
referencia de interés general ineludible porque la posición ordinamental del fútbol alcanza a
elementos adicionales a la propia actividad de comercialización con la vinculación a la
financiación de otras modalidades, intereses y circunstancias que el legislador aprecia y que
constituyen las prestaciones personales obligatorias a las que nos hemos referido antes.
A partir de ahí, la decisión del legislador es la regulación de la modalidad de explotación
tanto en su titularidad, comercialización, como, en general, en los elementos centrales como
el reparto de lo comercializado y las obligaciones de interés público. Esta regulación es de
alto nivel porque no solo determina ex lege al comercializador, sino que determina,
explícitamente, la forma de reparto de los derechos y las afecciones de los mismos
haciendo al comercializador directamente responsable del cumplimiento del modelo legal y
del cumplimiento de las obligaciones.
Por ello, se considera que el concepto de volumen de negocios que se contiene en la
normativa sancionadora debe responder a un criterio específico de la actividad y las
condiciones de ejercicio de la actividad que le corresponden a LALIGA. LALIGA, en relación
con la comercialización de los derechos, es un agente de constitución legal, que actúa – con
la mayor diligencia que conoce y puede solventar- en los términos que le impone la ley, que
dispone del negocio por imperativo legal y que, por tanto, opera como un gestor de negocios
e intereses ajenos que el legislador le determina. Es la ley la que establece el esquema de
titularidad porque de hecho configura un derecho individual de gestión colectiva ineludible, la
que determina a quien le corresponde la comercialización, los términos de la misma en la
afección y reparto final y la responsabilidad de recaudación de un conjunto de obligaciones
públicas. Por tanto, de atender al criterio seguido por la .... . .. .... .. .......... ..
importe de la propuesta de sanción, buena muestra de su desproporción es que de alguna
forma podría llegar a decirse que la sanción afecta a todos los integrantes de LALIGA, de
manera individual, al detraer cantidades de unos ingresos provenientes de sus derechos
audiovisuales completamente ajenos al objeto del expediente y que se verán
necesariamente impactados por éste.
B) El reflejo del esquema expuesto en la información económica de LA LIGA y del Grupo
consolidado
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

60 / 139
Teniendo en cuenta la tesis fundamental que se plantea es que cualquiera que fuere el
análisis lo generado por la comercialización de los derechos audiovisuales debe quedar
fuera el eventual cómputo de la sanción, nos corresponde ahora, analizar los dos escenarios
posibles en los que dicha afirmación tiene reflejo.
a) La LIGA y sus ingresos
Son los mencionados en la nota 26 de las cuentas anuales individuales de la Liga
correspondientes al año 22/23. Específicamente dicha información en línea con lo indicado
se encuentra en las páginas 104 y 105 de las CCAA LA LIGA T 22-23
De una forma más desglosada:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

61 / 139
Los datos muestran que la Liga en cuanto a encargada de la gestión de derechos
audiovisuales de los Clubes y SAD que forman parte de la misma están individualizados y
se corresponden con 1.824.764.000 €. No obstante, teniendo en cuenta que no se
corresponden con una actividad empresarial propia sino encomendada, nos encontraremos
con que en la Liga carece de cifra de negocios neta y su resultado del ejercicio sería igual a
cero tal como se puede comprobar en la nota 26 de las cuentas anuales individuales de la
Liga que aparece reproducida arriba.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

62 / 139
El argumento no debe resultar extraño porque la Liga es una entidad sin ánimo de lucro que
respecto a la explotación de los derechos audiovisuales opera ex lege gestionando intereses
ajenos los cuales deben ser excluidos a estos efectos. En cualquier caso, para la
determinación de ingresos en la Liga por la actividad de organización de la competición, se
podría tomar en consideración los “OTROS INGRESOS DE EXPLOTACIÓN”, que, si bien
no son una actividad propia, al ser una entidad sin ánimo de lucro y no forman parte del
importe neto de la cifra de negocios, si se generan en el desarrollo de su actividad.
Correspondería por tanto el importe de 50.928.000 de euros a tener en cuenta como
ingresos en la Liga”. El cuadro precedente refleja la nota 26, información segmentada de la
“ Memoria de las cuentas anuales del ejercicio terminado el 30/06/2023, expresado en miles
de euros ”, figurando desglosado en 47.742.000 euros en “ ingresos accesorios y otros gastos
de gestión corriente ”, y 3.186.000 euros en quinielas.
b) Proyección sobre el Grupo consolidado LA LIGA
“ No obstante lo anterior y solo aceptando a efectos meramente dialécticos el planteamiento
realizado en la Propuesta de Resolución, para el infundado caso de que la sanción se quiera
extrapolar al conjunto de actividades que realiza el Grupo consolidado LALIGA, lo cual sería
contrario a derecho y totalmente desproporcionado, habría que remitirse a la nota 29 de la
información segmentada de las cuentas anuales de LALIGA y Sociedades dependientes de
la T.23-24 ( Informe de auditoría de cuentas anuales al 30/06/2024, que figura en la web de
la LIGA) )donde se puede ver cuál fue la cifra de negocios de la T.23-24 y de la T.22-23. En
las Cuentas Anuales de la Temporada 2023-2024 se han re-expresado las cifras de la
Temporada 2022-2023 debido al cierre definitivo de la venta de la actividad tecnológica del
Grupo LALIGA, cuyos datos eran provisionales al final del ejercicio anterior. Por este motivo,
la información más actualizada sobre la Temporada 2022-2023 se encuentra en las Cuentas
Anuales correspondientes a la Temporada 2023-2024.
La información financiera de dicha nota desglosa 4 actividades diferentes dentro del Grupo
LALIGA:
1 Licencias y Patrocinios y otros asimilados
2 Comercialización Derechos Audiovisuales
3 Prestación de servicios mantenimiento recintos deportivos
4 Operaciones intragrupo y otras actividades

Conforme a las referencias que se han hecho en relación con el concepto de empresa, los
datos del Grupo LALIGA para la temporada 2022 – 2023:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

63 / 139
De este grupo de ingresos hay tres partidas que, ciertamente, son consecuencia de la
actividad comercial realizada por Grupo LALIGA. Se trata de:
• Licencias y Patrocinios y otros asimilados.
• Prestación de servicios mantenimiento recintos deportivos.
• Operaciones intragrupo y otras actividades.

Frente a esto, la partida correspondiente a la comercialización de los derechos
audiovisuales tiene una naturaleza diferente porque es la ley la que determina su propiedad,
su finalidad, su reparto y, por tanto, la imposibilidad de que formen parte del contenido
financiero de una estructura donde, además, LALIGA actúa como gestor de negocios
ajenos.
En la temporada 2022 – 2023 la información segmentada es la siguiente:
(se muestra el cuadro de la información financiera del Grupo desglosada por segmentos
operativos para la temporada terminada a 30/06/2023, página del informe de auditoría
Por tanto, aun en el supuesto de que la consideración de empresa fuera más allá de donde
legal y razonablemente debe ir, la cantidad de 1.824.764.000 € que se corresponde con la
de los derechos audiovisuales debería, en todo caso, ser excluida del cómputo porque,
como insistimos, es una encomienda legal de una actividad de terceros.
Esta exclusión debe operar tanto si se considera únicamente a la entidad LALIGA como si
se proyecta sobre la actividad del grupo. Nuestra consideración central, en línea con lo
expuesto en el apartado primero de esta alegación, es que dicha cifra debe estar referida a
la actividad real, que ésta es la que se corresponde con la actividad de LALIGA. No
obstante, lo cual, se presentan los dos enfoques que parten de una misma premisa pero que
se proyectan diferencialmente en función de la incorporación o no del concepto grupo
consolidado.
b) Consideraciones de conjunto
“ No nos encontramos ante un concepto económico idéntico a cualquier otro generado como
consecuencia de la iniciativa y la voluntad de las partes
A modo de resumen:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

64 / 139
1. La titularidad de los derechos audiovisuales en el marco de la competición
profesional viene fijada, delimitada y conformada por el legislador.
2. En este marco de la delimitación pública del derecho, el RDL 5/2015 atribuye la
condición de comercializador a LALIGA. Esta atribución es obligatoria para LALIGA como
consecuencia de su propia posición ordinamental y de colaborador en la gestión y
organización de una competición que, obviamente, hace de los derechos audiovisuales un
pilar fundamental. Pero lo que es cierto es que esta condición de pilar esencial no desvirtúa
su anclaje que se produce en quien, previamente y según la legislación deportiva, tiene la
condición de organizador por atribución del reconocimiento que hace el C.S.D. al crear la
respectiva liga profesional.
3. La norma no lo indica expresamente, pero la comercialización se hace conforme a
las mejores prácticas conocidas y siempre, claro está, en beneficio de los titulares de la
comercialización que son, indudablemente, los Clubes y SAD, pero también el conjunto de
beneficiarios de actividades de interés general que el RDL 5/2015 considera como dignas de
mermar la recaudación de sus verdaderos titulares para cumplir un fin público.
4. La inclusión de esta actividad en la infracción o como criterio para su graduación
resulta por ende manifiestamente improcedente porque la actividad se realiza en el marco y
en los términos de una obligación legal. No es fruto de una actividad económica voluntaria ni
disponible sino de un marco legal en el que la posición de LALIGA es la de uno más de los
elementos que configuran la gestión y la ordenación legal de los derechos audiovisuales de
los Clubes y SAD.
Por tanto, lo razonable es considerar que el volumen de negocios se refiere a la
actividad de LALIGA y esto nos lleva, por un lado, a un volumen de negocios de cero
si se considera únicamente LALIGA -entidad de reconocimiento legal- o de
50.928.000 euros en la Temporada 2022-2023, si se consideraran los otros ingresos
de explotación que se generan en el desarrollo de su actividad (distintos del
audiovisual), y por otro lado, a un volumen de 169.918.000 euros en Temporada
2022 – 2023, si se considera el Grupo consolidado pero deduciendo, nuevamente,
los derechos que proceden de la comercialización audiovisual.
5. En cualquier caso, lo que resultaría de todo punto claramente inadmisible es que de
la cifra de negocios no se descontara la cantidad que LALIGA recauda para las entidades
públicas, el propio C.S.D. y la RFEF porque se estaría incluyendo una actividad que es
esencialmente pública y cuyos beneficiarios están señalados en la propia ley.
Teniendo en consideración estas afirmaciones y para poder demostrar la desvirtuación que
supone no reconocer la estructura de los ingresos y del propio grupo podríamos decir que la
cifra propuesta es, realmente, un 19.63% del volumen de negocios de la Temporada 22-23
en LALIGA, y de un 5.9% del volumen de actividad en Temporada 2022-2023 en el Grupo
LALIGA .”
“ El porcentaje de la cifra de negocio real de mi representada que supone la mencionada
sanción alcanza el 19,63% con respecto a LALIGA o el 6% de la mencionada cifra con
respecto al Grupo LALIGA (cuando el término de referencia contenido en el artículo 83.4 del
RGPD es del 2% como máximo), mi mandante considera igualmente preciso poner de
manifiesto la completa impropiedad con la que se pretende agravar la conducta de mi
representada en el presente supuesto .”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

65 / 139
-En cuanto a la inadecuada aplicación por la propuesta de los criterios de graduación de la
sanción y vulneración del principio de culpabilidad, manifiesta que, con las supuestas
agravantes aplicables, en el Fundamento de Derecho VII, conducen, a juicio de la .... . ..
imposición de una sanción de 10.000.000 de euros, que duplica la máxima sanción
individual impuesta por la citada Agencia hasta la fecha.
“ es necesario tomar en cuenta que la agravación que pretende imponerse, tanto por la
referencia al artículo 83.2 a) del RGPD como a su artículo 83.2 b) se fundamenta única y
exclusivamente en los elementos que la .... .. ...... .... .......... ......... . ..
representada la conducta infractora, algo que, nuevamente, se niega de plano. Es decir, la
AEPD considera agravante de la supuesta infracción consistente en la falta de realización
de una EIPD por mi representada el hecho de que no se ha realizado una EIPD. Semejante
integración del tipo como agravante resulta contraria a los más elementales principios que
rigen en nuestro derecho, y en cualquier normativa de cualquier país mínimamente
respetuosa con los derechos de un enjuiciado, el derecho administrativo sancionador.”
Se reproducen los dos primeros párrafos que dedica la Propuesta de Resolución a la
agravación de la sanción por la naturaleza, gravedad y duración de la infracción en el “ que
se trata de reemplazar las referencias vagas y genéricas contenidas en el Acuerdo de Inicio
por referencias, aparentemente concretas a la propia conducta y no a la concurrencia de
elementos que pudiera agravar el reproche sancionador.
“ se limita a indicar en la Propuesta que “[s]e considera también, que la LNFP por el
desarrollo de su actividad que depende del público de los Clubes y SAD que en ella se
encuadran y a quien dirige el uso del sistema, se le presupone una profesionalidad en el uso
y manejo habitual de los datos personales, mínimo para no desconocer los especiales
requisitos, y su conducta, denota una falta grave de diligencia en la comisión de la
infracción, por lo que estos factores operarían como agravantes”, lo que implica que en este
caso concurre el elemento culpabilístico de la infracción.
Sin embargo, como se ha analizado a lo largo de estas alegaciones, la profesionalidad
invocada de LALIGA no puede implicar que por la misma pudieran considerarse contenidos
en la norma axiomas tan alejados de cualquier interpretación de la misma como que (i) la
mera ideación de un tratamiento tiene la consideración de tal según la definición establecida
en el artículo 4.2 del RGPD; (ii) quien no guarda relación de ningún tipo con los datos
personales que pudieran ser objeto de tratamiento ni con los interesados a los que los
mismos se refieren ostenta la capacidad de decidir sobre sus medios y fines; o (iii) que la
puesta a disposición por una entidad asociativa a sus asociados de una solución tecnológica
que les permita llevar a cabo un tratamiento, siendo enteramente libre dichos asociados de
hacer o no uso de tal solución, implica un tratamiento de datos y convierte a la asociación en
responsable de los tratamientos que lleven a cabo sus asociados con dicha herramienta.
Porque incluso en el nuevamente, negado supuesto de que lo indicado en la Propuesta
pudiera considerarse (quod non) amparado por la normativa de protección de datos, lo
evidente es que mi mandante actuó movida por la confianza que en la misma generaba una
interpretación recta y razonable de esa normativa.
Y el resultado conduce a concluir en la existencia de un error de derecho o de prohibición en
la conducta de mi mandante que debe exonerar la concurrencia de responsabilidad, exigida
necesariamente por el artículo 28.1 de la LRJSP para que pueda hacerse recaer sobre mi
mandante el reproche sancionador.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

66 / 139
Y si cabría apreciar que existe el mencionado error de derecho o de prohibición en la
conducta de LALIGA (en el negado supuesto de que la misma no fuera conforme a
derecho), es evidente que en modo alguno cabe apreciar la concurrencia en LALIGA ni de
negligencia ni, mucho menos, de la intencionalidad que parece pretender aplicarse de
aquélla, de forma que a falta de dolo o negligencia debería, incluso aunque se considerase
que mi mandante está obligada a realizar una EIPD (quod non) procederse al archivo del
presente expediente sancionador.”
HECHOS PROBADOS
PRIMERO:
Con fechas de entrada en esta .... .. ./../.... . ../../...., ... ............ ........
de manifiesto la instauración de controles de acceso de espectadores a los estadios de
fútbol a través de sistemas biométricos por parte de la Liga Nacional de Fútbol Profesional
(LNFP) en el estadio ***ESTADIO.1 del ***CLUB.1 , aportando una noticia de prensa de
22/05/2022 en la segunda denuncia, y la adopción de un acuerdo del Consejo Superior de
Deportes (C.S.D.) para dicho acceso a las “ gradas de animación ” de los estadios de los
Clubs de fútbol de primera y segunda división. Con fecha 2/01/2023, la Directora de la AEPD
acordó iniciar actuaciones previas de investigación AI/00444/2022.
SEGUNDO:
La LNFP el 10/03/2023, en actuaciones previas de investigación, informó que el Reglamento
de Venta de Abonos y entradas (RVAE) incluido como LIBRO XII (venta de abonos y
entradas) en el Reglamento General de la Liga de Fútbol Profesional (RGLNFP) fue
aprobado por el C.S.D. el 23/12/2015, de conformidad con las competencias que a este le
atribuye el artículo 10.2.b) de la Ley 10/1990 de 15/10, del Deporte. En los antecedentes de
hechos figura que esa aprobación fue instada por la LNFP, siguiendo la tramitación de su
aprobación en su ASAMBLEA GENERAL de la LNFP, según lo dispuesto en el artículo 11.b)
de los Estatutos Sociales de la LNFP.
-El artículo XII.1 del RGLNFP “ condiciones para la venta de abonos de temporada ”, como
criterio uniforme aplicable para todos los Clubs/SAD afiliados, establece que la venta de
abonos de temporada a personas físicas “ se realizará con la previa y debida identificación
de los adquirentes “, suministrando en el momento de su adquisición al menos, los datos
personales, que serán objeto de tratamiento: datos de filiación: nombre y apellidos y
documento acreditativo de la identidad, datos de contacto: domicilio a efectos de
notificaciones, teléfono de contacto y dirección de correo electrónico, y recomienda en caso
de establecer política de no cesión de abono, “ solicitar e incluir en el abono fotografía de su
titular ”.
Por otro lado, la “ grada de animación ” se define en el artículo XII.2 del RGLNFP, cómo:
“ el sector o zona de gradería del recinto deportivo definido como tal por el propio Club/SAD
o de oficio por LA LIGA, y que cumple los siguientes requisitos:
-Estar destinado exclusivamente a abonados locales habituales,
-Estar sectorizado, diferenciado del resto del aforo, con accesos preferentemente exclusivos
del sector, zona o graderío, y,
-Tenga instalado el sistema de acceso mediante reconocimiento biométrico .
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

67 / 139
Para la grada de animación se establece un régimen específico, en concreto para los
abonos de temporada de los espacios ubicados en la “ grada de animación ” (espacio
diferenciado del resto de sectores del estadio, dedicado a la animación y apoyo del equipo
local) se indica en el mismo RGLNFP, artículo XII.2 “ condiciones para la venta de abonos en
gradas de animación ”, requiere para su venta, que el aficionado aporte a) además de los
datos que se precisan para todo abono, consignados en el artículo XII.1 del RGLNFP, b)
“ AQUEL DATO BIOMETRICO que se determine ”, c) “ debiéndose recabar el consentimiento
del interesado informando claramente de las concretas finalidades para el tratamiento de los
referidos datos de carácter personal ”, párrafo “ 4. Únicamente se permitirá el acceso a las
gradas de animación a los aficionados que hayan obtenido el título de acceso a dicha zona y
que, en el momento de la entrada, se sometan a la lectura de su dato biométrico ”, y párrafo
“ 6. Cualquier otro sistema de acceso a esta zona que no conlleve un reconocimiento
biométrico, tendrá carácter excepcional y puntual y obligará, en su caso, al Club/SAD a
disponer de un procedimiento que permita la identificación de todos aquellos que accedan
fuera del control biométrico. El Club/SAD deberá remitir dicho procedimiento, al comienzo de
la entrada en funcionamiento del sistema, a la Dirección de Integridad y Seguridad de la
LIGA para su conocimiento y validación .”
TERCERO:
La LNFP informó a esta AEPD, en 27/07/2023, en su segunda repuesta a información en
actuaciones previas de investigación que, con datos vigentes a temporada 2022/2023,
existían NUEVE CLUBES (de 20) DE PRIMERA DIVISIÓN Y NUEVE CLUBES (de 21) DE
SEGUNDA, que utilizaban sistemas biométricos para los accesos a sus gradas de
animación, todos con el sistema de huella dactilar, excepto un Club, tanto en primera como
en segunda división que utilizaban entonces EL SISTEMA de RECONOCIMIENTO FACIAL,
si bien el Club de primera lo usa para todo el estadio, mientras que el de segunda división,
solo para la grada de animación, aportando cuadro Excel con dicha información.
Asimismo, en el cuadro remitido, figura la implantación inicial de tales sistemas en la
temporada 2015/2016, (tres Clubes) con sucesivas incorporaciones en cada temporada,
siendo las ultimas de la temporada 2022/2023 con tres Clubes Más, hasta completar el
cuadro que aportó la LNFP el 27/07/2023 en respuesta a las actuaciones previas de
investigación que figuran en el HECHO CUARTO (4.1.1) de los antecedentes de esta
resolución Así pues, se deduce que hubo Clubes que no implantaron tales sistemas o bien
no disponían de gradas de animación. En cualquier caso, la CERVXID informó el 21/07/2023
en actuaciones previas de investigación, que no se ha incoado expediente alguno a los
Clubes ni a las SADs, con motivo de la no implantación de sistemas de control de acceso
basados en biometría a los estadios de primera o segunda división, en las gradas de
animación. En todos los casos, como sistema alternativo implementados para el acceso a
los estadios, figuran “ escáner de mano ” para leer los abonos digitales o “ escáner ” de lector
de código de barras para las entradas. También figura otra columna que ofrece información
sobre el motivo de utilización de sistemas alternativos, constando en todos “ voluntariedad ”.
CUARTO:
Según refiere la CEVRIXD en su respuesta de 28/03/2023 en actuaciones previas de
investigación, hecho TERCERO, 3.2.1 de “antecedentes”, el 3/03/2022 adoptó un acuerdo
en el que se reproduce el MISMO contenido del RGLNFP en lo que hace a los requisitos de
adquisición de abonos para las gradas de animación. El mismo escrito de 3/03/2022 de la
citada Comisión, refiere la LIGA en sus alegaciones al acuerdo de inicio, HECHO OCTAVO
3) de “antecedentes” como formando parte de la Circular 34 de la temporada 21-22, fue
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

68 / 139
enviado por la LNFP a los Clubes el 25/04/2022, dando traslado del citado acuerdo de la
CEVRIXD.
La CEVRIXD, solicitó en fecha 20/10/2022 a la .... ... ......... ..... .. ...... . ..
legalidad de la normativa de protección de datos para el control de accesos con
identificación del uso del sistema biométrico a las gradas de animación. Con fecha
22/12/2022 emitió respuesta la AEPD, que figura en el informe 98/2022 que se reproduce
parcialmente en el HECHO TERCERO, 3.2.1 de los antecedentes de esta resolución , y fue
aportado por el C.S.D.
Con fecha 13/03/2023, tras la obtención de dicho informe, la CEVRIXD acordó (figura
recogido en el HECHO TECERO, 3.2.1) de los antecedentes de esta resolución enviar
escrito a la LNFP instando de sus asociados el cumplimiento de la medida que coincidía con
la que se contenía en el RGLNFP sobre accesos a las gradas de animación con medios
biométricos, BAJO APERCIBIMEINTO DE SANCIÓN a los que incumplieran la medida.
La LNFP emitió la Circular 19, temporada 22/23 el 23/03/2023 trasladando a los Clubes y
SAD asociados la comunicación de la CEVRIXD, que en esencia recoge: “ Según señala el
meritado acuerdo, el acceso a las gradas de animación mediante datos biométricos puede
mantenerse, pero siempre que exista consentimiento libre del interesado, previa información
de las concretas finalidades para el tratamiento de los datos de carácter personal. En caso
de no contar con el consentimiento de los interesados, la CEVRXID recuerda que los
espectadores de estas gradas no estarán exentos de someterse a todos los controles de
verificación de identidad que se hallen vigentes en cada momento y, a tal fin, resulta
obligatorio que el Club o SAD cuente con un procedimiento que permita identificarlos. Este
procedimiento, además, deberá ser comunicado a la Dirección de Integridad y Seguridad de
La Liga para su conocimiento y validación en la dirección de correo seguridad@laliga.es”
En la información que dio la LNFP sobre el uso de los Clubs de los sistemas biométricos,
asimismo indicó que después de la Circular de la LNFP número 19, dejaron de utilizar los
sistemas biométricos, un total de cinco Clubes en las dos divisiones.
QUINTO:
La LNFP respondió el 27/07/2023, en la segunda petición de información en actuaciones
previas de investigación y así consta en el HECHO cuarto- 4.1./4.1.4 de los antecedentes de
esta resolución que su sociedad filial SOCIEDAD ESPAÑOLA DE FÚTBOL PROFESIONAL
SAU-SEFPSA-facilita a los Clubes que lo solicitan distintos tipos de tornos de entrada a los
recintos deportivos-, pudiendo activarse en ellos los que utilizan sistemas de reconocimiento
por huella digital, escaneado del documento de abono o de una entrada, o RFID.
Añadió que:
-de todos los Clubes asociados a la LIGA, es la entidad que les ha proporcionado los
dispositivos precisos para el acceso biométrico (Clubes, que del mismo modo utilizan los
medios alternativos a los biométricos para el acceso), excepto a tres de ellos que utilizan
sus propios sistemas. Aporta la LIGA la memoria técnica del sistema empleado por los Clubs
y SAD asociados que utilizan la plataforma tecnológica- ***DISPOSITIVO.1 - para
implementar el control de acceso a través de datos biométricos en documento 122.
Respecto del mismo, se indica que “ cuando se produce el enrolamiento de los usuarios se
registran los siguientes datos en la plataforma: DNI, “IdPersona” (“Campo unívoco de la
persona a enrolar”), (…), nombre y dos apellidos ”.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

69 / 139
-Declara que los medios alternativos al uso del sistema biométrico que los Clubes
disponen para identificar a los espectadores conforme a lo previsto en el artículo 13.2 de la
Ley 19/2007, a la grada de animación, como medida adicional, es la exhibición in situ del
DNI o documento identificativo.
SEXTO:
La SEFPSA manifestó en actuaciones previas de investigación el 15/09/2023 (figura en
HECHO CUARTO, 4.3) de los antecedentes de esta resolución que es proveedora del
sistema de tecnología (software y hardware: tornos de accesos y servidores) para la
identificación biométrica en control de acceso a los estadios de fútbol, utilizándolo SIETE
equipos de primera división, y OCHO de segunda, solo para los accesos a las gradas de
animación. Además, manifestó que no accede en ningún caso a datos personales
almacenados en dichos sistemas, y no ostenta la condición legal de responsable del
tratamiento o encargado pues solo suministra la tecnología.
SEFPSA señala que la comparación del patrón leído con el almacenado se produce en un
lector instalado en el torno de acceso que genera un vector biométrico cifrado de la huella
dactilar del interesado que en ese momento está tratando de acceder al estadio. Generado
el vector, la electrónica de control del lector instalada en el torno, lo comunica al (...) -
ubicado en las instalaciones del Club, y al que solo este tiene acceso, donde se
encontrarían almacenados todos los vectores biométricos dispuestos por el Club para
proceder a la comparación mediante una carga de la totalidad de los vectores biométricos,
previamente suministrado por los abonados. Reconoce que se produce así un proceso de
comparación consistente en una identificación biométrica 1 a N. En el (...) , además, se
verifica la correspondencia de los datos del servidor de gestión de aforos del Club – (…) -con
el vector biométrico generado en el torno con el objetivo de obtener una respuesta que
puede ser no reconocido o ..... ...... ...... .... .. ........ .. ...... ......... .. ......
SEFPSA informó también que los datos de los interesados que utilicen la identificación
biométrica se almacenarían en el (...) , los datos correspondientes a su nombre, apellidos,
DNI, ID persona (identificador aleatorio para evitar accesos duplicados a los estadios), y el
vector biométrico resultante del proceso de registro del abonado , y que el proceso de
comparación de patrones no genera ningún nuevo dato personal.
SÉPTIMO:
La LNFP puso los medios de tratamiento a disposición de Clubes/SAD, con carácter
voluntario, a través de su filial del grupo, SEFPSA (cuya matriz es la LNFP) especializada en
prestar servicios de mantenimiento de sistemas e infraestructuras de seguridad en los
estadios, infraestructuras de los Clubes que la Ley del Deporte le encomienda a la LNFP.
El artículo 47 de los Estatutos de la LNFP establecen como funciones de la SEFPSA, las de
“ejecución de obras de adaptación de instalaciones a las normas de seguridad y prevención
de la violencia”.
El artículo 2 de los estatutos sociales de SEFPSA tiene por objeto la consecución de los
fines sociales en las actividades de, entre otras:
- “informatica aplicada al deporte, mediante creación, producción, comercialización y/o
representación de cualquier clase de productos informativos, ya sea maquinaria, accesorios
o programa, su instalación, explotación, asesoramiento o venta,
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

70 / 139
-Seguridad de las instalaciones deportivas, comerciales y administrativas de las sociedades
anónimas deportivas o Clubes deportivos, mediante la instalación de toda clase de sistemas
de seguridad en las mismas, incluyendo la realización de proyectos y obras civiles
necesarias para su instalación, y el mantenimiento de las instalaciones que realice”.
Con arreglo a la Memoria de las cuentas anuales al ejercicio terminado el 30/06/2023, que
menciona la LIGA, y que figuran en su web, se hace constar que “La Sociedad Española de
Fútbol Profesional, S.A.U. ha continuado prestando a los Clubes/SAD asociados a la LNFP
los servicios de mantenimiento preventivo, correctivo y evolutivo en las instalaciones
deportivas en las cuales se celebran los partidos de la competición a fin de cumplir con las
exigencias del Reglamento de prevención de la violencia, el racismo, la xenofobia y la
intolerancia en el deporte”.
OCTAVO:
Solicitada por el Servicio de Inspección de Datos en la fase de actuaciones previas de
investigación a la LNFP que aportara el análisis de necesidad y proporcionalidad del
tratamiento biométrico en los accesos a las gradas de animación de los estadios de fútbol de
primera y segunda división, con fecha 10/03/2023 respondió que no ostenta ninguna
condición de responsable del tratamiento o encargado del mismo, ni ningún papel en
nombre ni por cuenta de los Clubes que forman parte de la LIGA. y que no le corresponde la
realización de dicho análisis. También indicó que no participa en dicho tratamiento.
NOVENO:
Mediante Auto 310/2024 de la Audiencia Nacional, sala de lo contencioso administrativo,
sección 1ª, de 2/04/2024, recurso 155/2024, sobre pieza separada de medias cautelares
instado por la LNFP, se resolvió no haber lugar a la suspensión de la medida provisional
impuesta en el acuerdo de inicio.
DÉCIMO:
Mediante escrito de la LNFP tras el acuerdo de inicio, fechado el 21/05/2024, se ha tenido
información de que la CEVRIXD acordó en reunión de 30/04/2024 la suspensión de la
aplicación de su acuerdo de 30/03/2023, trasladándose por la LNFP a sus asociados el
13/05/2024.
DÉCIMO PRIMERO:
El artículo 1 de los Estatutos Sociales de la LNFP determinan que es una Asociación
Deportiva que a tenor de lo establecido en los artículos 12 y 41 de la Ley 10/1990, de 15/10,
del Deporte, (vigente a fecha de la aprobación del RGLNFP) “ está integrada exclusiva y
obligatoriamente por todas las Sociedades Anónimas Deportivas y Clubes que participan en
competiciones oficiales de fútbol de ámbito estatal y carácter profesional, y a la que
corresponde legalmente la organización de dichas competiciones, en coordinación con la
Real Federación Española de Fútbol .”
“ Tiene personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus
fines y goza de autonomía para su organización interna y funcionamiento respecto de la
Real Federación Española de Fútbol de la que forma parte ”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

71 / 139
Además, el artículo 4 de sus Estatutos Sociales, indica en cuanto a su duración y carácter,
que “ La Liga se constituye por tiempo indefinido y carece de ánimo de lucro ”
Sus funciones se contienen en el artículo 3 de los Estatutos de la LNFP, de las que se
destacan solo las que pudieran tener relación con la denuncia:
“1 .- Son funciones y competencias propias de La Liga, en virtud de lo establecido en la Ley
del Deporte y sus disposiciones de desarrollo, las siguientes
a) Organizar, en coordinación con la Real Federación Española de Fútbol y de acuerdo con
los criterios que, en garantía exclusiva de los compromisos nacionales o internacionales
pueda establecer el Consejo Superior de Deportes, las competiciones oficiales de fútbol de
carácter profesional y ámbito estatal.”
…
2.- Son funciones y competencias de La Liga, las siguientes:
…
“ e) Aprobar normas sobre formato, expedición, venta y suministro de localidades de acceso
a estadios deportivos de sus Sociedades y Clubes miembros, así como cualquier otra
cuestión relacionada con el taquillaje .”
…
“l ) Determinar las condiciones que deben reunir las instalaciones deportivas de los estadios
para la celebración de las competiciones profesionales, normas de seguridad, control de
accesos, así como cualesquiera otras que pudieran establecerse .”
El artículo 60 de los Estatutos de la LNFP, indica: “ obligaciones de los afiliados a LA LIGA ”:
“5.- Cumplir las recomendaciones e instrucciones que, en materia de prevención de la
violencia, dicte la LIGA, al amparo del Título IX de la Ley 10/1990, del Deporte y sus
disposiciones de desarrollo.” (el título IX fue derogado por la disposición derogatoria única
de la Ley 19/2007 de 11/07)
“ 13.- Tener instalado el control de accesos que indique la LIGA, que deberá ser básicamente
igual para todos sus miembros, facilitando la información que sobre acceso aquélla requiera,
la utilización del taquillaje unificado, su control por la misma y la gestión de venta
informatizada de entradas ”.
DÉCIMO SEGUNDO:
El informe de auditoría de las cuentas anuales al ejercicio terminado el 30/06/2023 se trata
de una auditoria “A los asociados de la LNFP”, asociación deportiva que se constituyó en
1984.
En ella, se pone de manifiesto que LaLiga Group International SL, depende de la Asociación
(LNFP).
En la nota 1 “ información general “se indican las entidades de las cuales la LIGA es entidad
dominante, “siendo todas ellas jurídicamente dependientes de forma directa o indirecta”,
contando ocho entidades.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

72 / 139
También se citan las entidades en las que La Liga tienen una participación conjunta indirecta
a través de La LIGA GROUP International SL (dos) y seis entidades en la que posee una
participación min oritaria indirecta a través de la LNFP Group International, S.L.
https://www.laliga.com/es-GB/transparencia/gestion-economica/cuentas-anuales
DÉCIMO TERCERO:
En el informe recogido de la herramienta AXESOR, con fecha 22/09/2023, a la LNFP, le
consta la LIGA Nacional DE FÚTBOL PROFESIONAL, G78069762 figura como “ empresa
matriz globa l” con participación en el capital de diversas empresas.
Como consecuencia de la referencia de la LNFP a sus informes de auditoría de cuentas
anuales que figuran en su web, el balance a 30/06/2023. En el citado informe, se pone de
manifiesto que:
- LALIGA GROUP INTERNATIONAL SL, depende de la Asociación (LNFP). En la nota 1,
“información gener al “ se indican las entidades de las cuales la LIGA es entidad dominante,
“siendo todas ellas jurídicamente dependientes de forma directa o indirecta” , contando
OCHO entidades. También se citan las entidades en las que LA LIGA tiene una participación
conjunta indirecta a través de La LIGA GROUP INTERNATIONAL SL (dos) y SEIS entidades
en la que posee una participación min oritaria indirecta a través de la LNFP GROUP
INTERNATIONAL, S.L.
-Al Grupo consolidado de la LIGA, le constan 1.824.764.000 de euros de ingresos en el
cierre de la temporada 22/23 por comercialización de derechos audiovisuales (nota 26 del
informe de auditoría). Por aplicación del régimen establecido en el Real Decreto-Ley 5/2015,
de 30/04, de medidas urgentes en relación con la comercialización de los derechos de
explotación de contenidos audiovisuales de las competiciones de fútbol profesional, no se
tienen en cuenta para el límite dinámico del máximo del volumen de negocio total anual
global.
FUNDAMENTOS DE DERECHO
I Competencia
De acuerdo con los poderes que el artículo 58.2 del RGPD, otorga a cada autoridad de
control y según lo establecido en los artículos 47, 48.1, 64.2 y 68.1 de la LOPDGDD, es
competente para iniciar y resolver este procedimiento la Directora de la Agencia Española
de Protección de Datos.
Asimismo, el artículo 63.2 de la LOPDGDD determina que: " Los procedimientos tramitados
por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el
Reglamento (UE) 2016/679, en la presente ley orgánica, por las disposiciones
reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter
subsidiario, por las normas generales sobre los procedimientos administrativos.”
II Régimen jurídico de la venta de abonos y entradas a los estadios- Relación con sus
accesos a los recintos deportivos. Estatuto de la LNFP.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

73 / 139
2.1. Régimen jurídico de la venta de abonos y entradas a los estadios- Relación con sus
accesos a los recintos deportivos.
El régimen jurídico en cuanto a la venta de entradas y accesos de los espectadores a
instalaciones deportivas en las que se celebran competiciones deportivas oficiales se regula
principalmente en la Ley 19/2007 de 11/07 contra la violencia, el racismo, la xenofobia y la
intolerancia en el deporte, (Ley antiviolencia). Uno de los objetivos de la Ley es según
predica el artículo. b) “ mantener la seguridad ciudadana y el orden público en los
espectáculos deportivos con ocasión de la celebración de competiciones y espectáculos
deportivo s”
La CEVRXID se creó en la ley 10/90, de 15/10, del Deporte, artículos 60 a 69, cuyo título IX
titulaba: “ Prevención de la violencia en los espectáculos deportivos” y es un órgano
colegiado encargado de formulación y realización de políticas activas contra la violencia, la
intolerancia y evitación de las practicas racistas, xenófobas y LGTBIfóbicas en el deporte ”
El artículo 3 de la Ley antiviolencia, indica como principio general:
“1. Con carácter general, las personas organizadoras de competiciones y espectáculos
deportivos deberán adoptar medidas adecuadas para evitar la realización de las conductas
descritas en los apartados primero y segundo del artículo 2, así como para garantizar el
cumplimiento por parte de los espectadores de las condiciones de acceso y permanencia en
el recinto que se establecen en el capítulo segundo de este título .”
2. Corresponde, en particular, a las personas organizadoras de competiciones y
espectáculos deportivos:
a) Adoptar las medidas de seguridad establecidas en esta Ley y en sus disposiciones de
desarrollo.
b) Velar por el respeto de las obligaciones de los espectadores de acceso y permanencia
en el recinto, mediante los oportunos instrumentos de control.
Así, de un lado, la organización puramente deportiva de las competiciones viene
encomendada a la Liga, no organizando estos espectáculos deportivos que se celebran en
las instalaciones deportivas donde tienen lugar los mismos, de ahí la diferenciación
terminológica entre ambos términos: organizador de competiciones, organizador de
espectáculos deportivos.
En cuanto a la relación con la venta de entradas y accesos por los espectadores a los
estadios, la Ley Antiviolencia, traslada a los organizadores de las competiciones y a los
organizadores de espectáculos deportivos las medidas adecuadas para evitar la realización
de conductas prohibidas, así como para garantizar el cumplimiento por parte de los
espectadores de las condiciones de acceso y permanencia en el recinto mediante los
oportunos instrumentos de control en salvaguarda del orden público y la seguridad.
El artículo 6.2.a) de la Ley antiviolencia, establece el sometimiento de los espectadores a
controles pertinentes para verificación de condiciones de acceso al recinto, y en particular su
párrafo 2.b), su obligación de someterse a registros personales para poder verificar que no
portan armas u otros objetos prohibidos o no se portan símbolos o pancartas prohibidos. A
tal fin, también en particular, quedan obligados a “ ser grabados mediante circuitos cerrados
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

74 / 139
de televisión en los aledaños del recinto deportivo, en sus accesos y en el interior de los
mismos ” (art 6.2.a).
El artículo 7 de la Ley antiviolencia, establece como condiciones de permanencia en el
recinto de los espectadores:
“ 1.g) Observar las condiciones de seguridad oportunamente previstas y las que
reglamentariamente se determinen .
En su punto 2:
“ b) Ocupar las localidades de la clase y lugar que correspondan al título de acceso al recinto
de que dispongan, así como mostrar dicho título a requerimiento de los Cuerpos y Fuerzas
de Seguridad y de cualquier empleado o colaborador del organizador .
a) Cumplir los reglamentos internos del recinto deportivo .”
El artículo 11: “ control y gestión de accesos y de ventas de entradas ”, señala:
“ 1. Todos los recintos deportivos en que se disputen competiciones estatales de carácter
profesional deberán incluir un sistema informatizado de control y gestión de la venta de
entradas, así como del acceso al recinto ...”
El artículo 12 de la citada Ley, indica:
“ 1. En atención al riesgo inherente al acontecimiento deportivo en cuestión, se habilita a la
autoridad gubernativa a imponer a los organizadores las siguientes medidas :
“ b) Instalar cámaras en los aledaños, en los tornos y puertas de acceso y en la totalidad del
aforo a fin de grabar el comportamiento de las personas espectadoras ”
…
“ d) Instalar circuitos cerrados de televisión para grabar el aforo completo del recinto a lo
largo de todo el espectáculo desde el comienzo del mismo hasta el abandono del público .”
El artículo 13 de la Ley, señala:
“ 1. La Comisión Estatal Contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el
Deporte podrá decidir la implantación de medidas adicionales de seguridad para el conjunto
de competiciones o espectáculos deportivos calificados de alto riesgo, o para recintos que
hayan sido objeto de sanciones de clausura con arreglo a los títulos segundo y tercero de
esta Ley, y en particular las siguientes:
a) La instalación de cámaras en los aledaños, en los tornos y puertas de acceso y en la
totalidad del aforo.
b) Promover sistemas de verificación de la identidad de las personas que traten de acceder
a los recintos deportivos.
c) La implantación de sistemas de emisión y venta de entradas que permitan controlar la
identidad de los adquirentes de entradas .
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

75 / 139
“2. En los supuestos contemplados en las letras b) y c) del apartado anterior, se insertará en
los billetes de entrada información acerca del tratamiento de los datos de carácter personal
necesarios para proceder a la identificación del espectador, así como los procedimientos a
través de los cuales se verificará dicha identidad, quedando en todo caso el tratamiento
sometido a lo dispuesto en la normativa vigente en materia de protección de datos.
Quienes organicen un acontecimiento deportivo, procederán a la cancelación de los datos
de las personas que accedan al espectáculo una vez el mismo haya concluido, salvo que se
apreciara la realización de alguna de las conductas a las que se refieren los apartados
primero y segundo del artículo 2 de la presente Ley, en cuyo caso, conservarán únicamente
los datos necesarios para la identificación de las personas que pudieran haber tomado parte
en la realización de la conducta .”
El (C.S.D.) manifestó en actuaciones previas de investigación que la Ley 19/2007, no
contempla una declaración de alto riesgo de toda una competición deportiva de fútbol de
manera específica, sino de partidos (encuentros) que forman parte de la misma. Señala el
artículo 10 de la misma Ley citada:
“1. Las federaciones deportivas españolas y ligas profesionales deberán comunicar a la
autoridad gubernativa, competente por razón de la materia a que se refiere este título, con
antelación suficiente, la propuesta de los encuentros que puedan ser considerados de alto
riesgo, de acuerdo con los criterios que establezca el Ministerio del Interior.
2. La declaración de un encuentro como de alto riesgo corresponderá a la Comisión Estatal
contra la Violencia, el Racismo, la Xenofobia y la Intolerancia en el Deporte, previa
propuesta de las Federaciones Deportivas y Ligas Profesionales prevista en el párrafo
anterior o como consecuencia de su propia decisión, e implicará la obligación de los Clubes
y sociedades anónimas deportivas de reforzar las medidas de seguridad en estos casos,
que comprenderán como mínimo:
a) Sistema de venta de entradas.
b) Separación de las aficiones rivales en zonas distintas del recinto.
c) Control de acceso para el estricto cumplimiento de las prohibiciones existentes.
d) Las medidas previstas en el artículo 6 que se juzguen necesarias para el normal
desarrollo de la actividad”
El Real Decreto 203/2010, de 26/02, por el que se aprueba el reglamento de prevención de
la violencia, el racismo, la xenofobia y la intolerancia en el deporte, desarrolla la citada Ley
19/2007. Este RD, establece en su artículo 8, además, la obligación de los organizadores
responsables de todos los recintos deportivos, que deben establecer un sistema
informatizado de control y gestión de venta de entradas, así como de acceso a los recintos,
mientras que en el artículo 9, obliga a los organizadores de los recintos deportivos donde se
celebren “ competiciones de categoría profesional de fútbol ” a que dispongan de localidades
numeradas y con asientos para todos los espectadores.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

76 / 139
El mismo RD señala en su artículo 15: en la sección 2, titulada “ condiciones de expedición,
formato y características de los billetes de entrada ”, “ venta de billetes de entrada ”:
“ 2. Todos los billetes de entrada en recintos deportivos en los que esté instalado un sistema
informatizado de control y gestión de los mismos deberán adaptar su formato y
características a las condiciones técnicas exigibles para su compatibilidad con el sistema
instalado.
3. En los supuestos contemplados en el artículo 13.1 de la Ley 19/2007, de 11 de julio, la
comprobación y seguimiento de la identidad de quienes adquieran entradas o el control de
la distribución de localidades se realizará implantando sistemas de venta de entradas
nominativas y desarrollando procedimientos que permitan supervisar la distribución de
localidades asignadas y conocer la identidad de los poseedores de títulos de acceso a las
instalaciones deportivas.
El tratamiento de los datos obtenidos con arreglo a estos procedimientos se limitará a
proporcionar información sobre quienes accedan o pretendan acceder a los recintos
deportivos, con la finalidad de garantizar el cumplimiento de las prohibiciones existentes y,
en su caso, depurar las responsabilidades a que hubiere lugar.
Los organizadores cancelarán los datos de las personas que hubieran accedido al
espectáculo deportivo cuando concluya el mismo, conservando exclusivamente los datos
necesarios para identificar a quienes pudieran haber realizado conductas prohibidas por la
Ley 19/2007, de 11/07, que sólo podrán ser cedidos a las autoridades u órganos
competentes en materia de seguridad pública .”
Dentro de la misma sección 2 del citado RD, por su parte, el artículo 17 del citado RD,
indica: “ Obligaciones de los espectadores respecto de los billetes de entrada ”:
“ 1. Toda persona que pretenda acceder a un recinto deportivo deberá ser portadora de un
billete de entrada expedido a título individual, de billete múltiple, de abono o de cualquier
otro título que autorice a los interesados a acceder a un espectáculo o a más de uno.
2. Los espectadores han de ocupar las localidades de la clase y lugar que se corresponda
con los billetes de entrada de que sean portadores.
3. Cada espectador está obligado a conservar su billete de entrada hasta su salida del
recinto deportivo, debiendo presentarlo a requerimiento de cualquier empleado o
colaborador del organizador, así como a las Fuerzas y Cuerpos de Seguridad del Estado.
4. Si requerido al efecto un espectador no presentase el billete de entrada, deberá optar por
adquirir uno en la taquilla, abonando su precio si lo hubiera disponible. En caso contrario,
deberá abandonar inmediatamente el recinto deportivo .”
Finalmente, en dicha sección 2, el artículo 20, “ Anverso y reverso de las entradas ”, señala:
“ 2. Las entradas indicarán en su reverso que el recinto deportivo es una zona vídeo vigilada
para la seguridad de los asistentes y participantes en el encuentro, y especificarán las
causas que impiden el acceso al recinto deportivo o la permanencia en el mismo,
incorporando expresamente, como mínimo, las siguientes: …
…
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

77 / 139
“4.Cuando se adopten las medidas de seguimiento y control de la identidad de adquirentes
de entradas y de poseedores de títulos de acceso a los espectáculos deportivos previstos
en el artículo 15.3 del presente reglamento, se insertará en los billetes de entrada
información acerca del tratamiento de los datos de carácter personal derivados de la
adquisición y de su control, así como de los procedimientos a través de los cuales se
verificará dicha identidad .”
2.2. Estatuto de la LNFP.
Según el artículo 1 de los Estatutos Sociales de la LNFP, esta, es una Asociación Deportiva
que a tenor de lo establecido en los artículos 12 y 41 de la Ley 10/1990, de 15/10, del
Deporte, (vigente a fecha de la aprobación del RGLNFP) “ está integrada exclusiva y
obligatoriamente por todas las Sociedades Anónimas Deportivas y Clubes que participan en
competiciones oficiales de fútbol de ámbito estatal y carácter profesional, y a la que
corresponde legalmente la organización de dichas competiciones, en coordinación con la
Real Federación Española de Fútbol .”
“ Tiene personalidad jurídica propia y plena capacidad de obrar para el cumplimiento de sus
fines y goza de autonomía para su organización interna y funcionamiento respecto de la
Real Federación Española de Fútbol de la que forma parte ”
Además, el artículo 4 de sus Estatutos Sociales, indica en cuanto a su duración y carácter,
que “ La Liga se constituye por tiempo indefinido y carece de ánimo de lucro ”
Sus funciones se contienen en el artículo 3 de los Estatutos de la LNFP, de las que se
destacan solo las que pudieran tener relación con la denuncia:
“1 .- Son funciones y competencias propias de La Liga, en virtud de lo establecido en la Ley
del Deporte y sus disposiciones de desarrollo, las siguientes
a) Organizar, en coordinación con la Real Federación Española de Fútbol y de acuerdo con
los criterios que, en garantía exclusiva de los compromisos nacionales o internacionales
pueda establecer el Consejo Superior de Deportes, las competiciones oficiales de fútbol de
carácter profesional y ámbito estatal.
…
2.- Son funciones y competencias de La Liga, las siguientes:
…
“e) Aprobar normas sobre formato, expedición, venta y suministro de localidades de acceso
a estadios deportivos de sus Sociedades y Clubes miembros, así como cualquier otra
cuestión relacionada con el taquillaje.”
…
“l) Determinar las condiciones que deben reunir las instalaciones deportivas de los estadios
para la celebración de las competiciones profesionales, normas de seguridad, control de
accesos, así como cualesquiera otras que pudieran establecerse .”
El artículo 60 de los Estatutos de la LNFP, indica: “obligaciones de los afiliados a LA LIGA”:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

78 / 139
“5.- Cumplir las recomendaciones e instrucciones que, en materia de prevención de la
violencia, dicte la LIGA, al amparo del Título IX de la Ley 10/1990, del Deporte y sus
disposiciones de desarrollo.” (el título IX fue derogado por la disposición derogatoria única
de la Ley 19/2007 de 11/07.)
“ 13.- Tener instalado el control de accesos que indique la LIGA, que deberá ser básicamente
igual para todos sus miembros, facilitando la información que sobre acceso aquélla requiera,
la utilización del taquillaje unificado, su control por la misma y la gestión de venta
informatizada de entradas ”.
Los artículos 41.4. a) y b) de la Ley 10/1990, de 15/10, del Deporte, y 25. a) y b) del Real
Decreto 1835/1991, de 20/12, sobre Federaciones Deportivas Españolas y Registro de
Asociaciones Deportivas establecen que son competencias de las Ligas profesionales,
además de las que pueda delegarles la federación deportiva española correspondiente, las
de (i) organizar sus propias competiciones, en coordinación con la respectiva federación
deportiva española y de acuerdo con los criterios que, en garantía exclusiva de los
compromisos nacionales o internacionales, pueda establecer el Consejo Superior de
Deportes, y (ii) desempeñar, respecto de sus asociados, las funciones de tutela, control y
supervisión.
Así pues, las competiciones oficiales de ámbito estatal y carácter profesional de primera y
segunda división de fútbol, tanto en su organización como en su desarrollo, se regirán por el
marco establecido por la Ley 19/2007, y por las normas que conforman el ordenamiento
jurídico federativo en lo que corresponda, emanadas de la LNFP, dentro del ámbito de sus
competencias.
Los Clubes y SA deportivas, voluntariamente formalizan su inscripción en la competición, lo
cual implica la sujeción obligatoria y especial a los estatutos, reglamentos y normas de
competición válidamente adoptados por los órganos respectivos.
El Reglamento General de la Liga Nacional de Fútbol Profesional (RGLNFP) contiene el
régimen aplicable para los Clubes y SAD afiliados para la venta de abonos y entradas. Dicho
RGLNFP indica, en su preámbulo, que de conformidad con la Ley 19/2007, constituye la
venta de entadas y abono como un elemento PREVENTIVO de especial relevancia para la
lucha contra los comportamientos que promuevan la violencia, el racismo, la xenofobia y la
intolerancia en el fútbol profesional, “estableciendo una serie de condiciones para la venta
de abonos de temporada por parte de los Clubes/SAD afiliados”, con un apartado específico
de condiciones para la venta de abonos en gradas de animación, (artículo XII.2) como
subgénero de la venta de “abonos de temporada” y entradas en su artículo XII.1, Libro XII.
Todo ello, introducido como novedad acordada el 23/12/2015, bajo la vigencia de la Ley
10/1990 de 15/10 del Deporte, en cuyo artículo 41.3, se reseñaba:
“ Los Estatutos y Reglamentos de las Ligas profesionales serán aprobados por el Consejo
Superior de Deportes, previo informe de la Federación deportiva española
correspondiente …”, haciendo notar que la vigente Ley 39/2022 de 30/12 que deroga a la
Ley 10/1990, en su artículo 56.3, indica:
“ Los estatutos de las ligas profesionales, así como los reglamentos disciplinarios, de control
económico a las entidades participantes, electoral, de competición, en el caso de que lo
hubiera, de organización interna, en tanto regule este la composición y el funcionamiento de
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

79 / 139
sus órganos obligatorios, y las modificaciones correspondientes, serán ratificados por el
Consejo Superior de Deportes …”
Como, antecedente de la aprobación del RGLNFP por la Comisión Directiva del C.S.D.,
figura que: “ Tuvo entrada escrito de la LNFP comunicando la aprobación por la Asamblea
General de la LNFP la modificación del RGLNFP y solicitando su aprobación definitiva por la
Comisión Directiva del C.S.D. (se incluía entre la modificación, el nueva régimen del libro XII
venta de abonos y entradas .”
El citado RGLNFP, específica en su artículo XII.1 para la venta de abonos (sin detallar la
parte del estadio, por lo que se entendería aplicable en general a cualquiera) que “ se
realizará mediante la previa y debida identificación de los adquirentes. A tal efecto, el
adquirente deberá suministrar en el momento de adquisición, al menos los siguientes datos
personale s”, de filiación -nombre y apellidos y documento acreditativo de la identidad- y de
contacto, domicilio, teléfono y e mail.
Sin embargo, para la “ grada de animación ”, se constituye un régimen específico,
comenzando por definirlo en su artículo XII.2, cómo:
“ el sector o zona de gradería del recinto deportivo definido como tal por el propio Club/SAD
o de oficio por LA LIGA,-considerando que ni la Ley 19/2007, de 11/07, ni su reglamento de
desarrollo Real Decreto 203/2010, de 26/02, definen la grada de animación- y que cumple
los siguientes requisitos:
-Estar destinado exclusivamente a abonados locales habituales,
-Estar sectorizado, diferenciado del resto del aforo, con accesos preferentemente exclusivos
del sector, zona o graderío, y ,
- Tenga instalado el sistema de acceso mediante reconocimiento biométrico .”
El RGNLFP establece adicionalmente al régimen común de venta de abonos, para los títulos
o documentos de acceso de temporada, de la grada de animación en su artículo XII.2.2, la
conjugación de dos tipos de datos personales que proporcionará el aficionado:
-por un lado: “ junto con los datos significados en el artículo 1 del presente reglamento ”, es
decir, datos de filiación y contacto, (que ya de por si identificarían al adquirente), además,
- se “ requerirá ” “ aquel dato biométrico que se determine, debiendo recabarse el
consentimiento del interesado ”. De modo que “ en el momento de la adquisición del título de
acceso por parte del Club/SAD afiliado, se asociará al aficionado con la filiación facilitada y
el dato biométrico.”( art XII.2.2).
- “ informando de las concretas finalidades para el tratamiento de los referidos datos de
carácter personal, de conformidad con la normativa vigente en materia de protección de
datos de carácter personal ”( art XII.2.2).
-“ El Club/SAD establecerá tanto en el documento de adquisición del título de acceso como
en el reglamento interno que en dichas zonas los espectadores se someterán a todos
aquellos controles de verificación de identidad vigentes en cada momento incluyendo
aquellos relativos a sistemas automáticos de carácter biométrico”( art XII.2.3)
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

80 / 139
-“Únicamente se permitirá el acceso a las gradas de animación a los aficionados que hayan
obtenido el título de acceso a dicha zona, y que, en el momento de la entrada se sometan a
la lectura del dato biométrico ” ( art XII.2.3)
-Como cierre del artículo, (art XII.2.6) se señala:
“ Cualquier otro sistema de acceso a esta zona que no conlleve un reconocimiento
biométrico, tendrá carácter excepcional y puntual y obligará, en su caso, al Club/SAD a
disponer de un procedimiento que permita la identificación de todos aquellos que accedan
fuera del control biométrico. El Club/SAD deberá remitir ese procedimiento, al comienzo de
la entrada en funcionamiento del sistema, a la Dirección de Integridad y Seguridad de La
Liga para su conocimiento y validación ”.
A este respecto, significar que ya el régimen ordinario o generalizado de adquisición de
abonos del artículo XII.11 predica que su adquisición sea, con al menos los datos de filiación
y de contacto, que per se, suponen la “ previa y debida identificación de los adquirentes ”.
Al hilo de las alegaciones de la reclamada que constan en el apartado 3, hecho OCTAVO, de
que la aprobación del RGLNFP no procede de la exclusiva voluntad de la LNFP, las
funciones que ejerce la Liga no proceden de su libre formación de la voluntad, sino de un
acto administrativo, que fue lo que determinó la aprobación del RVAE, y que ejerce por
delegación funciones públicas de carácter administrativo actuando como agente colaborador
de la Adminsitración, y que la LNFP ha sido instada en dos ocasiones al cumplimiento de las
medidas de acceso biométrico en las gradas de animación y sus accesos, se debe indicar:
La cuestión guarda relación con la Sentencia 626/2024 del Tribunal Supremo, recurso de
casación -sala tercera de lo Contencioso administrativo-, sección cuarta, de 15/04/2024, rec.
751/2024, frente a la sentencia de 7/10/2021 dictada por la Sección Sexta de la Sala de lo
Contencioso-Administrativo de la Audiencia Nacional, en el recurso de apelación 20/2020
interpuesto contra la sentencia 53/2020, de 11 de mayo, dictada por el Juzgado Central de lo
Contencioso-Administrativo nº 12, en el recurso contencioso-administrativo 20/2019.
La sentencia en casación trata el tema de la naturaleza jurídica de los reglamentos
federativos, en ese caso de la Real Federación Española de Fútbol, pero por el rango y tipo
de la potestad, y efectos, afecta por similitud a lo cuestionado y planteado por la LNFP sobre
el RGLNFP y relacionado con sus alegaciones.
En sus fundamentos jurídicos séptimo, puntos 5 y 6, se analiza esta naturaleza y se
concluye que no se trata de una norma aprobada por el Consejo Superior de Deportes:
“ 5. Tras lo dicho no hay duda de la naturaleza normativa de los reglamentos federativos
integrando el sistema de fuentes de las Federaciones deportivas (cfr. artículo 2 del Real
Decreto 1835/1991); ahora bien, esa naturaleza normativa no significa que, pese a su
denominación, sean reglamentos en sentido jurídico administrativo, esto es, normas de
rango inferior a la Ley, subordinadas a esta, elaboradas y aprobadas por aquellos órganos
de las Administraciones públicas con potestad reglamentaria. Y la razón también es obvia:
estamos ante reglamentos reguladores de las Federaciones deportivas como entes de
naturaleza privada: no son órganos de la Administración ni forman parte del "sector público"
[artículo 2.2.b) en relación -al menos para la Administración General del Estado- con el
artículo 84.c) a f) de la Ley 40/2015, de 1 de octubre, de régimen Jurídico del Sector
Público].
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

81 / 139
6. Si en lo sustantivo los reglamentos federativos no son reglamentos administrativos o
disposiciones generales de tal naturaleza, procedimentalmente su elaboración y aprobación
no queda sujeta a las reglas de elaboración de disposiciones generales previstas en los
artículos 128 y siguientes de la Ley 39/2015, sino que se elaboran conforme determina cada
Federación deportiva según sus estatutos. Por tanto, teniendo en cuenta la naturaleza
privada de las Federaciones deportivas y su capacidad autonormativa, en relación con la
competencia del C.S.D., la aprobación de los reglamentos federativos responde a un
procedimiento bifásico: una fase interna, jurídico privada, de elaboración y aprobación
federativa, y una fase administrativa en la que el C.S.D., ejerciendo su potestad de tutela,
aprueba no un proyecto, sino el reglamento ya aprobado federativamente. Este matiz es
relevante pues, como diremos más abajo, el C.S.D. no puede enmendar o reelaborar lo que
sí sería un proyecto, sino que su tutela se limita a aprobar o no y, en este caso, devolver el
reglamento a la Federación deportiva.
Mientras que además en el fundamento 7, 10, apartado 3, precisa:
“3.º Para mantener un equilibrio entre la autonomía normativa de las corporaciones -aquí de
las Federaciones deportivas-, y la potestad de tutela administrativa, en esa fase
administrativa la Administración de tutela no puede enmendar el reglamento -aquí
federativo- que se le remite, esto es, no puede elaborar un nuevo texto o modificarlo, sino
sólo negar su aprobación expresando la razón de ello, lo que implica su devolución a la
Corporación autora, aquí, Federación deportiva (cfr. sentencia de 16 de junio de 2003,
recurso contencioso-administrativo 485/2001).”
Los Estatutos y Reglamentos son elaborados porque las Ligas y Federaciones ostentan
capacidad normativa para elaborar sus normas internas, que ejercen bajo la tutela del
C.S.D., art 8.a y 10.2.b de la Ley 10/1990 de 15/10, del Deporte. Así pues, no es rechazable
que el citado RGLNFP exprese la voluntad de la LNFP en aquel momento, con
independencia de que la Liga pueda ejercer por delegación funciones públicas de carácter
administrativo, tasadas e interpretadas en sus estrictos términos, actuando en ese caso
como agente colaborador de la Administración, hecho que la sentencia da por sentado. Ese
ejercicio de funciones delegadas, nada tiene que ver con la delegación de competencias
prevista entre Administraciones Públicas (art 8 LRJSP) que evidentemente no altera su
titularidad como señala la LIGA, solo que tal delegación se da entre órganos administrativos,
y la Liga no lo es, luego no se trata de este tipo de delegación de competencias, sino de
funciones públicas de carácter administrativo en entidades asociativas privadas
En conclusión, la LNFP reglamenta el sistema de venta de abonos y entradas. Establece un
régimen ordinario general de venta de abonos que señala que, en el momento de
adquisición, “ se han de proporcionar, al menos los siguientes datos personales ”, de filiación
-nombre y apellidos y documento acreditativo de la identidad- y de contacto, domicilio,
teléfono y e mail.
2.3. Normativa legal y reglamentaria en materia de antiviolencia
Por otro lado, la normativa legal y reglamentaria en materia de antiviolencia, parte de que se
pueden decidir por la CEVRIXD una serie de medidas adicionales de seguridad del sistema
de emisión y venta de entradas, que entre otras incluyen:
-Permitir controlar la identidad de los adquirentes de las mismas,
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

82 / 139
-Promover sistemas de verificación de la identidad de las personas que traten de acceder a
los recintos deportivos.
-En esos supuestos, se insertará en los billetes de entrada información acerca del
tratamiento de los datos de carácter personal necesarios para proceder a la identificación
del espectador, así como los procedimientos a través de los cuales se verificará dicha
identidad”
-“ Quienes organicen un acontecimiento deportivo, procederán a la cancelación de los datos
de las personas que accedan al espectáculo una vez el mismo haya concluido .”
No figuraba a 23/12/2025, fecha de aprobación del RGLNFP que la CEVRXID hubiera
aprobado medidas adicionales de seguridad referidas en el artículo 13 de la Ley 19/2007
sobre venta de entradas y verificación de identidad para acceso a los estadios de primera y
segunda división, ni específicamente para las gradas de animación. Tampoco que el sistema
tenía que consistir en reconocimiento de datos biométricos para dicho acceder al citado
sector de las gradas de animación. La decisión sobre la venta de abonos para gradas de
animación y el sistema de acceso requerido a la misma, fue aprobada por “ la Asamblea
General Extraordinaria de la LNFP, máximo órgano de gobierno de la LIGA, y expresión de
la voluntad de los asociados ” (artículo 8 de los Estatuto Sociales de la LNFP). Se ha de
considerar que los Clubes y SAD cuentan con un representante EN LA ASAMBLEA, por
cada uno de los equipos inscritos por las citadas SAD o Clubes inscritos en la LIGA (artículo
12 de los Estatutos de la Liga).
Los requisitos de venta de entradas y abonos a las gradas de animación de los estadios de
primera y segunda división vinculan y obligan (se establecen una serie de condiciones para
la venta de abonos, señala el preámbulo del RVAE) a los afiliados a la LIGA, Clubes y SAD.
El cumplimiento de las disposiciones previstas en el reglamento interno de la LNFP, así
como de la normativa por la que se rige la LNFP y de las recomendaciones/indicaciones que
le realicen otros Organismos e Instituciones Públicas como la CEVRXID para el
cumplimiento de las funciones que éstos tienen encomendadas ha de partir del hecho obvio
de que cuando la LNFP y sus Clubes de fútbol y sociedades anónimas deportivas actúen
como responsables del tratamiento deberán compatibilizar el cumplimiento de esta
normativa con el cumplimiento de la normativa vigente en materia de protección de datos de
carácter personal.
En definitiva, el cumplimiento de los reglamentos que se le aplican a la entidad – que
carecen de rango de Ley, a diferencia de la norma que regula el derecho fundamental a la
protección de datos -Reglamento europeo de directa aplicación y una Ley de naturaleza
Orgánica- no puede conllevar el incumplimiento de otras normas.
Carece de toda lógica que se argumente de contrario que, para el cumplimiento de unas
normas, haya de incumplir otras. Máxime cuando es posible alcanzar un adecuado equilibrio
y garantizar que, a la vez que se cumple el objetivo de garantizar la seguridad en los
estadios de fútbol y evitar la comisión de actos violentos, se salvaguarde el derecho
fundamental a la protección de datos, especialmente si se trata de un tratamiento que pueda
entrañar alto riesgo
En conclusión, la obligación de implantar métodos biométricos para las gradas de animación
se impone única y exclusivamente por el RGLNFP, que como decimos es una norma
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

83 / 139
federativa interna, de la que es responsable único la LNFP, y no el Consejo Superior de
Deportes.
III Definición de datos de carácter personal y de datos biométricos
3.1. Datos personales
En el RVAE figura que para la venta de abonos y entradas se precisan una serie de datos
que van a ser tratados relacionados con evitar los actos que la Ley 19/2007 contempla.
Expresamente establece el RGLNFP un régimen objeto de tratamiento de datos de carácter
personal en la venta de abonos de temporada, con unos datos de filiación y contacto. Otras
condiciones para la venta de abonos diferentes son establecidas para la venta de títulos o
documentos de acceso de temporada o media temporada en las gradas de animación. Estas
otras condiciones en lo que puedan tener que ver con tratamiento de datos personales,
serían:
-Junto con los datos referidos en la adquisición de abono de temporada (datos de filiación, y
de contacto), además,
-“ Requerirá que el aficionado facilite aquel dato biométrico que se determine”, debiendo
recabarse el consentimiento del interesado
- En el momento de la adquisición del título de acceso, por parte del Club/SAD afiliado, se
asociará al aficionado con la filiación facilitada y el dato biométrico ”.
- Estos títulos serán personales e intransferibles
-Se denegará el acceso en el caso de que la persona no aporte, si es requerido para ello,
junto con el dato biométrico, un documento acreditativo de su identidad que coincida con la
filiación asociada al dato biométrico y al título de acceso.
Además, en el punto 6 del artículo XII.2, se indica:
“Cualquier otro sistema de acceso a esta zona que no conlleve un reconocimiento
biométrico, tendrá carácter excepcional y puntual y obligará, en su caso, al Club/SAD a
disponer de un procedimiento que permita la identificación de todos aquellos que accedan
fuera del control biométrico. El Club/SAD deberá remitir dicho procedimiento, al comienzo de
la entrada en funcionamiento del sistema, a la Dirección de Integridad y Seguridad de la
LIGA para su conocimiento y validación”
Según ha reconocido la LIGA, el sistema alternativo ofrecido por los Clubes al biométrico ha
sido el escáner o el escáner de mano que efectúa lectura de códigos de barras en entradas
electrónicas
A tenor del artículo 4, del RGPD, titulado “ Definiciones ”, se comprende:
“A efectos del presente Reglamento se entenderá por:
“ 1) “datos personales”: toda información sobre una persona física identificada o identificable
(“el interesado”); […]».se considerará persona física identificable toda persona cuya
identidad pueda determinarse, directa o indirectamente, en particular mediante un
identificador, como por ejemplo un nombre, un número de identificación, datos de
localización, un identificador en línea o uno o varios elementos propios de la identidad física,
fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

84 / 139
2) «tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos
personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no,
como la recogida, registro, organización, estructuración, conservación, adaptación o
modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o
cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o
destrucción ;
Los datos biométricos como especie dentro de los datos personales se definen en el artículo
4.14 del RGPD, que señala:
“datos biométricos»: datos personales obtenidos a partir de un tratamiento técnico
específico, relativos a las características físicas, fisiológicas o conductuales de una persona
física que permitan o confirmen la identificación única de dicha persona, como imágenes
faciales o datos dactiloscópicos;”
Los tratamientos que incluyen operaciones con datos biométricos se pueden emplear con
muchas finalidades: prueba de vida, accesos a áreas de infraestructura crítica, seguridad,
control de presencia.
El ámbito de aplicación del RGPD extiende su protección, tal y como establece su artículo
1.2, a los derechos y libertades fundamentales de las personas físicas y, en particular, su
derecho a la protección de los datos personales, definidos en su artículo 4.1 del RGPD.
como “ toda información sobre una persona física identificada o identificable («el
interesado»); se considerará persona física identificable toda persona cuya identidad pueda
determinarse, directa o indirectamente, en particular mediante un identificador, como por
ejemplo un nombre, un número de identificación, datos de localización, un identificador en
línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica,
económica, cultural o social de dicha persona .”
La protección de las personas físicas en relación con el tratamiento de datos personales es
un derecho fundamental protegido por el artículo 18.4 de la Constitución española.
El Tribunal Constitucional señaló en su Sentencia 94/1998, de 4/05, que nos encontramos
ante un derecho fundamental a la protección de datos por el que se garantiza a la persona el
control sobre sus datos, cualesquiera datos personales, y sobre su uso y destino, para evitar
el tráfico ilícito de los mismos o lesivo para la dignidad y los derechos de los afectados.
3.2. Datos biométricos
Los datos biométricos cambian irrevocablemente la relación entre el cuerpo y la identidad,
ya que hacen que las características del cuerpo humano sean legibles mediante máquinas y
estén sujetas a un uso posterior.
Además, los sistemas biométricos están estrechamente vinculados a una persona, dado que
utilizan una determinada propiedad única de un individuo para su identificación. Por ejemplo,
cada individuo tiene impresiones dactilares únicas que muestran características específicas
que pueden medirse para decidir si una impresión dactilar corresponde con una muestra
registrada.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

85 / 139
Los datos biométricos presentan la particularidad de ser producidos por el propio cuerpo y lo
caracterizan definitivamente, son datos, no sobre esa persona, sino que los datos refieren a
la misma persona, en principio no modificables por voluntad del individuo. Además, debido a
que los datos biométricos son propios de una persona y perpetuos, en el caso de que el
usuario accediera a varios sistemas biométricos implantados por diferentes responsables
con diferentes fines, el usuario tendría que utilizar los mismos datos, que estarían accesibles
en diferentes sistemas y por parte de diferentes responsables.
Como ya señaló el Dictamen 4/2007 del Grupo de Trabajo del artículo 29 (ART. 29 de la
Directiva 95/46 CE, como organismo de la UE, de carácter consultivo e independiente),
sobre el concepto de datos personales (WP136), de 20/06/2007, los datos biométricos
pueden definirse como:
“… propiedades biológicas, características fisiológicas, rasgos de la personalidad o tics, que
son, al mismo tiempo, atribuibles a una sola persona y mensurables, incluso si los modelos
utilizados en la práctica para medirlos técnicamente implican un cierto grado de
probabilidad. Ejemplos típicos de datos biométricos son los que proporcionan las huellas
dactilares, los modelos retinales, la estructura facial, las voces, pero también la geometría
de la mano, las estructuras venosas e incluso determinada habilidad profundamente
arraigada u otra característica del comportamiento (como la caligrafía, las pulsaciones, una
manera particular de caminar o de hablar, etc.). Una particularidad de los datos biométricos
es que se les puede considerar tanto como contenido de la información sobre una
determinada persona (Fulano tiene estas huellas dactilares) como un elemento para vincular
una información a una determinada persona (este objeto lo ha tocado alguien que tiene
estas huellas dactilares y estas huellas dactilares corresponden a Fulano; por lo tanto,
Fulano ha tocado este objeto). Como tales, pueden servir de «identificadores». En efecto, al
corresponder a una única persona, los datos biométricos pueden utilizarse para identificar a
esa persona. Este carácter dual también se da en el caso de los datos sobre el ADN, que
proporcionan información sobre el cuerpo humano y permiten la identificación inequívoca de
una, y sólo una, persona.”
Hay que considerar que los datos biométricos pueden tratarse y almacenarse de diferentes
formas. A veces, la información biométrica capturada de una persona se almacena y se trata
en bruto, lo que permite reconocer la fuente de la que procede sin conocimientos especiales;
por ejemplo, la fotografía de una cara, la fotografía de una huella dactilar o una grabación de
voz. Otras veces, la información biométrica bruta capturada es tratada de manera que solo
se extraen ciertas características o rasgos y se guardan como una plantilla biométrica.
Mientras que los métodos tradicionales de autenticación como las contraseñas requieren
una coincidencia del 100% de carácter por carácter para permitir que el usuario acceda por
ejemplo a una cuenta o aplicación (métodos deterministas), los métodos de biometría se
denominan “ probabilísticos ”, porque son tecnologías probabilísticas que pueden reconocer
automáticamente a las personas por su rostro o por su huella para autenticarlas o
identificarlas. Tanto en el sistema de identificación como de autenticación biométrica, las
técnicas de reconocimiento facial utilizadas se basan en una concordancia estimada entre
plantillas: la que se compara y la(s) de referencia previamente registrada. Desde este punto
de vista, son técnicas probabilísticas: la comparación deduce una probabilidad mayor o
menor de que la persona sea efectivamente quien se ha de autenticar o identificar; si esta
probabilidad supera un determinado umbral en el sistema, definido por su usuario o su
desarrollador, el sistema entenderá que existe una coincidencia.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

86 / 139
Un sistema biométrico trabaja con los datos biométricos obtenidos de una persona, a partir
de los cuales un algoritmo selecciona características para crear una plantilla biométrica. A
continuación, el sistema coteja la identidad de la persona con la base de datos biométrica.
Puede hacerlo en un segundo, mientras compara cientos de millones de datos biométricos
en la base de datos.
Podemos medir el rendimiento de un sistema biométrico a partir de tres características
principales. Estas son: tasa de falsos rechazos (FRR), tasa de falsas aceptaciones (FAR)
y tasa de errores iguales (ERR). La tasa de falsos rechazos representa la probabilidad de
errores de detección por parte de un sistema biométrico, lo que significa que no puede
reconocer a un usuario cuyas características biométricas ya están en la base de datos. En
caso de rechazo, la persona debe verificar su identidad de nuevo. Desde una perspectiva de
seguridad y protección, esta tasa no significa que sea necesariamente un resultado
negativo.
La tasa de falsas aceptaciones es la probabilidad de que un sistema falle y coincida con las
características biométricas de una persona con una plantilla incorrecta, y le dé permiso para
acceder. Esto puede suponer una amenaza potencial, ya que el sistema otorga permiso a
una persona no autorizada para acceder a una cuenta, instalación, etc.
La tasa de errores iguales es un indicador esencial según el cual un sistema acepta o
rechaza entradas biométricas. Esta tasa es el valor de igualdad entre FRR y FAR y
representa el número ideal de errores de los dos.
Cada sistema biométrico, ya sea lectura de cara, de huella dactilar, huella palmar, iris, etc.,
tiene diferentes valores para diferentes tasas en función de las cuales un sistema rechaza o
acepta las entradas. Los datos biométricos presentan la particularidad de ser producidos por
el propio cuerpo y lo caracterizan definitivamente. Por lo tanto, son únicos, permanentes o
definitivos en el tiempo y la persona no puede liberarse de ellos, no se pueden cambiar
nunca, ni con la edad, creando cuestiones de responsabilidad en caso de compromiso-
pérdida o intrusión en el sistema. A diferencia de una contraseña, en caso de pérdida no se
pueden cambiar.
La definición de dato biométrico alude a “ tratamiento técnico ”, sin especificar, excepto para
reseñar que el propósito de dicho tratamiento debe ser identificar a una persona.
Para considerarse datos biométricos en el sentido del RGPD, el tratamiento de datos sin
procesar, como las características físicas, fisiológicas o conductuales de una persona física
deben implicar una medición de dichas características. Así pues, del concepto, no hay que
perder de vista:
-La naturaleza de los datos: datos relativos a las características físicas, fisiológicas o
conductuales de una persona física;
- Los medios y las formas de tratamiento: datos “ obtenidos a partir de un tratamiento técnico
específico” ; lo que las diferencia por ejemplo de las imágenes de una persona que figuran
en un sistema de videovigilancia, que no pueden considerarse datos biométricos si no se
han tratado técnicamente de una forma específica con el fin de contribuir a la identificación
única de esa persona.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

87 / 139
- La finalidad del tratamiento: los datos se deben utilizar para la finalidad de identificar de
manera unívoca a una persona física. Técnicamente, la plantilla biométrica contra la que se
coteja la muestra biométrica es el producto de una medición que identifica unívoca y
únicamente al individuo. Esto es lo que por ejemplo diferencia las imágenes visionadas de
una videocámara que no pueden ser consideradas dato biométrico bajo la definición del
artículo 9 del RGPD, si no son específicamente tratadas con un medio técnico para
contribuir a la identificación de una persona.
Las características biométricas se someten a un tratamiento técnico mediante el cual se
reconoce a una persona a partir de una imagen o fotografía, que incluye para su puesta en
práctica de un proceso que se contiene en todos los tratamientos de datos biométricos: su
captura o registro de datos con su siguiente almacenamiento o procesamiento y la fase de
comparación o correspondencia.
Los datos biométricos, calificados como de “ categoría especial ”, en el artículo 9 del RGPD,
tanto del RGPD, como de la LOPDGDD, son datos personales de cuyo uso pueden
desprenderse riesgos significativos para los derechos y las libertades fundamentales, y por
ello, en principio su tratamiento está prohibido en el artículo 9.1 del RGPD, que indica:
“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial,
las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el
tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a
una persona física, datos relativos a la salud o datos relativos a la vida sexual o la
orientación sexual de una persona física.”
Esta catalogación de categoría especial de datos para su tratamiento desde la fecha de
entrada en vigor del RGPD, no obsta a que desde mucho antes, la preocupación, la
significación y puesta de relevancia de los altos riesgos en su tratamiento se plasmara por
ejemplo, en dictámenes o directrices que aseguran su carácter de tal, y cuya cualificación
´de especial afectación a los derechos y libertades fundamentales no ha decaído hasta la
fecha, estando su tratamiento sujeto al cumplimiento de requisitos combinados tanto de
legitimación como de obligaciones de cumplimiento que garantizan tal tratamiento. Por citar
algunas consideraciones sobre el citado alto riesgo, se reproducen algunas menciones:
-Documento de trabajo sobre biometría de 1/08/2023, del GT 29, por citar solo algunas
referencias:
-“3.2 Principios de fines y proporcionalidad” Hace falta evaluar el cumplimiento de la
proporcionalidad y de la legitimidad, teniendo en cuenta los riesgos para la protección de los
derechos y libertades fundamentales de las personas y especialmente si los fines
perseguidos pueden alcanzarse o no de una manera menos intrusiva .”
-Refiriéndose al modo intrínseco de tratamiento, también señala los mecanismos que
generan menos riesgos, “ sería preferible no almacenar la biometría en una base de datos
sino más bien sólo en un objeto disponible exclusivamente para el usuario, como una tarjeta
con microchip, un teléfono móvil o una tarjeta bancaria ”, o el almacenamiento de la plantilla
en una base de datos centralizada o en un terminal, o la reutilización de datos biométricos
“ 3.6 Los errores que se producen dentro de los sistemas biométricos pueden tener graves
consecuencias para la persona y, en particular, la denegación errónea a personas
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

88 / 139
autorizadas y la aceptación errónea de personas no autorizadas pueden provocar serios
problemas a muy diferentes niveles. A priori, el uso de datos biométricos debería reducir el
riesgo de ese tipo de errores. Sin embargo, también puede crear la ilusión de que la
identificación o autenticación/comprobación del interesado siempre es correcta2
- Dictamen 3/2012, sobre la evolución de las tecnologías biométricas, adoptado el
27/04/2012,
“ 3 Un requisito previo para la utilización de datos biométricos es una definición clara de los
fines para los que se recaben y traten los datos biométricos, teniendo en cuenta los riesgos
para la protección de los derechos y libertades fundamentales de las personas .
“ Proporcionalidad: El Grupo de Trabajo advierte de los riesgos que conlleva la utilización de
datos biométricos para fines de identificación en grandes bases de datos centralizadas,
dadas las consecuencias potencialmente perjudiciales parar las personas afectadas
“ 3.1.4 Como norma general, el uso de la biometría para las exigencias generales de
seguridad de los bienes y las personas no puede considerarse un interés legítimo que
prevalezca sobre los intereses o los derechos y libertades fundamentales del interesado.
Por el contrario, el tratamiento de datos biométricos solo puede justificarse como un
instrumento necesario para asegurar los bienes o las personas cuando se disponga de
pruebas, sobre la base de las circunstancias objetivas y documentadas, de la existencia de
un riesgo considerable. Para ello, el responsable del tratamiento deberá probar que
determinadas circunstancias plantean un riesgo considerable específico, que deberá evaluar
con especial cuidado. Con el fin de cumplir con el principio de proporcionalidad, el
responsable del tratamiento, ante estas situaciones de alto riesgo, deberá verificar si
posibles medidas alternativas podrían ser igualmente eficaces, pero menos intrusivas en
relación con los objetivos perseguidos, y optar por tales alternativas. La existencia de las
circunstancias en cuestión también deberá revisarse periódicamente. Sobre la base de esta
revisión, las operaciones de tratamiento de datos que no se justifiquen deberán concluirse o
suspenderse .
Catalogación como de alto riesgo, que ha continuado descrita también entre otros, en:
-Directrices 5/2022, sobre el uso de la tecnología de reconocimiento facial en el ámbito de la
aplicación de la Ley, adoptado el 26/04/2023.
- Dictamen 11/2014, sobre el uso de reconocimiento facial para racionalizar el flujo de
pasajeros en aeropuertos, adoptado el 23/05/2024.
Las circunstancias que levantarían la prohibición del tratamiento de estos datos se contienen
en el apartado 2 del artículo 9 del RGPD:
Entre las que figuran el “ consentimiento explícito con uno o más de los fines especificados ”,
y otros supuestos.
Pero tratándose de datos biométricos, además de hallar una causa de aplicación al
supuesto para levantar la prohibición sobre su tratamiento, la que se cita para la grada de
animación de los estados de primera y segunda división, la del artículo 9.2.a) del RGPD,
debe sujetarse además a:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

89 / 139
-los principios de legitimación concretados en una de las bases jurídicas legitimadoras del
tratamiento contenidas en el artículo 6.1 del RGPD, que también parte de la declarada
excepción que supone el tratamiento de datos, al señalar que “ 1. El tratamiento solo será
lícito si se cumple al menos una de las siguientes condiciones”, entendiendo que se parte de
la base de que cualquier tratamiento de esos datos personales restringe derechos de su
titular por el mero hecho de sufrir dicho tratamiento, momento a partir del cual, cada vez que
se ejecuta una operación de tratamiento, va a afectar a su derecho a la protección de datos.
-los principios del propio tratamiento que figuran en el artículo 5 del RGPD.
Todo este tratamiento, teniendo en cuenta el considerando 39 del RGPD que señala que
unos datos que no son necesarios para cumplir con la finalidad del tratamiento no deben ser
tratados: “…Los datos personales solo deben tratarse si la finalidad del tratamiento no
pudiera lograrse razonablemente por otros medios…”
Resultado de ello, será además que la legitimación debe ir acompañada del cumplimiento de
los principios de protección de datos, siendo uno, el de min imización que establece en el art.
5 apartado 1 letra c, indicando que los datos serán:
“adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son
tratados («minimización de datos”.
Los datos que se traten han de ser limitados a lo necesario para conseguir los fines del
tratamiento, teniendo en cuenta que en el caso que nos ocupa, la finalidad del tratamiento
de accesos a las gradas de animación de los estadios no debe ser tratar datos biométricos.
3.3. Sistema biométrico de la LNFP
El sistema biométrico que instaura la LNFP relaciona la venta de entradas y abonos en
primer lugar con los datos que se solicitan para su adquisición, y en segundo, en cuanto a
las gradas de animación, con la forma de acceso al estadio que será utilizando un sistema
biométrico con base a la obtención del consentimiento. Esta forma de acceso vincula un
abono de un aficionado, abono cuya expedición ha de ser nominativo según los datos
básicos de filiación que refleja el RGLNFP (art XII.1) con, en este caso, además, por ser el
acceso a las gradas de animación de los estadios de fútbol de primera y segunda división,
sistema biométrico que se establezca, (art. XII.2), con el añadido de “debiendo recabarse el
consentimiento informado del interesado” (base legitimadora), si bien en él párrafo final 6 del
artículo XII.2 “ condiciones para la venta de abonos en gradas de animación ”, se subraya que
“ Cualquier otro sistema de acceso a esta zona que no conlleve un reconocimiento
biométrico, tendrá carácter excepcional y puntual y obligará, en su caso, al Club/SAD a
disponer de un procedimiento que permita la identificación de todos aquellos que accedan
fuera del control biométrico. El Club/SAD deberá remitir dicho procedimiento, al comienzo de
la entrada en funcionamiento del sistema, a la Dirección de Integridad y Seguridad de la
LIGA para su conocimiento y validación .”
Todo sistema biométrico para poder ser utilizado, captura, registra, inscribe y almacena una
serie de parámetros biométricos para conseguir a través de ese procesamiento identificar o
verificar a la persona cada vez que utilice el sistema preestablecido, en este caso acceda
por los puntos de acceso asignados a las gradas de animación.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

90 / 139
Ha de recordarse, que la regla general de los accesos de los abonados a los estadios de
fútbol en primera y segunda división, según el RGLNFP que no acceden por estas gradas de
animación, lo harán con abonos que también son nominativos, pero a diferencia de los de
las gradas de animación, no se les exige por dicho RGLNFP que para franquear los accesos
se sometan a ningún sistema biométrico de identificación de sus identidades. Según el
preámbulo del citado Libro XII, eso se hace, como un elemento preventivo de especial
relevancia para la lucha contra los comportamientos que promuevan la violencia, el racismo,
la xenofobia y la intolerancia en el fútbol profesional.
La plantilla biométrica que proporciona un valor único es indicativa de que la imagen del
dato biométrico ha sido procesada siguiendo un procedimiento técnico, y el resultado de ese
proceso se almacena listo para su utilización. Esta plantilla registra numéricamente las
características físicas que permiten diferenciar personas. En el espacio del lector del dato, el
software del dispositivo compara el patrón ofrecido cuando se le presenta, con el
almacenado, en orden a franquear el acceso al estadio, en este caso a la grada de
animación. En este caso, la mayoría de los sistemas establecidos en primera y segunda
división en las gradas de animación en la estructura que diseña el RGLNFP, responden,
según información proporcionada por la LNFP al uso del reconocimiento mediante huella
dactilar. En ese sistema se tratan por los Clubs/SAD que decidieron implantar el sistema,
todos los datos biométricos recabados de los abonados que hubieran aceptado el uso del
sistema mediante consentimiento explícito para el acceso a las gradas de animación.
Como se deduce de la información de la Sociedad Española de Fútbol Profesional Sociedad
Anónima-SEFPSA- (entidad participada por La LIGA, encargada de realizar las tareas de
mantenimiento de las infraestructuras de los Clubes que la Ley del Deporte le encomienda a
La Liga) la SEFPSA, proporcionaba a los Clubes y SAD, (software y hardware) que
decidieran instaurar el sistema y acudir a contratarlo con dicha entidad.
3.4. Conclusión.
Como conclusión, se ha de indicar que la LNFP instaura a través de una norma federativa
obligatoria para Clubes y SAD, como es su RGLNFP, un régimen ordinario de venta de
entradas con el abono nominativo que contiene datos básicos para su expedición (filiación y
contacto), accediendo con su mera presentación en los tornos de acceso por el escáner de
acceso, o si se lleva en electrónico, con el escáner de mano. Adicionalmente a dichos datos,
para la venta de entradas destinadas a los abonados que accedan a las gradas de
animación, los usuarios, han de proporcionar además de los datos de los abonos ordinarios,
o de temporada, los datos biométricos “ que se establezcan ”, con base en el consentimiento
que se utilizan en el momento de los accesos a dichas gradas. Estos datos biométricos,
además de ser registrados en los sistemas que los Clubs adquirieron a la filial de la LIGA,
SEFPSA, la mayoría de ellos utilizando la huella dactilar, son relacionados con “ la afiliación
facilitada ”. Además, el tratamiento interno de los datos ha utilizado bases de datos
centralizadas en los Clubes, que se podrían conservar como mínimo durante toda la
temporada, si no más, para futuras temporadas, elementos que contribuyen a incrementar
los riesgos. Dichos datos biométricos son datos de categoría especial porque identifican de
manera univoca en este caso a los abonados de esas gradas de animación. El tratamiento
de dichos datos que se inició en la práctica ya en la temporada 2015/2016, se ha venido
desarrollando y añadiendo por más Clubes a lo largo de las temporadas, y se ha recordar la
prohibición de tratamiento de este tipo de datos prescrita en el artículo 9.1 del RGPD desde
su entrada en vigor.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

91 / 139
Para el tratamiento de dichos datos, debe en primer lugar efectuarse un análisis de si las
finalidades propuestas son susceptibles de obtenerse sin el tratamiento de datos personales
biométricos, a través de una valoración de la idoneidad, necesidad y proporcionalidad de las
operaciones de tratamiento en relación con su finalidad. Habida cuenta que la entrada en
vigor del RGPD afecta al sistema de tratamiento y al modelo de cumplimiento de las
obligaciones contenidas en el mismo, habiendo cambiado significativamente las
obligaciones del responsable del tratamiento y el enfoque respecto de la normativa anterior,
debiéndose resaltar la incidencia de la responsabilidad proactiva, del enfoque en los riesgos
en los derechos y libertades de los interesados derivados del tratamiento de estos datos
personales, además de que conforme al RGPD está prohibido su tratamiento a salvo de la
concurrencia de una excepción de las previstas en dicho texto legal, con especiales
requisitos para su tratamiento que se examinarán en los siguientes fundamentos.
IV Responsable del tratamiento
El concepto de responsable de tratamiento de datos personales se define en el artículo 4.7
del RGPD que indica como tal:
“ la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto
con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los
Estados miembros determina los fines y medios del tratamiento, el responsable del
tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho
de la Unión o de los Estados miembros ;”
El concepto de “ responsable del tratamiento ” tiene una importancia fundamental en la
aplicación del RGPD, puesto que determina quién responde del cumplimiento de los
principios establecidos en el artículo 5 apartado 1 del RGPD y deberá ser capaz de
demostrar el cumplimiento de dichos principios, adoptando medidas oportunas y eficaces
para poder demostrar la conformidad de las actividades del tratamiento con el RGPD. El
principio de responsabilidad proactiva se desarrolla en el artículo 24 del RGPD, donde se
establece que el responsable del tratamiento aplicará medidas técnicas y organizativas
apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el
RGPD. Dichas medidas se revisarán y actualizarán cuando sea necesario.
Puesto que el objetivo último de la atribución de la función de responsable del tratamiento es
una protección eficaz e integral de los datos personales, mediante el concepto de
“ responsable ”, debería interpretarse de un modo suficientemente amplio, de manera que
promueva, en la medida de lo posible, una protección eficaz y completa de los interesados,
con el fin de garantizar la plena eficacia en materia de protección de datos, evitar lagunas y
prevenir las posibles elusiones de la normativa, sin que todo ello suponga una merma de las
atribuciones del encargado del tratamiento (véanse en este sentido las sentencias de
29/07/2019, Fashion ID, C - 40/17, apartado 66, y de 28/04/2022, Meta Platforms Ireland,
C - 319/20, apartado 73 y jurisprudencia citada).
El responsable del tratamiento o responsable es el que decide determinados aspectos
esenciales del tratamiento de datos, y puede establecerse en la normativa aplicable o
deducirse de un análisis de los hechos o las circunstancias del caso. El responsable del
tratamiento determina los fines y los medios del tratamiento, esto es, por qué y el cómo del
tratamiento, si bien para ser considerado responsable del tratamiento, no es necesario
disponer de un acceso real a los datos que se estén tratando.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

92 / 139
Al definir el artículo 4, punto 2, del RGPD el tratamiento de datos personales como
“ cualquier operación o conjunto de operaciones realizadas sobre datos personales o
conjuntos de datos personales ”, el concepto de responsable del tratamiento puede estar
ligado a una única operación de tratamiento o a un conjunto de operaciones. Esto puede
significar en la práctica que el control ejercido por un ente concreto puede abarcar la
totalidad del tratamiento en cuestión, pero también puede circunscribirse a una fase
concreta del tratamiento. En todo caso, responsable del tratamiento es un concepto
funcional que exige examinar, en cada caso concreto, quién determina fines y medios en
relación con determinadas operaciones de tratamiento.
El considerando 74 del RGPD señala: “ Debe quedar establecida la responsabilidad del
responsable del tratamiento por cualquier tratamiento de datos personales realizado por él
mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas
oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de
tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas
deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así
como el riesgo para los derechos y libertades de las personas físicas .”
Hacer notar, que se ha de partir de que la LNFP, es una Asociación deportiva de carácter
privado que, a tenor de lo establecido en el artículo 56 de la Ley 39/2022, de 30/12 del
Deporte, está integrada exclusiva y obligatoriamente por todas las sociedades anónimas
deportivas y Clubes de Primera y Segunda División que participan en las competiciones
futbolísticas masculinas oficiales de carácter profesional y ámbito estatal.
Se rige por la mencionada Ley 39/2022, de 30 de diciembre, del deporte, el Real Decreto
1835/1991, de 20/12, sobre Federaciones Deportivas Españolas, y por sus Estatutos y
reglamentos sociales.
LALIGA tiene personalidad jurídica propia y goza de autonomía, para su organización
interna y funcionamiento, respecto de la Real Federación Española de Fútbol (“RFEF”).
La LNFP desempeña, respecto de sus asociados, (Clubes y SAD) “ las funciones de tutela,
control y supervisión, establecidas en la vigente Ley del Deporte y sus disposiciones de
desarrollo, así como cualquier otra que se establezca mediante acuerdo suscrito entre la
LIGA y sus asociados .”(art 3.b) de los Estatutos de la Liga).

Asimismo, esos asociados se hallan presentes en la ASAMBLEA, máximo órgano de
Gobierno de la LIGA y expresión de la voluntad de los asociados (artículo 8 de los Estatuto
Sociales de la LNFP). cuyos acuerdos adoptados serán inmediatamente ejecutivos y de
obligado cumplimiento para todos los asociados. (art 7). Se ha de considerar que los Clubes
y SAD cuentan con un representante EN LA ASAMBLEA, por cada uno de los equipos
inscritos por las citadas SAD o Clubes inscritos en la LIGA (artículo 12 de los Estatutos de la
Liga).
También se prevé en el artículo 3.2.e) de los Estatutos, ” funciones y competencia de la
LIGA …”
e) Aprobar normas sobre formato, expedición, venta y suministro de localidades de acceso a
estadios deportivos de sus Sociedades y Clubes miembros, así como cualquier otra cuestión
relacionada con el taquillaje.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

93 / 139
Y a pesar de que la LNFP señala que no dispone de norma alguna, refiere específicamente
la LD 2022 o la precedente Ley 10/1990, que le atribuya las funciones de control de acceso
a los estadios, se debe indicar que además de lo señalado, de lo que ya se infiere cierta
competencia en tales funciones, se ha de añadir:
-En el desarrollo del contenido del preámbulo de la redacción del RVAE, se indica de forma
expresa:
-Del preámbulo “ I.- Entre los objetivos principales de la LIGA, se encuentra el de mantener
una política de tolerancia cero contra cualquier acto violento, racista, xenófobo o intolerante
en el fútbol profesional español y, para ello, ostenta diferentes competencias materiales en
relación con la prevención de dichas actuaciones que le ha encomendado el legislador
deportivo estatal.
En el marco de las referidas competencias, el artículo 3.2 l) de los Estatutos Sociales de la
LIGA, establece la relativa a determinar las condiciones que deben reunir las instalaciones
deportivas de los estadios para la celebración de las competiciones profesionales, así como
las normas de seguridad y de control de accesos que pudieran establecerse .”
En tal sentido, el apartado II del preámbulo la Liga evidencia que una política gestión
adecuada de venta de abonos y entradas en cualquiera de sus modalidades, se constituye
como un elemento preventivo para la lucha contra comportamientos que promuevan la
violencia, el racismo, la xenofobia y la intolerancia en el fútbol profesional. Incluso expresa
que el Reglamento tiene, “ como objetivos principales :
-por un lado, establecer criterios uniformes en la venta de entradas y abonos para todos los
Clubes/SAD afiliados, constituyéndose cómo un elemento relevante en la prevención de
dichos comportamientos y,
-por otro lado, elevar los niveles de seguridad de todos los aficionados y participantes en los
partidos de las competiciones futbolísticas profesionales organizados por esta Asociación
deportiva .”
“ III.- El Reglamento ha sido elaborado de conformidad con el marco jurídico establecido por
la Ley 19/2007, de 11 de julio, debiendo ser adaptado a la situación de cada Club/SAD
mediante los correspondientes reglamentos internos que, en ningún caso, contravendrán el
mencionado régimen jurídico estatal y estatutario y reglamentario de la LIGA.
IV.- De esta forma, en el Reglamento se establecen toda una serie de condiciones para la
venta de abonos de temporada, por parte de los Clubes/SAD afiliados, realizando una
especial referencia a aquellos abonos ubicados en las denominadas gradas de animación,
debido a sus características especiales arquitectónicas y a los espectadores que las ocupan
(espectadores de temporada).·
Los conceptos de responsable y encargado del tratamiento se desarrollan en las Directrices
07/2020 del Comité Europeo de Protección de Datos sobre los conceptos de “ responsable
del tratamiento y encargado del tratamiento» en el RGPD ”.
En cuanto a lo que nos interesa, vamos a examinar tres elementos de la definición de
responsable del tratamiento
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

94 / 139
Así indicaremos sobre el concepto “ determinar ” que las Directrices 7/2020 establecen que,
“ 20. El segundo componente del concepto de «responsable del tratamiento» hace
referencia a su influencia en el tratamiento en virtud del ejercicio del poder de decisión. El
responsable del tratamiento es quien decide determinados aspectos esenciales del
tratamiento de los datos. La responsabilidad del tratamiento puede establecerse en la
normativa o deducirse de un análisis de los hechos o las circunstancias del caso. Es
necesario dirigir la atención a las actividades de tratamiento concretas de que se trate y
comprender quién las determina. Para ello, primero deben examinarse las siguientes
cuestiones: «¿por qué tiene lugar el tratamiento?» y «¿quién ha decidido que debe llevarse
a cabo el tratamiento para un fin concreto?».
…
27. En la práctica, determinadas actividades de tratamiento pueden considerarse
vinculadas por su naturaleza a la función o las actividades de un ente, lo que, en última
instancia, también conlleva responsabilidades desde el punto de vista de la protección de
datos. Esto puede tener como base unas disposiciones legales más generales o una
práctica jurídica consolidada en distintos ámbitos (Derecho civil, mercantil, laboral, etc .).”
…
28. En muchas ocasiones, el examen de las cláusulas contractuales entre las
distintas partes involucradas puede ayudar a determinar qué parte o partes actúan como
responsables del tratamiento. Aun cuando el contrato no estipule quién es el responsable
del tratamiento, puede contener elementos suficientes para inferir quién tiene el poder de
decisión en relación con los fines y medios del tratamiento.
…
29. Si una parte decide en la práctica cómo y por qué se tratan los datos personales,
dicha parte será el responsable del tratamiento, aunque el contrato estipule que se trata del
encargado .
…
30. Siguiendo la línea del enfoque basado en los hechos, la palabra «determine»
significa que el ente que realmente ejerce una influencia decisiva sobre los fines y medios
del tratamiento es el responsable. Por lo general, el contrato de tratamiento establece quién
es la parte determinante (el responsable del tratamiento) y quién, la parte que sigue las
instrucciones (el encargado del tratamiento)”.
En cuanto a “ fines y medios ”, según las Directrices 7/2020 establecen que,
“ 35. La determinación de los fines y los medios equivale a decidir, respectivamente,
el porqué y el cómo del tratamiento: en una operación de tratamiento concreta, el
responsable del tratamiento es la parte que determina por qué tiene lugar el tratamiento
(esto es, «con qué fin» o «para qué») y cómo se alcanzará este objetivo (es decir, qué
medios se emplearán para lograrlo). Una persona física o jurídica que influye de este modo
en el tratamiento de datos personales participa, por tanto, en la determinación de los fines y
los medios de dicho tratamiento de conformidad con la definición prevista en el artículo 4,
punto 7, del RGPD .
…
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

95 / 139
38. Cuando un ente determina claramente los fines y los medios, confiando a otro
unas actividades de tratamiento que equivalen a la ejecución de sus instrucciones
detalladas, la situación no ofrece dudas: el segundo ente debe considerarse encargado del
tratamiento y el primero, responsabl e”.
Los fines del tratamiento no son ajenos a los que le son propios a la LNFP, porque derivan
de lo establecido en la normativa de prevención de la violencia, el racismo, la xenofobia y la
intolerancia en el deporte y ello por cuanto la LNFP parece olvidar que el fin de la medida es
el control del acceso a los estadios de fútbol, en el que actúa en calidad de responsable del
tratamiento. Por lo tanto, le corresponde adoptar las medidas destinadas a cumplir con la
normativa.
Respecto al término “ tratamiento ” ínsito en la definición del responsable del tratamiento, las
Directrices 7/2020 fijan que;
“ 42. Los fines y medios determinados por el responsable del tratamiento deben estar
relacionados con el «tratamiento de datos personales». El artículo 4, punto 2, del RGPD
define el tratamiento de datos personales como «cualquier operación o conjunto de
operaciones realizadas sobre datos personales o conjuntos de datos personales». En
consecuencia, el concepto de responsable del tratamiento puede estar ligado a una única
operación de tratamiento o a un conjunto de operaciones. Esto puede significar en la
práctica que el control ejercido por un ente concreto puede abarcar la totalidad del
tratamiento en cuestión, pero también puede circunscribirse a una fase concreta del
tratamiento .
43. En la práctica, el tratamiento de datos personales en el que están involucrados
varios participantes se puede dividir en varias suboperaciones de tratamiento en las que
podría considerarse que cada participante determina los fines y los medios de forma
individual.
…
45. No es necesario que el responsable del tratamiento disponga de un acceso real a
los datos que se estén tratando. Alguien que externalice una actividad de tratamiento y, al
hacerlo, ejerza una influencia determinante en el fin y los medios (esenciales) del
tratamiento (p. ej., ajustando los parámetros de un servicio de tal modo que obliguen a tratar
los datos personales de determinadas personas) deberá considerarse responsable del
tratamiento, aunque nunca disponga de acceso a los datos ”.
En el presente supuesto, la LNFP garante de organizar las competiciones de fútbol
profesional de primera y segunda división, tiene potestad para regular el régimen de venta
de entradas y de acceso a los estadios que propuso para su aprobación al C.S.D. el
23/12/2015. Desde entonces no se ha producido modificación o actualización normativa
sobre su contenido. El RGLNFP, en el Libro XII que regula las condiciones de venta de
abonos y entradas regula un régimen singularizado de acceso de los abonados a las
“gradas de animación”, diferenciado del régimen ordinario aplicable al resto de espectadores
que no ocupen estas localidades ubicadas en un sector de la afición local.
La singularización de las condiciones de acceso a las gradas de animación no puede venir
marcadas como se manifestó por la CEVRIXD en su informe de 3/03/2022 en sus
“ condiciones especiales que, a su vez lleva aparejado el cumplimiento de una serie de
obligaciones adicionales ”. Si dicha afirmación presupone alguna relación con el citado
control biométrico, como cabe deducir de su escrito dirigido a la Liga para el cumplimiento
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

96 / 139
de la medida instaurada en 2015, cabe señalar que, condiciones de la prestación o del
servicio distintas, si las hubiere, no justifican que el mismo derecho fundamental haya de ser
afectado para un sector de los abonados con base a obligaciones adicionales, que ni se
citan, ni se justifican.
Este régimen que instaura la LNFP, con el uso de la compra de las entradas a las gradas de
animación y el acceso biométrico, además de singularizado, resulta también excepcional,
pues se basa en la concurrencia de excepciones que levanten la prohibición general del
tratamiento para esa categoría de datos personales especiales de carácter biométrico,
susceptibles de identificación univoca de la identidad de la persona establecida por el RGPD
en su artículo 9.1.
La LNFP, como responsable de haber aprobado la citada normativa referida a los títulos
válidos de acceso a los recintos deportivos donde se celebran las competiciones de primera
y segunda división ha decidido que tales accesos se realicen de una determinada manera
en cuanto a la finalidad y uso de datos personales, bajo unas determinadas condiciones y
requisitos y con unas concretas consecuencias. También los medios.
La LNFP, en base a sus competencia e interés, ejercita su poder de decisión, determinando
que se recojan unos datos básicos (filiación y de contacto) necesarios con carácter general
para adquirir los abonos, y además, para la grada de animación, unos datos biométricos, y
selecciona la supuesta base en el consentimiento, que supone llevar a cabo los fines, que
se relacionan en el preámbulo del Libro XII del RGLFP: “con la competencia de normas de
seguridad y control de accesos y régimen de venta de entradas que se constituye como un
elemento preventivo de especial relevancia para la lucha contra los comportamientos que
promuevan la violencia, el racismo, la xenofobia y la intolerancia en el fútbol profesional. Es
por ello por lo que el presente reglamento tiene como objetivos principales, por un lado,
establecer criterios uniformes en la venta de entradas y abonos para todos los Clubes/SAD
afiliados, constituyéndose como un elemento relevante en la prevención de dichos
comportamientos, y, por otro lado, elevar los niveles de seguridad de todos los aficionados y
participantes en los partidos de competiciones”
Adicionalmente, se estima que cualquier persona física o jurídica que, atendiendo a sus
propios objetivos, influya en el tratamiento de tales datos y participe, por tanto, en la
determinación de los fines y los medios del tratamiento puede ser considerada responsable
de dicho tratamiento.
A este respecto, no es necesario que los fines y los medios del tratamiento se determinen
mediante instrucciones por escrito o consignas impartidas por el responsable del tratamiento
(véase, en este sentido, la sentencia de 10/07/2018, Jehovan todistajat, C - 25/17,
EU:C:2018:551, apartados 67 y 68) ni que este haya sido designado formalmente como tal.
Además, la LNFP puso los medios de tratamiento a disposición de Clubes/SAD, con carácter
voluntario, pero facilitador, a través de su filial del grupo, SEFPSA (cuya matriz es la LNFP)
especializada en prestar servicios de mantenimiento de sistemas e infraestructuras de
seguridad en los estadios, infraestructuras de los Clubes que la ley del Deporte le
encomienda a la LNFP.
El artículo 47 de los Estatutos de la LNFP establecen como funciones de la SEFPSA, las de
“ejecución de obras de adaptación de instalaciones a las normas de seguridad y prevención
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

97 / 139
de la violencia”. El artículo 2 de los estatutos sociales de SEFPSA tiene por objeto “La
consecución de los fines sociales en las actividades de, entre otras:
- “informatica aplicada al deporte, mediante creación, producción, comercialización y/o
representación de cualquier clase de productos informativos, ya sea maquinaria, accesorios
o programa, su instalación, explotación, asesoramiento o venta,
-Seguridad de las instalaciones deportivas, comerciales y administrativas de las sociedades
anónimas deportivas o Clubes deportivos, mediante la instalación de toda clase de sistemas
de seguridad en las mismas, incluyendo la realización de proyectos y obras civiles
necesarias para su instalación, y el mantenimiento de las instalaciones que realice”.
Con arreglo a la Memoria de las cuentas anuales al ejercicio terminado el 30/06/2023, que
menciona la LIGA, y que figuran en su web, se hace constar que “ La Sociedad Española de
Fútbol Profesional, S.A.U. ha continuado prestando a los Clubes/SAD asociados a la LNFP
los servicios de mantenimiento preventivo, correctivo y evolutivo en las instalaciones
deportivas en las cuales se celebran los partidos de la competición a fin de cumplir con las
exigencias del Reglamento de prevención de la violencia, el racismo, la xenofobia y la
intolerancia en el depo rte”.
Ello es relevante en cuanto a estimar que la LIGA como fija los fines del tratamiento,
consideró también los medios, entre ellos, los técnicos. Así, la Liga, crea unos medios para
para la fase de recogida de datos, a través de su filial, SEFPPSA que con el desarrollo
tecnológico ofertaba la implantación del sistema biométrico de huella dactilar, adosado a los
tornos o terminales de lectura de entradas que todos los estadios de primera y segunda
división han de disponer por disposición de la Ley19/2007 y su Real Decreto 203/2010, de
26/02, y que se ofertan también como servicio a contratar por los Clubes y SAD asociados.
Ante ello, se ha de indicar, que, la LNFP realiza funciones de tutela sobre las SAD y los
Clubes que la integran. En el artículo 60 de los estatutos de la LNFP se prevé la obligación
de los afiliados a la Liga de “ 5. Cumplir las recomendaciones e instrucciones que, en materia
de prevención de la violencia, dicte la LIGA, al amparo del Título IX de la Ley 10/1990, del
Deporte y sus disposiciones de desarrollo ”.
Por ello, se considera que, en protección de datos, con estas obligaciones derivadas del
sistema de acceso a gradas de animación, la Liga estaba ejerciendo una influencia no solo
legal , afectando a las condiciones del ámbito de la venta de entradas y taquillaje, y del tipo
de acceso ligado a las entradas, que asocia el sistema físico de acceso a los estadios con
dicha venta de entradas y abono.
También la Liga ejerce una influencia fáctica, que condicionaba los requisitos de acceso
implantados por ella misma y comunicaba mediante las Circulares, que, con vistas a dicho
tratamiento, determinando con vistas a dicho tratamiento la solución técnica ofrecida por su
filial, y usada por la mayoría de los Clubes que la implantaron.
La LNFP ha contratado y ha puesto a disposición de los Clubes de fútbol y Sociedades
Anónimas Deportivas, sus propios asociados, un sistema de acceso biométrico a las gradas
de animación de los estadios de primera y segunda división predisponiendo fines y medios
para tratar dichos datos biométricos, de lo que se deduce que la LNFP no obra en ejecución
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

98 / 139
de ningún mandato legal, ni siquiera de un mandato normativo -puesto que el RGLNFP no
ostenta naturaleza reglamentaria, como se ha señalado.
La alegación de que no resultaría aplicable la doctrina de la sentencia de 10/07/2018 del
asunto C-25/2017, que se cita en varias ocasiones como párrafos de las Directrices 7/2020
sobre los conceptos de “ responsable del tratamiento, y encargado del tratamiento en el
RGPD” viene al caso, y resultaría aplicables a la LNFP como comprendido dentro de dicho
concepto, al presentar similitudes con el supuesto. Así:
-La LNFP, organiza, fomenta y coordina el sistema biométrico de acceso a las gradas de
animación, como especialidad del régimen general de las ventas de entradas y abonos.
Condiciona el régimen de venta de entradas junto con el de su correspondiente acceso a las
instalaciones de los Clubes y SADs.
-Sin perjuicio de que también los Clubes y SADS puedan decidir por sí mismos si desean
recoger datos de ese modo y determinar de qué modo los recogen, además de disponer o
no de la citada grada de animación, cuestión que no es objeto del presente procedimiento ni
de controversia. El RD 203/2010, les obliga a cancelar los datos, como organizadores, de
las personas que hubieran accedido o “c ederlos a las autoridades u órganos competentes
en materia de seguridad pública” (art 15.3), o simplemente, conservarlos para su uso en
cada partido en su caso, que sigue siendo una operación de tratamiento definida en el
artículo 4.2 del RGPD.
Por tanto, las alegaciones realizadas por la LNFP el 16/07/2024 sobre que el control de
accesos a personas sobre las que judicialmente se les ha impuesto la medida de prohibición
de acceso a los estadios que se comunican a los Clubes por la LNFP no es óbice para que
la LNFP sea considerada responsable del tratamiento por establecer un régimen que vincula
a sus asociados, proporcionando los medios y determinando los fines en pos de una
definida finalidad.
Igualmente, la exigencia a los Clubes de Fútbol y SAD del cumplimiento de las obligaciones
que afectan a su esfera de determinación de otras operaciones de tratamiento cuando se
constituyen en responsables del mismo, no son incompatibles con las derivadas en este
caso a la LNFP que expresamente los declara, los impone y facilita los medios del mismo
para un sector concreto del estadio como es la grada de animación.
-Si bien también se cita expresamente que “no es necesario que los fines y los medios del
tratamiento se determinen mediante instrucciones por escrito o consignas impartidas por el
responsable del tratamiento ”, en este caso si se da dicha circunstancia como se ha venido
explicando, por lo que a mayores viene a confirmarse tal condición en la LNFP.
-Las operaciones de tratamiento consistentes en la contratación del diseño genérico del
sistema de reconocimiento dactilar, para procurar el control de acceso a los estadios de
primera y segunda división en relación con la grada de animación, puesto efectivamente a
disposición de los Clubes de fútbol y sociedades anónimas deportivas entran dentro del
concepto amplio de tratamiento recogido en el artículo 4.2 del RGPD:
“«tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre
datos personales o conjuntos de datos personales, ya sea por procedimientos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

99 / 139
automatizados o no, como la recogida, registro, organización, estructuración,
conservación, adaptación o modificación, extracción, consulta, utilización,
comunicación por transmisión, difusión o cualquier otra forma de habilitación de
acceso, cotejo o interconexión, limitación, supresión o destrucción;”.
El concepto amplio de tratamiento de datos ha sido reconocido por la jurisprudencia del
Tribunal de Justicia de la Unión Europea en diversos pronunciamientos.
Así, la STJUE de 4/05/2023, en el asunto C-487/21, indica que,
“ 27 En este contexto, es preciso añadir que el legislador de la Unión quiso dar al
concepto de «tratamiento», tal como se define en el artículo 4, punto 2, del RGPD,
un alcance amplio, al emplear una enumeración de operaciones no exhaustiva
[véase, en este sentido, la sentencia de 24 de febrero de 2022, Valsts ieņēmumu
dienests (Tratamiento de datos personales con fines fiscales), C 175/20,
EU:C:2022:124, apartado 35 ]”.
De igual forma la STJUE 30/04/2023, en el asunto C-34/21, determina que,
“ 33 A este respecto, de la jurisprudencia del Tribunal de Justicia se desprende que la
definición del ámbito de aplicación material del RGPD, tal como se enuncia en su
artículo 2, apartado 1, es muy amplia y que las excepciones a dicho ámbito de
aplicación, previstas en su artículo 2, apartado 2, deben interpretarse estrictamente
[véanse, en este sentido, las sentencias de 9 de julio de 2020, Land Hessen, C
272/19, EU:C:2020:535, apartado 68, y de 22 de junio de 2021, Latvijas Republikas
Saeima (Puntos por infracciones de tráfico), C 439/19, EU:C:2021:504, apartados 61
y 62 ]”.
La STJUE de 5/10/2023, también señala que,
“ De la redacción de esta disposición, en particular de la expresión «cualquier
operación», se desprende que el legislador de la Unión quiso dar un alcance amplio
al concepto de «tratamiento» [véase, en ese sentido, la sentencia de 24 de febrero
de 2022, Valsts ieņēmumu dienests (Tratamiento de datos personales con fines
fiscales), C-175/20, EU:C:2022:124, apartado 35]. Esta interpretación amplia de los
conceptos de «datos personales» y de «tratamiento» es coherente con el objetivo de
garantizar la efectividad del derecho fundamental a la protección de las personas
físicas en relación con el tratamiento de datos personales al que se refiere el
considerando 1 del RGPD, que preside la aplicación de dicho Reglamento ”.
Vemos que el RGPD y la jurisprudencia del TJUE entiende que el tratamiento de datos
personales puede estar conformado por una o varias operaciones de tratamiento, alguna de
las cuales puede darse sin que se haya llegado a ejecutar materialmente la implantación del
tratamiento (tratamiento material), ya que dentro del término “ cualquier operación realizada
sobre datos personales ” se incluye el análisis y diseño del propio tratamiento, así como la
contratación del sistema de reconocimiento por huella dactilar sobre los términos
antedichos.
No cabe duda de que el diseño de un sistema técnico que permita el control de acceso
mediante reconocimiento dactilar a los estadios supone realizar una operación de
tratamiento de datos personales, en este caso, de datos biométricos.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

100 / 139
Una evidencia de que el RGPD incluye el diseño de un tratamiento dentro de un concepto
amplio de tratamiento es la previsión del principio de privacidad desde el diseño, que se
contempla en el art. 25 del RGPD, en los siguientes términos:
“1. Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la
naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa
probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de
las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de
determinar los medios de tratamiento como en el momento del propio tratamiento,
medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas
para aplicar de forma efectiva los principios de protección de datos, como la
minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de
cumplir los requisitos del presente Reglamento y proteger los derechos de los
interesados.
2. El responsable del tratamiento aplicará las medidas técnicas y organizativas
apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento
los datos personales que sean necesarios para cada uno de los fines específicos del
tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos,
a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.
Tales medidas garantizarán en particular que, por defecto, los datos personales no
sean accesibles, sin la intervención de la persona, a un número indeterminado de
personas físicas (…).” .
De no reconocerse este concepto amplio de tratamiento, que permite considerar al diseño,
la definición del sistema, su contratación y su puesta a disposición para otros sujetos (que
decidirán utilizarlo en la buena fe de que el sistema está perfectamente diseñado y
contratado, cumpliendo los estándares y obligaciones fijadas por el RGPD) como una
operación de tratamiento y exigir responsabilidad sin necesidad de que se haya iniciado la
ejecución de las operaciones materiales del tratamiento (recogida/extracción de los datos
personales) se dejaría sin efecto y fuera del ámbito de aplicación del RGPD diversas
obligaciones esenciales que se hayan previstas en el mismo.
Además de deducirse del RGLNFP, que la LIGA lo adoptó en consideración de la Ley
19/2007 y su Reglamento, Real Decreto 203/2010, de 26/02, confiriéndole el desarrollo del
régimen de venta de abonos, entradas y taquillaje, es la LIGA la que contempla, ANTES
QUE LA CEVRXID, el requisito adicional del sistema biométrico para el acceso a los
estadios, solo en las gradas de animación. Es de señalar, pues, que cuando se aprueba el
RGLNFP, no existían declaradas las medidas “ adicionales de seguridad ” que podía decidir
implantar en virtud del artículo 13 de la citada Ley 19/2007 la CEVRIXD. En todo caso, esas
medidas se producen con el primer comunicado escrito a la LIGA de 3/3/2022 y van a
coincidir con lo ya instrumentado en el RGLNFP, y que se venían recogiendo datos de
acceso a las gradas de animación desde la misma temporada 2015/2016.
Ello no implica que otros actores con los mismos fines, no puedan realizar otras operaciones
de tratamiento en la ejecución práctica de las distintas fases de la actividad del tratamiento
en que se desenvuelve el sistema de acceso a las gradas de animación con el sistema
biométrico implantado por la LNFP.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

101 / 139
Desde la perspectiva del RGPD existirían varias fases del tratamiento diferenciadas con
varios responsables del tratamiento sucesivos y distintos, situación perfectamente posible tal
y como recogen las Directrices 7/2020 antes citadas.
Este tratamiento de datos biométricos a través del reconocimiento de huella dactilar para el
control de acceso a las gradas de animación de los estadios deportivos se compone de
varias fases u operaciones de tratamiento, que corresponden a diversos “ responsables
sucesivos independientes ” que serían
 Un responsable del diseño genérico del sistema para el control de acceso en los
estadios de primera y segunda división en relación con la grada de animación,
contratado puesto a disposición de los Clubes y sociedades anónimas deportivas.
la LNFP, al definir el contenido y contratar dicho sistema, decide sobre los fines y
medios de esta operación de tratamiento.
 Otros responsables de la implantación efectiva del sistema para el control de acceso
en los estadios de primera y segunda división en relación con la grada de animación
contratado por la LNFP en cada uno los estadios.
Cada Club o SAD que decidiera, y que haya decidido, utilizar el sistema diseñado por
la LNFP sería considerado asimismo responsable del tratamiento de esta fase del
tratamiento posterior. Este tratamiento implicaría diversas operaciones de tratamiento
dirigidas a implantar de forma efectiva estos medios de control de acceso en los
estadios, que incluyen: (i) desde el diseño de los fines y medios a implantar en su
propio estadio (lo que podríamos llamar diseño operativo o especifico, del que
formaría parte el contratado por la LNFP); (ii) al resto de operaciones de “ tratamiento
material” que implican la recogida/extracción de los datos biométricos, su archivo,
utilización, conservación…etc.
Mas el hecho de que pueda haber distintas fases del tratamiento con la intervención de otros
responsables del tratamiento no hurta a la LNFP de su condición de responsable del
tratamiento respecto de las operaciones de tratamiento llevadas a cabo sobre las que decide
sobre los fines y medios.
Por otra parte, cabe aclarar que no estamos ante un supuesto de “ responsabilidad
acumulativa ” o corresponsabilidad prevista en el artículo 26 del RGPD, aunque existan
varios responsables del mismo tratamiento, que no de las mismas operaciones de
tratamiento. En este caso, concurre una responsabilidad independiente sucesiva de ambos
responsables, puesto que estamos en presencia de un solo tratamiento para el que existe
una “ cadena de operaciones de tratamiento ”, como han señalado el Consejo Europeo de
Protección de Datos (en adelante, CEPD), máxima autoridad en la materia, y el propio
Tribunal de Justicia de la Unión Europea.
Por una parte, las citadas Directrices 7/2020, hacen referencia específica al supuesto que
nos ocupa:
“ 63. La corresponsabilidad del tratamiento también requiere que dos o más entes
influyan en los medios del tratamiento. Esto no significa que, para que se dé dicha
corresponsabilidad, cada uno de los participantes deba determinar todos los medios
en todos los casos. De hecho, tal como ha aclarado el TJUE, distintos entes pueden
participar en distintas fases del tratamiento y en distinto grado. Por tanto, diferentes
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

102 / 139
corresponsables del tratamiento pueden definir en distinto grado los medios del
tratamiento, dependiendo de quién esté en posición de hacerlo.
64. También puede darse el caso de que uno de los participantes proporcione los
medios para el tratamiento y los ponga a disposición de otros para que estos lleven a
cabo las actividades de tratamiento de datos personales. El ente que decide utilizar
dichos medios para poder tratar los datos personales para un fin concreto también
participa en la determinación de los medios del tratamiento ”.
Y el TJUE, en Sentencias como la dictada en el asunto del diario oficial belga, de
11/01/2024, en el asunto C-231/22, trató y analizó un supuesto en el que existía una
“ cadena de tratamientos ”, y no una “ responsabilidad acumulativa ” o “ corresponsabilidad ” en
los que consideró que el diario oficial y la entidad que le remitió la información que fue
publicada erróneamente en el diario eran “ responsables sucesivos independientes ”, cada
uno por su operación de tratamiento, señalando que en este supuesto solo el diario oficial
era el responsable de la publicación, por haberlo determinado así la legislación belga.
Véanse también en este sentido la STJUE de 29/07/2019, Fashion ID, en el asunto C - 40/17
(EU:C:2019:629), apartado 74; y la dictada en el asunto Google (Retirada de enlaces a
contenido supuestamente inexacto) en el asunto C - 460/20 (EU:C:2022:271), apartado 15.
Así, entre las últimas sentencias del TJUE cabe citar, por su claridad, la STJUE de 7/03/
2024 (C-604/22) IAB Europe, y las que allí se citan, que declara que incluso en los casos de
corresponsabilidad habría responsabilidad del tratamiento por todos los responsables,
aunque no necesariamente equivalente respecto de la misma operación de tratamiento.
“56 Además, puesto que, tal como prevé expresamente el artículo 4, punto 7, del
RGPD, el concepto de «responsable del tratamiento» se refiere al organismo que
«solo o junto con otros» determine los fines y los medios del tratamiento de datos
personales, dicho concepto no se remite necesariamente a una única entidad, sino
que puede aludir a varios actores que participen en ese tratamiento, cada uno de los
cuales estará por tanto sujeto a las disposiciones aplicables en materia de protección
de datos (véanse, por analogía, las sentencias de 5 de junio de 2018,
Wirtschaftsakademie Schleswig-Holstein, C - 210/16, EU:C:2018:388, apartado 29, y
de 10 de julio de 2018, Jehovan todistajat, C - 25/17, EU:C:2018:551, apartado 65).
57 Asimismo, el Tribunal de Justicia ha considerado que una persona física o jurídica
que, atendiendo a sus propios objetivos, influye en el tratamiento de datos
personales y participa, por ello, en la determinación de los fines y los medios de
dicho tratamiento puede ser considerada responsable del tratamiento en el sentido
del artículo 4, punto 7, del RGPD (véase, por analogía, la sentencia de 10 de julio de
2018, Jehovan todistajat, C - 25/17, EU:C:2018:551, apartado 68). Así, de
conformidad con el artículo 26, apartado 1, del RGPD, existen «corresponsables del
tratamiento» cuando dos o más responsables del tratamiento determinen
conjuntamente los fines y medios del tratamiento (sentencia de 5 de diciembre de
2023, Nacionalinis visuomenės sveikatos centras, C - 683/21, EU:C:2023:949,
apartado 40).
58 A este respecto, si bien cada corresponsable del tratamiento debe responder de
manera independiente a la definición de «responsable del tratamiento» del artículo 4,
punto 7, del RGPD, la existencia de una responsabilidad conjunta no supone
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

103 / 139
necesariamente que, con respecto a un mismo tratamiento de datos personales, los
diversos agentes tengan una responsabilidad equivalente. Bien al contrario, los
agentes pueden estar implicados en distintas etapas del tratamiento y en distintos
grados, de modo que el nivel de responsabilidad de cada uno de ellos debe
evaluarse teniendo en cuenta todas las circunstancias pertinentes del caso concreto.
Además, la responsabilidad conjunta de varios agentes respecto a un mismo
tratamiento en virtud de dicho precepto no presupone que cada uno de ellos tenga
acceso a los datos personales en cuestión (véase, por analogía, la sentencia de 10
de julio de 2018, Jehovan todistajat, C - 25/17, EU:C:2018:551, apartados 66 y 69 y
jurisprudencia citada).
59 La participación en la determinación de los fines y medios del tratamiento puede
adoptar distintas formas y resultar tanto de una decisión común adoptada por dos o
más entidades como de decisiones convergentes de esas entidades. En este último
caso, dichas decisiones deben complementarse, de modo que cada una de ellas
tenga un efecto concreto en la determinación de los fines y medios del tratamiento.
En cambio, no puede exigirse que exista un acuerdo formal entre dichos
responsables del tratamiento en cuanto a los fines y medios del tratamiento
(sentencia de 5 de diciembre de 2023, Nacionalinis visuomenės sveikatos centras,
C - 683/21, EU:C:2023:949, apartados 43 y 44).”
Añadir igualmente que los Clubes de fútbol y sociedades anónimas deportivas no son
entidades ajenas a la LNFP sino socios de la misma, formando parte de la organización; las
directrices y orientaciones que la LNFP pueda dirigirles no tiene por qué determinar que esta
sea responsable del tratamiento; ahora bien, si lo que contrata y pone a disposición de los
Clubes es un sistema de acceso a las gradas de animación de los estadios deportivos con
huella dactilar, cumpliendo con las funciones atribuidas en su propio reglamento interno, lo
que excede a todo punto de dirigir una orientación o recomendación, entonces sí está
actuando como responsable del tratamiento. Sobre este particular hay que añadir que el
sistema, se pone a disposición de los asociados para que lo puedan utilizar inmediatamente,
lo que genera en ellos la buena fe de que el sistema cumple con las previsiones del RGPD.
Así pues, se estima que la LNFP como persona jurídica, atendiendo a sus propios objetivos,
influye en el tratamiento de datos personales determina los fines y los medios del
tratamiento, y puede ser considerada responsable del tratamiento en el sentido del artículo
4.7 del RGPD.
V Obligaciones presuntamente incumplidas por la LNFP- Evaluación de Impacto de
Protección de Datos
Con independencia de que se tienen que cumplir los preceptos incluidos en el apartado
anterior relacionados con los datos de categorías especiales, debe existir una excepción que
levante la prohibición del artículo 9.1 del RGPD, debe existir una base de licitud de las
establecidas en el artículo 6 del RGPD y deben cumplirse los demás principios del RGPD,
entre ellos, los relativos a la min imización de los datos, existiendo otras obligaciones que
deben cumplir los responsables de los tratamientos relacionados con el alto riesgo, como es
este caso.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

104 / 139
En el marco de un tratamiento, cualquiera de las distintas técnicas biométricas que se
incluyan, el responsable del tratamiento tiene que evaluarlas, de acuerdo con la adecuación,
proporcionalidad y la necesidad, su finalidad, su impacto en los derechos y libertades de las
personas físicas y los riesgos que conllevan, tanto para el individuo como para la sociedad
El artículo 24.1 del RGPD, bajo la rúbrica, “ Responsabilidad del responsable del
tratamiento ”, establece:
“ 1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así
como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las
personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas
apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el
presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.”
El artículo 28 de la LOPDGDD, establece que “ Los responsables y encargados, teniendo en
cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679,
determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de
garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la
presente Ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En
particular valorarán si procede la realización de la evaluación de impacto en la protección de
datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado
reglament o”.
Los citados artículos establecen en términos generales la obligación del responsable del
tratamiento de aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y
poder demostrar que el tratamiento de los datos personales es conforme con dicho
Reglamento.
El articulo 24 desarrolla de forma más específica lo ya previsto en el artículo 5 apartado 2
del mismo RGPD, que introduce entre los principios relativos al tratamiento el principio de
“ responsabilidad proactiva ”. El principio de responsabilidad proactiva es uno de los pilares
del Reglamento y una de sus innovaciones más significativas. Atribuye al responsable del
tratamiento la responsabilidad de adoptar medidas proactivas a fin de garantizar y poder
demostrar la conformidad con el Reglamento, y requiere que el responsable asuma la
responsabilidad de lo que hace con los datos personales y cómo cumple con los demás
principios, debiendo contar con medidas y registros apropiados para poder demostrar su
cumplimiento.
El sistema de responsabilidad proactiva implantado por el RGPD, enfocado a la gestión
continua de los riesgos asociados al tratamiento con la protección de datos desde el diseño
y por defecto refuerza la protección de los interesados en relación con sus datos personales
al imponer a los responsables del tratamiento que analicen qué datos tratan, con qué
finalidades y qué tipo de tratamientos llevan a cabo, relacionando los potenciales riesgos
que entraña el tratamiento para los derechos y libertades de las personas físicas, y a partir
de ahí, decidir qué medidas técnicas organizativas de todo tipo adoptan y aplican, para
asegurar su cumplimiento en función de los riesgos detectados.
Las medidas técnicas y organizativas que requiere el principio de responsabilidad proactiva
deben ser “ apropiadas” , teniendo en cuenta los factores especificados en el artículo 24: la
naturaleza, el ámbito, el contexto y la finalidad del tratamiento, así como la probabilidad y
gravedad de los riesgos para los derechos y libertades de las personas físicas.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

105 / 139
El artículo 24 exige, por tanto, que las medidas sean apropiadas a fin de poder demostrar
que el tratamiento es conforme con los principios y las disposiciones del Reglamento.
Todo el Reglamento se basa en la prevención del riesgo y la responsabilidad proactiva del
responsable del tratamiento y, por tanto, en un enfoque teleológico que persigue el mejor
resultado posible en términos de eficacia, es decir, muy lejos de la lógica formalista
vinculada a la mera obligación de cumplir procedimientos específicos que eximan de
responsabilidad.
La gestión del riesgo que exige el RGPD es aquella que está orientada específicamente a
proteger los derechos y libertades de los interesados, y no hay que confundirla con otras
orientaciones de riesgo, como la gestión de riesgo de cumplimiento. A su vez, la gestión del
riesgo para los derechos y libertades se extiende más allá de únicamente una gestión de
riesgos de seguridad.
Una EIPD debe percibirse como un instrumento de ayuda en la toma de decisiones relativas
al tratamiento, por lo que debe hacerse en las fases de concepción y diseño del tratamiento.
Con ello se cumpliría con los principios de protección de datos desde el diseño, y ayuda a
que las garantías seleccionadas estén guiadas por la gestión del riesgo y se implementen
durante la fase de concepción y diseño del tratamiento, estando integradas en el mismo y
extendiéndose a todas las etapas de su ciclo de vida. La protección de datos desde el
diseño no es una capa adicional o un elemento que se puede añadir a posteriori. Por lo
tanto, una EIPD, puede implicar que hay que realizar cambios en el tratamiento para
introducir modificaciones, garantías o medidas para reducir los riesgos, se ha de realizar
antes y durante la fase de diseño, y el enfoque de riesgos que supone la EIPD es un
proceso, no un estado.
El tratamiento de datos de los aficionados que acceden a la grada de animación de los
estadios de fútbol a través de herramientas biométricas de lectura y registro presenta altos
riesgos para los derechos y libertades fundamentales de los interesados.
Antes de implantar un proyecto de tratamiento de datos basado en esta tecnología que
representa una probabilidad de alto riesgo muy significativo para los derechos y libertades
de las personas, que puede producir impactos en los derechos y libertades de las personas
en diferentes grados de probabilidad, es preciso analizar su futuro funcionamiento, no de
forma aislada sino en el marco del tratamiento concreto en que se va a emplear. La
evaluación de impacto en la protección de datos personales, EIPD , es la herramienta que en
el RGPD se ocupa de la garantía de cumplimiento de esta vertiente del tratamiento.
La EIPD es un paso necesario para el tratamiento de datos, no siendo el único exigible, es
un presupuesto al que se debe añadir el resto de los requisitos legales para el tratamiento,
que se han indicado en el fundamento de derecho anterior, excepción que levante la
prohibición del artículo 9 del RGPD, base legitimadora del artículo 6 del RGPD, y respeto de
los principios fundamentales del tratamiento de datos previsto en el artículo 5 del RGPD.
La EIPD y la gestión del riesgo son actividades integradas. La EIPD forma parte indivisible
de la gestión de riesgos para los derechos y libertades y se ha de ejecutar en el marco de la
misma La gestión del riesgo y la Evaluación de Impacto para la Protección de Datos son
procesos íntimamente vinculados. La EIPD es una especificidad dentro de la gestión del
riesgo. Por lo tanto, la EIPD no puede existir sin estar formando parte de la gestión de
riesgos para los derechos y libertades, extendiéndola con una serie de requisitos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

106 / 139
adicionales. Mientras que la gestión del riesgo es obligatoria para todo tratamiento, las
obligaciones concretas que se establecen para la EIPD son obligatorias, exclusivamente,
para tratamientos de alto riesgo.
El artículo 35 del RGPD proyecta el principio de la responsabilidad proactiva e incorpora una
obligación para los responsables de tratamiento: evaluar el impacto de las operaciones de
tratamiento en la protección de los datos personales, cuando sea probable que el
tratamiento suponga un riesgo significativo para los derechos y las libertades de las
personas. El Reglamento establece los derechos que tienen las personas con respecto al
tratamiento de sus datos (derecho a la información, etc.). Sin embargo, cuando se habla de
los " riesgos para los derechos y las libertades de las personas " no nos limitamos a los
derechos reconocidos por el Reglamento, sino a cualquier efecto que el tratamiento pueda
tener sobre los derechos y las libertades fundamentales de las personas.
Como tal, al considerarse que se están tratando datos de carácter personal de categoría
especial, existe la obligación de disponer de una Evaluación de Impacto en la Protección de
los Datos Personales (EIPD) que señala el artículo 35 del RGPD:
“ 1. Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas
tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los
derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes
del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la
protección de datos personales. Una única evaluación podrá abordar una serie de
operaciones de tratamiento similares que entrañen altos riesgos similares.
2. El responsable del tratamiento recabará el asesoramiento del delegado de protección
de datos, si ha sido nombrado, al realizar la evaluación de impacto relativa a la protección
de datos.
3. La evaluación de impacto relativa a la protección de los datos a que se refiere el
apartado 1 se requerirá en particular en caso de:
a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se
base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se
tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les
afecten significativamente de modo similar;
b) tratamiento a gran escala de las categorías especiales de datos a que se refiere el
artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales
a que se refiere el artículo 10, o
c) observación sistemática a gran escala de una zona de acceso público.
4. La autoridad de control establecerá y publicará una lista de los tipos de operaciones de
tratamiento que requieran una evaluación de impacto relativa a la protección de datos de
conformidad con el apartado 1. La autoridad de control comunicará esas listas al Comité a
que se refiere el artículo 68.
5. La autoridad de control podrá asimismo establecer y publicar la lista de los tipos de
tratamiento que no requieren evaluaciones de impacto relativas a la protección de datos. La
autoridad de control comunicará esas listas al Comité.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

107 / 139
6. Antes de adoptar las listas a que se refieren los apartados 4 y 5, la autoridad de control
competente aplicará el mecanismo de coherencia contemplado en el artículo 63 si esas
listas incluyen actividades de tratamiento que guarden relación con la oferta de bienes o
servicios a interesados o con la observación del comportamiento de estos en varios Estados
miembros, o actividades de tratamiento que puedan afectar sustancialmente a la libre
circulación de datos personales en la Unión.
7. La evaluación deberá incluir como mínimo:
a) una descripción sistemática de las operaciones de tratamiento previstas y de los fines
del tratamiento, inclusive, cuando proceda, el interés legítimo perseguido por el responsable
del tratamiento;
b) una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento
con respecto a su finalidad;
c) una evaluación de los riesgos para los derechos y libertades de los interesados a que
se refiere el apartado 1, y
d) las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de
seguridad y mecanismos que garanticen la protección de datos personales, y a demostrar la
conformidad con el presente Reglamento, teniendo en cuenta los derechos e intereses
legítimos de los interesados y de otras personas afectadas.
8. El cumplimiento de los códigos de conducta aprobados a que se refiere el artículo 40
por los responsables o encargados correspondientes se tendrá debidamente en cuenta al
evaluar las repercusiones de las operaciones de tratamiento realizadas por dichos
responsables o encargados, en particular a efectos de la evaluación de impacto relativa a la
protección de datos.
9. Cuando proceda, el responsable recabará la opinión de los interesados o de sus
representantes en relación con el tratamiento previsto, sin perjuicio de la protección de
intereses públicos o comerciales o de la seguridad de las operaciones de tratamiento.
10. Cuando el tratamiento de conformidad con el artículo 6, apartado 1, letras c) o e),
tenga su base jurídica en el Derecho de la Unión o en el Derecho del Estado miembro que
se aplique al responsable del tratamiento, tal Derecho regule la operación específica de
tratamiento o conjunto de operaciones en cuestión, y ya se haya realizado una evaluación
de impacto relativa a la protección de datos como parte de una evaluación de impacto
general en el contexto de la adopción de dicha base jurídica, los apartados 1 a 7 no serán
de aplicación excepto si los Estados miembros consideran necesario proceder a dicha
evaluación previa a las actividades de tratamiento.
11. En caso necesario, el responsable examinará si el tratamiento es conforme con la
evaluación de impacto relativa a la protección de datos, al menos cuando exista un cambio
del riesgo que representen las operaciones de tratamiento .”
Si como consecuencia de la EIPD, el “t ratamiento entrañaría un alto riesgo si el responsable
no toma medidas para mitigarlo”, resultaría de aplicación el artículo 36 del RGPD que prevé
que “ el responsable consultará a la autoridad de control antes de proceder al tratamiento ”.
En desarrollo del párrafo 4, la Directora de la .... .... ... ..... .. .........., ......ó
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

108 / 139
una lista orientativa de tipos de tratamiento que requieren una evaluación de impacto relativa
a la protección de datos, indicándose: “ En el momento de analizar tratamientos de datos
será necesario realizar una EIPD en la mayoría de los casos en los que dicho tratamiento
cumpla con dos o más criterios de la lista expuesta a continuación, salvo que el tratamiento
se encuentre en la lista de tratamientos que no requieren EIPD a la que se refiere en artículo
35.5 del RGPD .”
La lista se basa en los criterios establecidos por las “ DIRECTRICES SOBRE LA
EVALUACIÓN DE IMPACTO RELATIVA A LA PROTECCIÓN DE DATOS (EIPD) Y PARA
DETERMINAR SI EL TRATAMIENTO “ENTRAÑA PROBABLEMENTE UN ALTO RIESGO” A
EFECTOS DEL RGPD ”, adoptadas e 4/04/2017, y revisadas por última vez y adoptadas el
4/10/2017, WP 248 rev.01 del GT 29 que los complementa y debe entenderse como una
lista no exhaustiva:
“ 4. Tratamientos que impliquen el uso de categorías especiales de datos a las que se
refiere el artículo 9.1 del RGPD, datos relativos a condenas o infracciones penales a los que
se refiere el artículo 10 del RGPD o datos que permitan determinar la situación financiera o
de solvencia patrimonial o deducir información sobre las personas relacionada con
categorías especiales de datos.
5. Tratamientos que impliquen el uso de datos biométricos con el propósito de
identificar de manera única a una persona física .”
…
“10. Tratamientos que impliquen la utilización de nuevas tecnologías o un uso
innovador de tecnologías consolidadas, incluyendo la utilización de tecnologías a una nueva
escala, con un nuevo objetivo o combinadas con otras, de forma que suponga nuevas
formas de recogida y utilización de datos con riesgo para los derechos y libertades de las
personas.”
En las mismas Directrices, se señala:
“ Con el fin de ofrecer un conjunto más concreto de operaciones de tratamiento que
requieran una EIPD debido a su inherente alto riesgo, teniendo en cuenta los elementos
particulares del artículo 35, apartado 1, y del artículo 35, apartado 3, letras a) a c), la lista
que debe adoptarse a nivel nacional en virtud del artículo 35, apartado 4, y los
considerandos 71, 75 y 91, y otras referencias del RGPD a operaciones de tratamiento que
“probablemente entrañen un alto riesgo”, se deben considerar los nueve criterios siguientes :
…
4.Datos sensibles o datos muy personales: esto incluye las categorías especiales de datos
personales definidas en el artículo 9 (por ejemplo, información sobre las opiniones políticas
de las personas), así como datos personales relativos a condenas e infracciones penales
según la definición del artículo 10. Un ejemplo sería un hospital general que guarda
historiales médicos de pacientes o un investigador privado que guarda datos de
delincuentes. Más allá de estas disposiciones del RGPD, puede considerarse que algunas
categorías de datos aumentan el posible riesgo para los derechos y libertades de las
personas. Estos datos personales se consideran sensibles (dado que este término es de
uso común) porque están vinculados a hogares y actividades privadas (como
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

109 / 139
comunicaciones electrónicas cuya confidencialidad debe ser protegida), porque afectan al
ejercicio de un derecho fundamental (como datos de localización cuya recogida compromete
la libertad de circulación) o porque su violación implica claramente graves repercusiones en
la vida cotidiana del interesado (como datos financieros que podrían usarse para cometer
fraude en los pagos). En este sentido, puede resultar relevante que los datos ya se hayan
hecho públicos por el interesado o por terceras personas. El hecho de que los datos
personales sean de acceso público puede considerarse un factor en la evaluación si estaba
previsto que estos se usaran para ciertos fines. Este criterio también puede incluir datos
tales como documentos personales, correos electrónicos, diarios, notas de lectores de libros
electrónicos equipados con opciones para tomar notas e información muy personal incluida
en aplicaciones de registro de actividades vitales.
…
8. Uso innovador o aplicación de nuevas soluciones tecnológicas u organizativas, como
combinar el uso de huella dactilar y reconocimiento facial para mejorar el control físico de
acceso, etc. El RGPD deja claro (artículo 35, apartado 1, y considerandos 89 y 91) que el
uso de una nueva tecnología, definida “en función del nivel de conocimientos técnicos
alcanzado” (considerando 91), puede hacer necesario realizar una EIPD. Esto es debido a
que el uso de dicha tecnología puede implicar nuevas formas de recogida y utilización de
datos, posiblemente con un alto riesgo para los derechos y libertades de las personas. De
hecho, las consecuencias personales y sociales del despliegue de una nueva tecnología
pueden ser desconocidas. Una EIPD ayudará al responsable del tratamiento a entender y
abordar tales riesgos. Por ejemplo, algunas aplicaciones del “Internet de las cosas” podrían
tener un impacto significativo sobre la vida diaria y la privacidad de las personas y, por tanto,
requieren una EIPD.
En la mayoría de los casos, un responsable del tratamiento puede considerar que un
tratamiento que cumpla dos criterios requerirá la realización de una EIPD. En general, el
GT29 considera que cuantos más criterios cumpla el tratamiento, más probable será que
represente un alto riesgo para los derechos y libertades de los interesados y, por tanto,
requiera una EIPD independientemente de las medidas que el responsable contemple
adoptar.
Sin embargo, en algunos casos, un responsable del tratamiento puede considerar que un
tratamiento que cumpla solo uno de estos criterios requiere una EIPD.”
Al tratarse los sistemas de registro biométrico de sistemas de identificación, son per se muy
intrusivos para los derechos y libertades fundamentales de las personas físicas, y el RGPD
establece la obligación de gestionar el riesgo que para los derechos y libertades de las
personas supone esos tratamientos. Este riesgo surge tanto por la propia existencia del
tratamiento. Si bien en la práctica no suele existir una única forma de conseguir los fines a
los que está orientado un tratamiento de datos, sí que se puede apreciar que en función de
cómo se implemente, se pueden plantear diferentes escenarios de riesgo, existiendo tanto
riesgos inherentes, como otros derivados de las dimensiones técnicas y organizativas del
mismo. El riesgo surge por los fines del tratamiento y su naturaleza, y también por su
alcance y el contexto en el que se desenvuelve.
La complejidad del proceso de gestión de riesgo ha de ajustarse, no al tamaño de la entidad,
la disponibilidad de recursos, la especialidad o sector de la misma, sino al posible impacto
de la actividad de tratamiento sobre los interesados y a la propia dificultad del tratamiento.
Esta evaluación requiere exhaustividad, partiendo en este caso, de la necesidad del
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

110 / 139
tratamiento en el sentido del RGPD, y no solo de la prohibición de tratamiento de estos
datos, prevista en el artículo 9 del RGPD, considerando los riesgos entre otros, de usar una
tecnología intrusiva, los sesgos o la probabilidad de un error en la identificación, su
interoperabilidad, la suplantación de la identidad y el tipo de identidad única, permanente e
invariable que se tratan, su impacto en la privacidad de las personas, las implicaciones en
cuestión de derechos fundamentales de tales sistemas y las medidas técnicas y
organizativas de todo tipo que deban implementarse, incluidas las de seguridad.
El RGPD establece la obligación de analizar y gestionar el riesgo que para los derechos y
libertades de las personas supone un tratamiento de datos de carácter personal. Estos
derechos y libertades de los interesados atañen principalmente a los derechos de protección
de datos, pero también pueden implicar otros derechos fundamentales como por ejemplo la
prohibición de discriminación, la libertad de circulación, o conservar el anonimato en
espacios de uso público, que no son objeto de este procedimiento. Estos riesgos surgen
tanto por la propia existencia del tratamiento, como por las dimensiones técnicas y
organizativas del mismo. El riesgo surge por los fines del tratamiento y su naturaleza, y
también por su alcance y el contexto en el que se desenvuelve el tratamiento.
Una EIPD es un proceso concebido para describir el tratamiento de datos de carácter
personal, evaluar su necesidad y proporcionalidad y ayudar a gestionar los riesgos para los
derechos y libertades de las personas físicas derivados de tal tratamiento, identificándolos,
evaluándolos y determinando las medidas para mitigarlos. Definirlo como proceso significa
que no es una actividad puntual y aislada en el tiempo. La EIPD es un proceso de análisis
de un tratamiento que se extiende en el tiempo, a lo largo de todo el ciclo de vida de un
tratamiento de datos personales, incluida su fase de diseño, y que se ha de revisar de forma
continua, “ al menos cuando exista un cambio del riesgo que representen las operaciones de
tratamiento ” (art.35.11 del RGPD).
Las EIPD son instrumentos importantes para la rendición de cuentas, ya que ayudan a los
responsables no solo a cumplir los requisitos del RGPD, garantizando los derechos y
libertades de las personas que acuden a los estadios de fútbol, en concreto a las gradas de
animación, sino también a demostrar que se han tomado medidas adecuadas para
garantizar el cumplimiento del Reglamento.
Es fundamental que el recurso a esas tecnologías se haga respetando debidamente los
principios de legalidad, necesidad, proporcionalidad y min imización de los datos
establecidos en el RGPD. Si bien el uso de estas tecnologías puede percibirse como
particularmente eficaz, los responsables deben, en primer lugar, evaluar el impacto en los
derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su
objetivo legítimo del tratamiento.
El Grupo de Trabajo del artículo 29, en su Dictamen 3/2012 sobre la evolución de las
tecnologías biométricas, indica que “ Al analizar la proporcionalidad de un sistema biométrico
propuesto, es preciso considerar previamente si el sistema es necesario para responder a la
necesidad identificada, es decir, si es esencial para satisfacer esa necesidad, y no solo el
más adecuado o rentable. Un segundo factor que debe tenerse en cuenta es la probabilidad
de que el sistema sea eficaz para responder a la necesidad en cuestión a la luz de las
características específicas de la tecnología biométrica que se va a utilizar. Un tercer aspecto
para ponderar es si la pérdida de intimidad resultante es proporcional a los beneficios
esperados. Si el beneficio es relativamente menor, como una mayor comodidad o un ligero
ahorro, entonces la pérdida de intimidad no es apropiada. El cuarto aspecto para evaluar la
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

111 / 139
adecuación de un sistema biométrico es considerar si un medio menos invasivo de la
intimidad alcanzaría el fin deseado”.
La evaluación de la necesidad, y la proporcionalidad debe conducir a la toma de una
decisión sobre si el tratamiento es viable o, por el contrario, no lo es de acuerdo a la forma
en que está planteado.
Cuando no sea posible demostrar la necesidad y la proporcionalidad de un tratamiento de
alto riesgo o de las operaciones de tratamiento que pudieran formar parte de este, no se
recomienda avanzar en la evaluación de impacto en protección de datos
Estos son requisitos cumulativos que suponen una garantía adicional en el tratamiento de
datos de su titular, que tiene en cuenta que, si la consecución de los fines previstos puede
realizarse sin tratamiento de datos personales, o con menos extensión e intensidad de uso
de esos datos, será preferible esta vía y supondrá que no es necesario llevar a cabo
tratamiento alguno de datos, y subsidiariamente, que la recogida de datos sea necesaria
para la finalidad establecida o pretendida y si lo fuera, que sea proporcional.
Además, dentro del contexto objeto de las denuncias, habría que indicar que al poco tiempo
de aprobarse el RGLNFP, a finales de 2015, se publica el RGPD en el DOUE el 4/05/2016,
que tenía dispuesta su entrada en vigor el 24/05/2016, aplicable a partir del 25/05/2018, por
lo que la prohibición del uso de datos biométricos como regla general ha podido ser
conocida. En relación con ello, el considerando 171 del RGPD, dispone: “ todo tratamiento ya
iniciado en la fecha de aplicación del presente reglamento debe ajustarse al presente
reglamento en el plazo de dos años a partir de la fecha de su entrada en vigo r”, y los
responsables del tratamiento deben velar por que este sea conforme con sus obligaciones a
partir del 25/05/2018 (además de con el resto de las obligaciones en virtud del RGPD).
Las Directrices del GT 29 sobre la evaluación de impacto (EIPD) relativa a la protección de
datos y para determinar si el tratamiento “entraña probablemente un alto riesgo ” a efectos
del Reglamento (UE) 2016/679 adoptadas el 4/04/2017, revisadas por última vez y
adoptadas el 4/10/2017, indican sobre las operaciones de tratamiento ya existentes que “ El
requisito de realizar una EIPD se aplica a operaciones de tratamiento existentes que
probablemente entrañan un alto riesgo para los derechos y libertades de las personas
físicas y para las que se ha producido un cambio de los riesgos, teniendo en cuenta la
naturaleza, el alcance, el contexto y los fines del tratamiento ”.
Se concluye pues, que la LNFP determinó con carácter general, fines y medios para el
tratamiento de los datos necesarios para acceder a las gradas de animación de los estadios
de fútbol, zona específica de los mismos, que también define el RGLNFP como que “ tenga
instalado el sistema de acceso mediante reconocimiento biométrico ”. Sin embargo, no
consta, que solicitada a la LNFP la “ valoración del principio de proporcionalidad del
tratamiento de dichos datos para esta finalidad ”, la hubiera superado, dado que respondió
que no es la responsable del tratamiento por lo que no hizo ninguna valoración.
La LNFP es responsable del tratamiento de datos personales de carácter biométrico para el
acceso a las gradas de animación de los estadios de fútbol de primera y segunda división,
no solo al haber aprobado la norma que instaura como obligatoria para sus Clubs y SAD
afiliados, como finalidad de lucha contra la violencia, el racismo, la intolerancia y la
xenofobia, sino, también por delimitar en relación con el diseño del sistema mediante su filial
SEFPSA tales medios que implican riesgos para los derechos y libertades de los abonados,
y que debió contar y superar una previa EIPD.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

112 / 139
Sin perjuicio de posteriores intervenciones en el tratamiento de datos de otros responsables,
Clubes y SADs, que en función de las circunstancias concretas de las instalaciones están
sujetos a la obligación en su ámbito.
Sobre la alegación de la LNFP a la propuesta, que desconoce elementos diferenciadores y
que forman parte de los tratamientos de datos biométricos llevados a la práctica por los
Clubes y SAD, para poder confeccionar la EIPD, o que se pretende que se hagan dos EIPD
sucesivas, al haberse sancionado al ***CLUB.4 ya, o que no se considera responsable del
tratamiento por cuanto el RGLNFP fue aprobado por el CSD, se debe señalar:
-Respecto de la aprobación del RGLNFP como acto administrativo e imputable a la voluntad
del C.S.D., se ha de recordar que dicho requisito lo fue de mera legalidad en su momento
específico, 23/12/2015, lo que no resta a que se debería haber modificado para actualizarse
en su caso a la nueva normativa que supuso el RGPD. Por otro lado, en la materia que nos
compete, régimen de venta de abonos y entradas a las gradas de animación de los estadios
para presenciar los partidos de fútbol de las competición oficial de primera y segunda
división que incide en las personas abonadas resultan afectados en sus derechos terceros
que no forman parte de los asociados a la Liga, ni a las Federaciones fuera de la sujeción
especial que abarcaría su capacidad de autoregulación. Igualmente, que sea un acto
administrativo imputable a una autoridad administrativa relacionada con el deporte no incide
en que el RVAE lo es de la propia Liga y surgió de su propia iniciativa, no procede de la
administración que ejerce la tutela.
-El artículo 4.7 del RGPD define al responsable del tratamiento como “ una persona jurídica o
física que solo o junto con otros determine los fines y medios del tratamiento ”.
-Los Clubes y las SAD son asociados de la LNFP. Estas entidades no solo materializan los
tratamientos que aparecen definidos y diseñados en el RGLNFP-RVAE, sino que son los
organizadores y responsables de la mayoría de las medidas relacionadas con las cuestiones
de violencia en los estadios a que alude la Ley 19/2007.
-Se ha de tener en cuenta que ante situaciones en que “ dos o más responsables determinen
conjuntamente los objetivos y los medios del tratamiento ”, cabe la posibilidad de que
“ determinen de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las
obligaciones impuestas ” por el RGPD, según dispone el artículo 26.1 del RGPD.
-De acuerdo con lo recogido en las Directrices sobre la evaluación de impacto relativa a la
protección de datos -EIPD y para determi9nar si el tratamiento entraña probablemente un
alto riesgo a efectos del RGPD, adoptadas el 4/04/2017, la EIPD puede integrar diferentes
formas. Una EIPD puede afectar a una única operación de tratamiento de datos. Sin
embargo, el artículo 35, apartado 1, establece que “ una única evaluación podrá abordar una
serie de operaciones de tratamiento similares que entrañen altos riesgos similares ”. El
considerando 92 añade que “ hay circunstancias en las que puede ser razonable y
económico que una evaluación de impacto relativa a la protección de datos abarque más de
un único proyecto, por ejemplo, en el caso de que las autoridades u organismos públicos
prevean crear una aplicación o plataforma común de tratamiento, o si varios responsables
proyectan introducir una aplicación o un entorno de tratamiento común en un sector o
segmento empresarial o para una actividad horizontal de uso generalizado ”.
“ Cuando la operación de tratamiento implica a corresponsables, estos deben definir de
forma precisa sus respectivas obligaciones. Su EIPD debe establecer qué parte es
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

113 / 139
responsable de las distintas medidas destinadas a abordar los riesgos y proteger los
derechos y libertades de los interesados. Cada responsable del tratamiento debe expresar
sus necesidades y compartir información de utilidad…”
-Entre las posibles garantías para los derechos y libertades de los interesados deberá
estimarse la posibilidad que el RGPD recoge también en su artículo 35.9 de pedir, cuando
proceda, las opiniones de los interesados o sus representantes, como por ejemplo
asociaciones, en relación con el tratamiento.
Por ello, se estima que, para la implantación del tratamiento biométrico, debería haber
realizado y superado una EIPD, por lo que la LNFP ha infringido dicho artículo 35 del RGPD.
VI Respuesta a alegaciones
En cuanto a la alegación formulada al acuerdo de inicio y en la propuesta de que ha
sufrido indefensión y vulneración del artículo 53. 1 a) de la LPACAP y en consecuencia con
la infracción de la tutela judicial efectiva del artículo 24 de la Constitución, por los motivos
expuestos en el punto 2 del HECHO OCTAVO y en el punto 1.b del HECHO
DECIMOSEGUNDO en que se agrupan. En resumen, que ha habido según la LNFP, partes
de documentos del informe de actuaciones previas que no se entregaron, las cuestiones que
se hicieron al ***CLUB.4, que instauró un sistema de control biométrico y que a juicio de la
LNFP pueden resultar sustanciales para demostrar que la imputación resulta infundada, y
como no ostenta en relación con dicho tipo de tratamientos, la consideración de responsable
del tratamiento. También que la reclamación no se dirigía contra la LNFP, decidiendo la
AEPD que afectara a la LNFP y al ***CLUB.4, efectuando una sola actuación de
investigación “ de forma conjunta ”, “ Al entender que podía existir un nexo de unión entre
ambas”. Con respecto a las mismas, cabe indicar:
La LNFP pretende que se le dé a conocer los documentos de la investigación de otra
reclamación frente a otra entidad de la que pudieran derivar responsabilidades distintas al
presente caso en un procedimiento de actuaciones previas de investigación con
multiplicidad de investigados.
- El artículo 64.2 de la LOPDGDD señala que “ Admitida a trámite la reclamación, así
como en los supuestos en que la Agencia Española de Protección de Datos actúe por propia
iniciativa, con carácter previo al acuerdo de inicio podrá existir una fase de actuaciones
previas de investigación, que se regirá por lo previsto en el artículo 67 de esta ley orgánica.”,
que señala que serán: “ a fin de lograr una mejor determinación de los hechos y las
circunstancias que justifican la tramitación del procedimiento”. Tan solo se añade que estas
actuaciones previas, se someterán a lo dispuesto en la sección 2ª del capítulo I del título VII
de esta LO”, que se titula: “Potestades de investigación y planes de auditoría preventiva”, y
que contiene el artículo 52: “Deber de colaboración“, que prescribe la obligación de
particulares, de proporcionar a la AEPD, los datos, informes, antecedentes y justificantes
necesarios para llevar a cabo su actividad de investigación . El artículo 53 “alcance de la
actividad de investigación “, indica que:
“1. Quienes desarrollen la actividad de investigación podrán recabar las
informaciones precisas para el cumplimiento de sus funciones, realizar inspecciones,
requerir la exhibición o el envío de los documentos y datos necesarios, examinarlos
en el lugar en que se encuentren depositados o en donde se lleven a cabo los
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

114 / 139
tratamientos, obtener copia de ellos, inspeccionar los equipos físicos y lógicos y
requerir la ejecución de tratamientos y programas o procedimientos de gestión y
soporte del tratamiento sujetos a investigación”.
-La documentación que no se entregó, lo fue porque formaba parte de otra parte de
las actuaciones previas de investigación contra el ***CLUB.4 , debido a que una reclamación
contra dicha entidad fue presentada en la .... .. ...... ............. ........ ...
hechos similares. Entidad que como responsable de aquel tratamiento fue considerada
investigada y se tramitó su procedimiento de forma individualizada, paralela con elementos
comunes en los cuestionados (C.S.D., SEFPSA) sin que las actuaciones previas, y menos
las alegaciones y documentos presentados por aquella parte se tengan como parte del
presente procedimiento. El hecho de que el citado Club pudiera presentar respuestas
relacionadas con la descarga de los hechos imputados que interesarían a la Liga, además
no deja de ser una hipótesis que por sí misma no resulta suficiente para el conocimiento de
la parte de lo alegado y aportado por otra entidad en otro procedimiento por el mero hecho
de usar el sistema biométrico que instaura la LNFP, y ser el CF ***CLUB.4 un asociado de la
LNFP. Tampoco la .... .. ........ ... ............. .......... .. ......... .. ..
expediente previo, como alega la LNFP, pues las actuaciones previas que eran la
procedencia del contenido que manifiesta se le ha de revelar, no constituyen todavía un
procedimiento, y como se ha reseñado constituían las investigaciones a otra entidad.
-La motivación que justifica la apertura de este procedimiento queda extraída en
todos sus elementos de las actuaciones previas de investigación iniciadas por acuerdo de
2/01/2023 de la Directora de la AEPD, como consecuencia de los hechos denunciados, sin
que, por otro lado, el reflejo de una entidad especifica que pudiera constar en la denuncia
limite el campo de investigación a dicha entidad. La investigación no se enfocaba ni a la
LNFP ni al ***CLUB.4 , sino que se origina en el acuerdo de la Directora que investiga unos
hechos, y su sentido late en el concepto de las actuaciones previas de investigación de
averiguación de unos hechos en base a lo que se pone en conocimiento.
-En alegaciones a la propuesta- HECHO DECIMOSEGUNDO (PRIMERA, b)-
considera la LNFP que lo sustraído a su conocimiento son hechos “ sustancialmente
relevantes para negar su condición de responsables del tratamiento ”, reproduce parte de lo
que contiene en el citado PS/483/2023, incidiendo en lo que indica son varios párrafos, que
asevera acreditarían en tres escritos respuesta del CF ***CLUB.4 , si bien los extremos que
se contienen en la citada resolución, no derivan de ningún hecho acreditado, dado que era
el acuerdo de inicio y el procedimiento sancionador finalizó con el abono de la sanción antes
de su finalización y reconocimiento de responsabilidad en el plazo de alegaciones, luego lo
único que se reproduce son manifestaciones o documentos que aportan las partes, como
antecedentes de hecho. Por otro lado, los párrafos que reproduce de parte de la resolución
que a su juicio son indicios de lo relevante que no se le ha dado, no pueden ser menos
indicativos de lo contrario, pues de su reproducción se constata que ya figuran tales
informaciones reflejadas en este procedimiento extraído del relato de la LNFP y el resto de
los actores a los que se cuestionó, elementos que se han tenido en cuenta y valorados ya
en la propuesta. En cuanto a la responsabilidad que se derivó en ese procedimiento contra
el ***CLUB.4, en el mismo no se afectaba ni trataba aspecto alguno relacionado con la
LNFP, sin que se prejuzgue aspecto alguno por el hecho de que el ***CLUB.4 llevara a
efecto práctico los tratamientos efectivos de acceso de las personas abonadas a las gradas
de animación, y como se reitera en estos fundamentos, siendo posible no tratar en
efectividad los datos y a la vez poder ser considerado responsable del tratamiento. Por
último, la tesis que pretende hacer valer la LNFP de que son los Clubes los únicos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

115 / 139
responsables del citado tratamiento y sus razonamientos han sido alegaciones que ya hizo
dentro del acuerdo de inicio y se han tenido en cuenta, siendo las razones que figuran en el
acuerdo de inicio y que reproducen el mismo, las únicas que posibilitaron el inicio del mismo.
Junto a ello, la obligación del principio del artículo 5.2 del RGPD impone al responsable del
tratamiento, conforme al principio de « responsabilidad proactiva » enunciado en dicha
disposición, que es responsable del cumplimiento de lo dispuesto en el apartado 1 de ese
mismo artículo y debe ser capaz de demostrar que respeta cada uno de los principios
establecidos en ese apartado 1, de modo que recae sobre él la carga de tal prueba. En ese
sentido se ha manifestado el TJUE en su sentencia de 24/02/2022, C - 175/20,
EU:C:2022:124 (apartados 77, 78 y 81).
Asimismo, es relevante que la LNFP alega que el ***CLUB.4 ha podido aportar algún
documento que descargue su responsabilidad que ayudara a considerarle que no es
realmente el responsable del tratamiento, cuando a pesar de que dicha valoración deriva de
un conjunto de análisis y contexto que aquí se analizan, sin embargo, la LNFP en
actuaciones previas si acredita disponer de toda la información de todos los Clubs y SAD en
cuanto a medidas implantadas de accesos, de entradas y seguridad, como muestra:
-Con fecha 27/07/2023, según figura en el HECHO CUARTO conocía qué equipos, que
medios y desde cuando utilizaban los datos biométricos para el acceso a las gradas de
animación, los medios alternativos, las retiradas de los sistemas etc.
-Copia de los protocolos de seguridad, prevención y control de Clubes y SAD (documentos 2
a 73) que señala el artículo 5 del RD 203/2010 que se han de poner a disposición de la
CEVRVXID.
-Copia de los reglamentos internos de los Clubes y SAD, documentos 74 a 114.
-Manifestando también la LNFP que: “ En la actualidad, todos los Clubes asociados a la
LNFP, con las únicas excepciones del ***CLUB.1, el ***CLUB.2 ., y el ***CLUB.3 . utilizan en
el acceso a los recintos exclusivamente los dispositivos de reconocimiento biométrico
facilitados por la LNFP a través de SEFPSA. No obstante, estos Clubes del mismo modo
que los restantes, utilizan los medios alternativos a los biométricos para el acceso, puestos
a disposición por la LNFP .”. Ello, además de los tornos generales de acceso a los recintos.
- La electrónica de control del torno tiene capacidad de almacenamiento de las plantillas de
las huellas dactilares y de identificación (1:N) de las mismas.
En ambos documentos se incluían los documentos de la mayoría de los equipos, incluyendo
las del ***CLUB.4 (agosto 2021), y detalles de los accesos, entradas y su control,
infraestructuras y otras medidas.
Para apreciar la existencia de lesión constitucional, no basta la existencia de un defecto
procedimental, sino que es igualmente necesario que éste se haya traducido en indefensión
material, esto es, en un perjuicio real y efectivo, nunca potencial y abstracto, de las
posibilidades de defensa en un procedimiento con las necesarias garantías (SSTC 15/1995,
de 24 de enero y 1/2000, de 17 de enero). La presunta indefensión por no conocer lo
expuesto por otro Club en otro procedimiento, no es una indefensión real o material, no
puede ser formal o hipotética.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

116 / 139
Se trata pues, no solo de hechos distintos que forman parte de otro procedimiento, que no
justifican la comunicación de información y datos, sino que como alegación ha de ser
desestimada por que ninguna indefensión real o significativa se le ha podido causar.
Sobre la alegación de que al no ser informada en actuaciones previas de su posición o en
calidad de que se le solicitaba la información, aduce que desconocía el contenido concreto
de su deber de colaboración, citando un artículo de la LPACAP, se debe señalar que la
normativa aplicable a los procedimientos desarrollados por la .... .. ... ...... .. .é.....
jurídico previsto en el artículo 63.2 de la LOPDGDD, que señala:
“ Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán
por lo dispuesto en el Reglamento (UE) 2016/679, en la presente ley orgánica, por las
disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con
carácter subsidiario, por las normas generales sobre los procedimientos administrativos ”, y
que como ya se ha mencionado, el régimen de colaboración se prevé en la sección 2 del
Capítulo I del título VII.
Además, a la LNFP se le informó de la base en que se formulaba la petición de información
y no se acredita haber perjudicado el derecho de defensa en la posible posterior incoación,
dado que en la fase de actuaciones previas de investigación no se imputaba aspecto alguno
a la LNFP, y si se ha imputado con posterioridad, no se acredita por ello vulneración alguna
de su posición de investigado a presunto responsable en el acuerdo de inicio.
Sobre la alegación de la LNFP de que la medida provisional acordada no es un acto
de trámite e iba a ser impugnada, y solicitando se suspenda cautelarmente, se ha de incidir
en que la sala de lo contencioso-administrativo de la Audiencia Nacional ha resuelto en
primera instancia la misma, denegando la petición de la LNFP y manteniéndose la medida,
con independencia de que actualmente se pueda encontrar pendiente de resolución su
impugnación.
Sobre la alegación a la propuesta de la LNFP de que el RGLNF es un acto
administrativo aprobado por el CSD como requisito de legalidad, que tiene como esencia
salvaguardar la actuación, que como ente instrumental privado tiene encomendada la LIGA,
se ha de significar que la normativa aprobada sobre el RGLNFP/RVAE no puede ser
monolítica, y desde la aprobación en 23/12/2015, la LNFP ni impulsó su modificación para
ajustarlo a las exigencias de la normativa que cambiaba el sistema de tratamiento y
garantías de los datos personales, con el RGPD (nueva legalidad) ni ajustó su
comportamiento a dicha variación llevando a efecto los diversos mecanismos de
cumplimiento en el tratamiento de este tipo de datos y para los fines que en 2015 había
determinado y se venían usando por sus clubes de futbol y sociedades anónimas deportivas
asociados.
Por otro lado, de la alegación a la propuesta que la aprobación del RGLNFP procede
del ejercicio que de las competencias que de las LIGAS se contienen en el artículo 95.2.1)
de la Ley del Deporte de 2022 complementado con el 25 del Real decreto 1835/1991 de
20/12 sobre Federaciones deportivas españolas y Registro de Asociaciones Deportivas, se
ha de indicar que lo que se valora no es el Reglamento en su totalidad, es el régimen que
afecta a derechos de las personas, abonadas a las gradas de animación en los estadios con
la instauración de un régimen singularizado, excepcional, que establecido en 2015 no ha
pasado por el tamiz de la nueva regulación que prevé el RGPD desde su entrada en vigor
para acomodarse a las exigencias que manifiesta esa normativa se han de cumplir en el
tratamiento de este tipo de datos. Los datos afectados por este régimen singularizado y que
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

117 / 139
pueden guardar cierta conexión con la seguridad de los estadios es una materia que no se
asemeja a la propia de la organización de las competiciones que se encomienda por la
citada Ley del Deporte y el Real Decreto señalado.
Considera también la LNFP que la previsión de utilizar sistemas biométricos en los
campos de fútbol y en las gradas de animación enlaza con las determinaciones legales y
reglamentarias en materia de prevención de violencia y de la seguridad en los estadios.
Junto a ello, conviene reiterar parte del contenido del preámbulo del RGLNFP que señala
“ I.- Entre los objetivos principales de la LIGA, se encuentra el de mantener una
política de tolerancia cero contra cualquier acto violento, racista, xenófobo o
intolerante en el fútbol profesional español y, para ello, ostenta diferentes
competencias materiales en relación con la prevención de dichas actuaciones que le
ha encomendado el legislador deportivo estatal.
En el marco de las referidas competencias, el artículo 3.2 l) de los Estatutos Sociales
de la LIGA, establece la relativa a determinar las condiciones que deben reunir las
instalaciones deportivas de los estadios para la celebración de las competiciones
profesionales, así como las normas de seguridad y de control de accesos que
pudieran establecerse”.
Sin embargo, si se repasan las normas que aluden a la violencia, al racismo y la seguridad,
Ley 19/2007 de 11/07 y RD y RD 203/2010 de 26/02, en ningún extremo se alude para tales
fines-régimen de requisitos de venta de abonos de entradas y accesos a los estadios
(gradas de animación) - a competencias de la LNFP. Las cuestiones de seguridad y referidas
al objeto de dichas normas imponen su cumplimiento a los organizadores responsables de
todos los recintos deportivos que, si se citan en el Reglamento de manera repetitiva, con
obligaciones de distinto contenido y alcance.
Se recuerda a tal efecto el artículo 15.3 del citado RD “ venta de los billetes de entrada ”,
incluido en la sección 2 de “ Condiciones de expedición, formato y características de los
billetes de entrada”, que además de no establecer un mecanismo específico, no precisa sino
a quien corresponderá su cancelación:
“3. En los supuestos contemplados en el artículo 13.1 de la Ley 19/2007, de 11 de
julio, la comprobación y seguimiento de la identidad de quienes adquieran entradas o
el control de la distribución de localidades se realizará implantando sistemas de
venta de entradas nominativas y desarrollando procedimientos que permitan
supervisar la distribución de localidades asignadas y conocer la identidad de los
poseedores de títulos de acceso a las instalaciones deportivas.
El tratamiento de los datos obtenidos con arreglo a estos procedimientos se limitará
a proporcionar información sobre quienes accedan o pretendan acceder a los
recintos deportivos, con la finalidad de garantizar el cumplimiento de las
prohibiciones existentes y, en su caso, depurar las responsabilidades a que hubiere
lugar.
Los organizadores cancelarán los datos de las personas que hubieran accedido al
espectáculo deportivo cuando concluya el mismo, conservando exclusivamente los
datos necesarios para identificar a quienes pudieran haber realizado conductas
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

118 / 139
prohibidas por la Ley 19/2007, de 11 de julio, que sólo podrán ser cedidos a las
autoridades u órganos competentes en materia de seguridad pública.”
Igualmente, la aprobación del RGLNFP por el C.S.D. no fue en aquella época sino la
confirmación de su ajuste a la legalidad en dicha fecha, pero el mismo surgió y se completó
en sede de la LIGA poniéndolo en bloque al C.S.D. para su aprobación, previa la decisión de
la ASAMBLEA GENERAL de LA LIGA, en la que están representados también los Clubes y
SAD, y a los que les afecta también el citado establecimiento del RVAE, ignorándose su
posición tanto en la aprobación como con ocasión de la traslación al nuevo régimen del
RGPD.
Sin perjuicio de que en la fundamentación jurídica de la presente resolución, en el FD
IV al que nos remitimos, quedan debidamente motivadas, las razones por las que la LNFP
es responsable del tratamiento de las operaciones de tratamiento consistentes en la
contratación del sistema de reconocimiento biométrico, para procurar el control de acceso a
los estadios de primera y segunda división en relación con la grada de animación, puesto
efectivamente a disposición de los clubes de fútbol y sociedades anónimas deportivas,
procederemos a contestar las alegaciones formuladas sobre este particular.
La LNFP afirma en sus alegaciones a la propuesta de resolución que se considera un mero
facilitador de una solución tecnológica para los clubes y sociedades anónimas deportivas,
más lo cierto es que la decisión de implementar ese sistema comporta determinación de los
fines y medios del tratamiento dentro del concepto funcional de responsable del tratamiento:
de los fines porque la propia parte reclamada ha decidido que para el control y acceso a los
estadios en espectáculos deportivos se van a utilizar datos biométricos; y porque también ha
decido, y para cumplir con la finalidad anterior, sobre los medios del tratamiento pues ha
dispuesto contratar con una empresa de su grupo un sistema determinado, con
características y especificaciones propias, y no otros de los que están disponibles en el
mercado, optando por una determinada solución tecnológica.
Amén de que ese sistema implementado deba cumplir con las previsiones del RGPD,
puesto que la forma de realizar el tratamiento de datos personales dependerá de cómo se
haya previsto y diseñado el sistema y si en su diseño ha tenido en consideración los riesgos
en los derechos y libertades de los interesados (por ejemplo, qué sucede si se imposibilita la
entrada de una persona a un estadio porque deje de funcionar el sistema o porque no
reconozca a aquella). La tecnología no es neutral y las soluciones tecnológicas también
están sujetas, cuando sean el medio para realizar tratamientos de datos personales, a la
aplicación de la normativa de protección de datos.
En relación con la alegación relativa a que no son responsables del tratamiento puesto que
no han decidido sobre qué concreto dato biométrico se va a recopilar, sobre el régimen de
conservación de los datos, sobre quién tiene acceso a los datos o cuáles son las categorías
de interesados, hemos de indicar que la LNFP es responsable del tratamiento de su fase del
tratamiento, sin que le incumban decisiones u obligaciones posteriores de otros
responsables del tratamiento.
En este sentido, la LNFP ha decidido tratar datos biométricos, lo que supone en sí mismo
una decisión sobre los medios aun cuando señala no haya querido concretar qué dato
biométrico específico debe tratarse, si bien se parte de toda una serie de elementos sobre el
citado sistema, los datos a tratar van a ser, según se desprende del RGLNFP:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

119 / 139
-los genéricos para cualquier abono de temporada ( a) datos de filiación (nombre y apellidos
y documento acreditativo de la identidad), b) datos de contacto (domicilio a efectos de
notificaciones, teléfono de contacto y dirección de correo electrónico).
-aquel dato biométrico que se determine, que ha coincidido con el transcurso del tiempo en
los equipos usuarios, que ha sido la huella dactilar. La Sociedad instrumental de la LNFP,
SEFPSA indicó a 15/09/2023 que para los accesos a las gradas de animación eran siete los
equipos de primera división y ocho de segunda los que tenían implantado su solución
técnica que incorporaba tecnología biométrica para el acceso citado.
-en el momento de la adquisición del título de acceso, por parte del Club/SAD afiliado se
asociará al aficionado con la filiación facilitada y el dato biométrico.
-a través del consentimiento del interesado.
-informando de las finalidades para el tratamiento de los referidos datos de carácter
personal, de conformidad con la normativa vigente en materia de protección de datos de
carácter personal.
-estos títulos serán personales e intransferibles.
-Además, si se instaura otro sistema que no sea el biométrico, sería en su caso: “con
carácter excepcional y puntual”, y, el Club /SAD ha de dar conocimiento a la LIGA al
comienzo de entrada en funcionamiento, a efectos de “ conocimiento y validación ”.
En todo caso también está claro que el sistema elegido no se ha pensado y diseñado para
utilizarlo con cualquier dato biométrico (los más comunes son la huella dactilar o el
reconocimiento facial, pero también puede utilizarse el reconocimiento de la voz, la forma de
caminar, la geometría de la mano o el patrón de tecleo en un ordenador, entre muchos otros)
que requeriría prescripciones técnicas específicas en el sistema para efectuar su
tratamiento, sino que, de entre todos los posibles, ha dispuesto un sistema para una
tipología de datos biométricos que cuentan con unas características específicas para que
pueda utilizarse el sistema, lo cual también implica una decisión.
También ha determinado para qué categorías de interesados se refiere el tratamiento de
datos personales, esto es, los aficionados que accedan a la grada de animación de los
estadios de fútbol de primera y segunda división.
En relación con la conservación de los datos, el propio sistema determina que estos han de
ser conservados, indicando incluso dónde (en los servidores del club o sociedad anónima
deportiva), lo cual comporta una decisión sobre la conservación de los datos.
En este sentido, requerida información a la SEFPSA, con fecha 22/08 y 4/09/2023, contestó
sobre este particular que facilita a los Clubes tanto el hardware como el software necesario
para que pueda llevarse a cabo el control biométrico de acceso a los estadios indicando que
“ Por ello, en la versión original de los sistemas aportada por SEFPSA, los datos biométricos
estarían almacenados en el Servidor de Gestión de Identificación ((...)) ubicado en las
instalaciones del Club”.
Y todo ello sin perjuicio de que, como es obvio, el responsable del tratamiento ulterior, cada
club de fútbol o sociedad anónima deportiva, que trate los datos de sus aficionados es a
quien le corresponda determinar, respecto de las operaciones de tratamiento de datos
personales que esté llevando a cabo en su fase del tratamiento, sobre el plazo de
conservación de los datos o la forma de llevar a cabo su supresión, cuestión además vetada
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

120 / 139
a LALIGA puesto que ya dichas operaciones de tratamiento no pertenecen a su fase del
tratamiento.
Idéntica previsión acontece respecto de quién accede a los concretos datos personales, que
se determinará, conforme a la protección de datos por defecto, en el marco de la
organización e idiosincrasia de cada club o sociedad anónima deportiva.
Como vemos, la LNFP es responsable del tratamiento dado que determina la finalidad y los
medios del tratamiento, teniendo esta consideración no por cuestiones generales, sino en
atención a decisiones muy concretas que adoptan, tal y como se acaba de poner de
manifiesto.
Ni el RGPD ni la AEPD, por tanto, consideran que una entidad es responsable del
tratamiento ante, como dice LIGA, cualquier actividad que remotamente pueda relacionarse
con un tercero, sino únicamente cuando decida sobre los fines y medios del tratamiento,
poniendo de manifiesto en este caso examinado la influencia decisiva de la LNFP en el
tratamiento de datos personales, pues los sucesivos responsables del tratamiento que han
utilizado este sistema dispuesto para ellos por la LNFP en el marco de sus competencias de
control de acceso a los estadios están vinculados a todos sus condicionantes y sus
especificaciones, no pudiendo modificar el mismo y contando sólo con el margen de
actuación que el sistema les permite (lo que también ha sido decido por la LNFP). Es
indudable que el sistema de la LNFP es la base (y no sólo técnica, como hemos visto, pues
inciden en el tratamiento de los datos personales) sobre la que se sustentan las operaciones
de tratamiento efectuadas posteriormente por otros responsables del tratamiento,
integrándose las actuaciones de la LNFP en el concepto amplio de tratamiento de datos
personales (tal y como se quiso significar con las STJUE citadas) a los efectos de procurar
la protección eficaz de los interesados conforme al RGPD.
Es cierto que a partir del sistema genérico contratado por la LIGA en el ámbito de los fines y
competencias que le son propios, en atención a las previsiones legales y estatutarias ya
citadas, puesto a disposición de los clubes de fútbol y sociedades anónimas deportivas de
primera y segunda división, se ha llevado a término, en una fase ulterior del tratamiento y
por otros responsables del tratamiento, operaciones de tratamiento que comprenden el
tratamiento material de datos personales de los interesados en otra fase del tratamiento.
Esto último no hurta a las operaciones de tratamiento determinadas por la LNFP de su
condición de tratamiento de datos personales como se explicará a continuación.
Y es que, el RGPD establece un sistema de gestión de cumplimiento normativo que, desde
la responsabilidad proactiva y el enfoque de riesgos (en los derechos y libertades de los
interesados), determina la obligatoriedad del cumplimiento de una serie de obligaciones,
algunas de las cuales son anteriores a las operaciones de tratamiento consistentes en el
tratamiento material de datos personales.
Así, entre dichas obligaciones se encuentra la relativa a la identificación, evaluación y
valoración de los riesgos en los derechos y libertades de los interesados derivados del
tratamiento de datos personales, la evaluación de la necesidad, idoneidad y
proporcionalidad del tratamiento o la determinación de las medidas técnicas y organizativas
apropiadas de todo tipo para evitar la eventual materialización de los riesgos y la contención
de los daños, en su caso. Y ello se debe de llevar a cabo a través de los instrumentos
previstos por el propio RGPD, citando a tales efectos, cuando un tratamiento de datos
personales entrañe un alto riesgo en los derechos y libertades de los interesados, la EIPD
que ha de ser realizada y superada por el responsable del tratamiento (lo que supone que
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

121 / 139
se arroje un resultado de que ese tratamiento de datos personales puede llevarse a cabo y
en qué términos por ser ajustado al RGPD).
La obligatoriedad de llevar a cabo estas actuaciones con carácter previo forma parte de la
lógica intrínseca del RGPD, puesto que antes de llevar a término las operaciones del
tratamiento consistentes en el tratamiento material de los datos personales de los
interesados, el tratamiento en su conjunto debe de estar perfectamente planificado y
delimitado, constituyendo estas operaciones parte del tratamiento de datos personales.
Lo contrario sería tanto como empezar a construir una casa sin planos, sin realizar los
debidos cálculos, abocando al desastre la construcción, pues todo acierto no sería más que
una mera coincidencia.
Hay que significar que lo ordinario y adecuado, además, tratándose especialmente de datos
biométricos, es que se hagan pruebas del sistema con datos reales, para verificar, entre
otras muchas cuestiones, por ejemplo, la tasa de error del sistema (pues su deficiente
funcionamiento puede imposibilitar la prestación del servicio), por lo que durante estas
actuaciones también se realizan operaciones del tratamiento tratando materialmente datos
personales.
Asimismo, la LNFP considera que no es responsable del tratamiento sino el C.S.D, al
haber aprobado el RGLNFP, como acto administrativo. Sin embargo, tal entendimiento de la
parte reclamada es erróneo puesto que la consecuencia pasaría porque todas las variadas
disposiciones emanadas de la LNFP o por FEDERACIONES y “ aprobada ” por el C.S.D.
(según la normativa vigente sería ratificación), y que pueden afectar o involucrar a
deportistas, técnicos, entrenadores, árbitros, o incluso a terceros, como abonados con
entrada a las gradas de animación, tendrían siempre como responsable del tratamiento de
datos personales a dicha autoridad por mor de su aprobación, siempre responsabilidad de
dicho autorizante. Y ello, con independencia de que de las disposiciones se contuviera la
designación expresa del responsable del tratamiento de los datos personales o se dedujera
de forma implícita quién es el mismo. Asumir este aspecto directamente por toda disposición
“ aprobada ” o “ ratificada ” por el C.S.D. daría lugar a una interpretación contraria al concepto
funcional de responsable del tratamiento, hurtándole del cumplimiento de sus obligaciones
en materia de protección de datos, de la asunción de su responsabilidad proactiva y, por
ende, imposibilitando la protección eficaz de las personas físicas en los términos del RGPD.
La LNFP es responsable del tratamiento de datos biométricos para acceso a las gradas de
animación de los estadios de fútbol de primera y segunda división en base al contenido y
fines que contempla el RGLNFP (incluyendo la idea por la que surge expresada en el
preámbulo que aclara los motivos para la aprobación contenidos en su RVAE).
El impulso de tal medida surge con la aprobación del RGLNFP por la LNFP en 23/12/2015 y
la decisión adoptada en el mismo, y se impulsa más su cumplimiento para pretender que lo
instauren más clubes de fútbol y sociedades anónimas deportivas a partir de 2022.
Debiéndose apreciar, asimismo, que, en ese lapso temporal, varios clubes de fútbol y
sociedades anónimas deportivas ya habían comenzado a usar el citado sistema
proporcionado por la LNFP. El carácter normativo federativo derivado de la aprobación como
parte de fuente de derecho del RGLNFP, en virtud de la potestad autoorganizativa que
ostenta la LNFP por la capacidad jurídica que tiene, produciendo la efectiva aprobación por
el C.S.D., no hurta a la LNFP de su condición de responsable del tratamiento.
Entender lo contrario supondría incluso considerar que los fines, medios y necesidad del
tratamiento han surgido de modo espontáneo, bien por parte de los propios clubes de fútbol
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

122 / 139
o sociedades anónimas deportivas, o bien inclusive sin poder atribuir a un sujeto concreto la
decisión de fines y medios, lo que, no solamente no es posible, sino que choca con los
hechos probados que ponen de manifiesto que es la LNFP quien ha decidido tratar datos
biométricos para una determinada finalidad sobre la que tienen competencia, implementar
ese sistema y contratarlo, y ponerlo a disposición de los clubes de futbol y sociedades
anónimas deportivas, instándoles a su uso.
En cuanto al resto de alegaciones de la LNFP, se han ido desgranando en los
concretos aspectos en los que se tratan las cuestiones: proporcionalidad de la sanción,
responsabilidad del tratamiento o responsabilidad de la infracción.
VII Tipificación y calificación de la infracción
La infracción imputada se tipifica en al artículo 83.4.a) del RGPD que indica:
“Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el
apartado 2, con multas administrativas de 10 000 000 EUR como máximo o, tratándose de
una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total
anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:
a)Las obligaciones del responsable y del encargado a tenor de los artículos 8, 11, 25 a 39,
42 y 43;”
La LOPDGDD establece a efectos de prescripción de la infracción, en su artículo 73.t):
“En función de lo que establece el artículo 83.4 del Reglamento (UE) 2016/679 se
consideran graves y prescribirán a los dos años las infracciones que supongan una
vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
t) El tratamiento de datos personales sin haber llevado a cabo la evaluación del impacto de
las operaciones de tratamiento en la protección de datos personales en los supuestos en
que la misma sea exigible.”
VIII Propuesta de sanción
El artículo 58.2 del RGPD, dispone lo siguiente: “ Cada autoridad de control dispondrá de
todos los siguientes poderes correctivos indicados a continuación:
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada caso
particular;”
LA LNFP en alegaciones a la propuesta, señala que el establecimiento del régimen de los
accesos biométricos a las gradas de animación merece si así fuera, una sanción de
apercibimiento, pues se halla en los supuestos de aplicación del artículo 83.7 del RGPD y
77.2 de la LOPDGDD, citando por analogía la actividad desplegada de organización de una
competición deportiva referida en el recurso 323/2010 de la AN de fecha 1/04/2011,
considerándose como ejercicio de función pública de carácter administrativo contempladas
en el artículo 33.1 de la entonces aplicable Ley 10/1990 del Deporte, actuando bajo la tutela
del C.S.D.
Con ello, lo que subyace es que la regulación del RVAE aprobado en 23/12/2015 que
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

123 / 139
prescribe el tratamiento de datos para los accesos de las personas abonadas a las gradas
de animación de los estadios de los equipos de primera y segunda división en la
competición oficial de la LNFP, que se desarrolló por los diferentes Clubes a lo largo de los
años sucesivos, coincidiendo con la entrada en vigor del RGPD (25/05/2018) y en fechas
posteriores, con la presunta infracción de no haber efectuado una EIPD sobre dichos
tratamientos, le sea de aplicación la sanción de apercibimiento por entender que despliega
dicho tipo de función tutelada por el C.S.D. y calificada como función ejercida por delegación
de una función pública de carácter administrativo. La consecuencia final sería que los
tratamientos que se desarrollaron por los diferentes Clubes a lo largo de los años sucesivos,
y también desde y a partir de la entrada en vigor del RGPD (25/05/2018) y en fechas
posteriores, con la presunta infracción de no haber efectuado una EIPD sobre dichos
tratamientos, le sería aplicable una sanción de apercibimiento, en vez de una multa
administrativa de sanción.
La LNFP no detalla a que parte de la organización de la competición se puede entender
comprendida esa fijación del régimen de venta de abonos y entradas señalada. No se
discute en este sentido que facultades como la disciplinaria deportiva o de licencias
deportivas puedan abarcar dichas funciones delegadas. Otra cuestión resulta de afirmar que
establecer un régimen obligatorio para sus asociados de venta de abonos y entradas a los
estadios (también a las gradas de animación) como procedente de ejercicio de funciones
públicas delegadas con base a su potestad de organización de las competiciones.
Primeramente, el hecho de que se contengan en un Reglamento General aprobado o
ratificado por el C.S.D. que pueda ser de naturaleza administrativa no consigue otorgar esa
categoría o naturaleza al citado régimen de venta de abonos y entradas cuando la
aprobación o ratificación tuvo lugar en 23/12/2015 y se varió la normativa de aplicación
sobre dicho RVAE por el uso de datos biométricos, y habría quedado desfasado en el
cumplimiento normativo. En segundo lugar, se trata de un régimen que afecta no a sus
asociados solamente, sino a personas abonadas que adquieren sus títulos de acceso a los
estadios a los Clubes y la medida afecta a derechos fundamentales de los que son titulares
tales adquirentes.
En la sentencia que de contraste alega la LNFP en sus alegaciones a la propuesta, se
trataba de una sanción económica por la exposición en la web de una Federación deportiva
de los resultados de la competición conteniendo datos personales de menores federados,
indicando en su fundamento SEGUNDO:
“ no puede sino considerarse la fase final del proceso competitivo cuya organización
compete a las federaciones, ejerciendo por delegación funciones públicas de carácter
administrativo al amparo del citado precepto. La organización de la competición
comprenderá varias fases y no concluirá el ejercicio de la función administrativa por
delegación hasta que no se realiza la publicación final de los resultados obtenidos por cada
uno de los deportistas participantes.
Siendo así, la Agencia, en cumplimiento de lo preceptuado artículo 46 de la LOPD (según el
cual cuando las infracciones a que se refiere el art. 44 fuesen cometidas en ficheros de los
que sean responsables las Administraciones públicas, el Director de la Agencia Española de
Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar
para que cesen o se corrijan los efectos de la infracción), debió de establecer las medidas
que considerase que procedía adoptar para que cesasen o se corrigiesen los efectos de la
infracción toda vez que, en estos casos, no se produce el efecto sancionador derivado de la
misma infracción en relación a ficheros privados, procediendo, por ello, anular la resolución
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

124 / 139
impugnada por considerar que la Agencia debió de abstenerse de sancionar a una entidad
como la recurrente cuando ejercía las funciones en las que se produjo la publicación que se
denunció.”
El artículo 83.7 del RGPD señala que “ Sin perjuicio de los poderes correctivos de las
autoridades de control en virtud del artículo 58, apartado 2, cada Estado miembro podrá
establecer normas sobre si se puede, y en qué medida, imponer multas administrativas a
autoridades y organismos públicos establecidos en dicho Estado miembro ”. El artículo 77 de
la LOPDGDD, modificado por la Ley 11/2023 de 8/05, con vigencia desde 10/05/2023
modifica la sanción a imponer de apercibimiento por la declaración de infracción, con las
siguientes prescripciones:
“1. El régimen establecido en este artículo será de aplicación a los tratamientos de los
que sean responsables o encargados:
a) Los órganos constitucionales o con relevancia constitucional y las instituciones de
las comunidades autónomas análogas a los mismos.
b) Los órganos jurisdiccionales.
c) La Administración General del Estado, las Administraciones de las comunidades
autónomas y las entidades que integran la Administración Local.
d) Los organismos públicos y entidades de Derecho público vinculadas o dependientes
de las Administraciones Públicas.
e) Las autoridades administrativas independientes.
f) El Banco de España.
g) Las corporaciones de Derecho público cuando las finalidades del tratamiento se
relacionen con el ejercicio de potestades de derecho público.
h) Las fundaciones del sector público.
i) Las Universidades Públicas.
j) Los consorcios.
k) Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas
autonómicas, así como los grupos políticos de las Corporaciones Locales.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

125 / 139
2. Cuando los responsables o encargados enumerados en el apartado 1 cometiesen
alguna de las infracciones a las que se refieren los artículos 72 a 74 de esta ley orgánica,
la autoridad de protección de datos que resulte competente dictará resolución declarando
la infracción y estableciendo, en su caso, las medidas que proceda adoptar para que cese
la conducta o se corrijan los efectos de la infracción que se hubiese cometido, con
excepción de la prevista en el artículo 58.2.i del Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, de 27 de abril de 2016.”
Sobre la regulación específica del régimen de acceso a los estadios con un título habilitante,
en concreto a las gradas de animación, ni bajo la anterior Ley del Deporte, artículos 33 o 41
(constitución de la Ligas Profesionales y competencias), ni con la actual Ley del Deporte,
artículo 50, se especifica que esa materia y actividad se halle dentro de los supuestos de
actuación sometidos a la tutela y coordinación del C.S.D., sin que quepa una interpretación
extensiva de las materias objeto de dichas funciones, que se explicitan cumplidamente en
los mismos.
Por otro lado, la LNFP como asociación privada, no es un órgano de la administración
pública ni forma parte del sector público.
Así pues, a los efectos de la aplicación del citado artículo y régimen, no se entiende
comprendida la finalidad del tratamiento analizado como ejercicio por delegación de
funciones públicas de carácter administrativo, y tampoco son órganos ni forman parte del
sector público, por tanto, no se puede encuadrar el tratamiento analizado en el citado
régimen.
La determinación de las sanciones que procede imponer en el presente caso exige
observar las previsiones del artículo 83.1 que dispone lo siguiente:
“1. Cada autoridad de control garantizará que la imposición de las multas administrativas
con arreglo al presente artículo por las infracciones del presente Reglamento indicadas en
los apartados 4, 5 y 6 sean en cada caso individual efectivas, proporcionadas y disuasorias.”
Mientras que en el apartado segundo relaciona los criterios aplicables que pueden atenuar o
agravar la infracción según las circunstancias del caso. Por su parte el Considerando 150
del RGPD señala en particular la " naturaleza, gravedad y duración de la infracción y sus
consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones
impuestas por el presente Reglamento e impedir o mitigar las consecuencias de la
infracción ".
Precisa el párrafo 2 del artículo 83:
“2. Las multas administrativas se impondrán, en función de las circunstancias de cada caso
individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58,
apartado 2, letras a) a h) y j). Al decidir la imposición de una multa administrativa y su
cuantía en cada caso individual se tendrá debidamente en cuenta:
a) la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o propósito de la operación de tratamiento de que se trate, así como el número de
interesados afectados y el nivel de los daños y perjuicios que hayan sufrido;
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

126 / 139
a) la intencionalidad o negligencia en la infracción;
b) cualquier medida tomada por el responsable o encargado del tratamiento para paliar los
daños y perjuicios sufridos por los interesados;
c) el grado de responsabilidad del responsable o del encargado del tratamiento, habida
cuenta de las medidas técnicas u organizativas que hayan aplicado en virtud de los artículos
25 y 32;
d) toda infracción anterior cometida por el responsable o el encargado del tratamiento;
e) el grado de cooperación con la autoridad de control con el fin de poner remedio a la
infracción y mitigar los posibles efectos adversos de la infracción;
f) las categorías de los datos de carácter personal afectados por la infracción;
g) la forma en que la autoridad de control tuvo conocimiento de la infracción, en particular si
el responsable o el encargado notificó la infracción y, en tal caso, en qué medida;
h) cuando las medidas indicadas en el artículo 58, apartado 2, hayan sido ordenadas
previamente contra el responsable o el encargado de que se trate en relación con el mismo
asunto, el cumplimiento de dichas medidas;
i) la adhesión a códigos de conducta en virtud del artículo 40 o a mecanismos de
certificación aprobados con arreglo al artículo 42, y
j) cualquier otro factor agravante o atenuante aplicable a las circunstancias del caso, como
los beneficios financieros obtenidos o las pérdidas evitadas, directa o indirectamente, a
través de la infracción.”
Dentro de este apartado, la LOPDGDD contempla en su artículo 76, titulado “ Sanciones y
medidas correctivas ”:
“1. Las sanciones previstas en los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE)
2016/679 se aplicarán teniendo en cuenta los criterios de graduación establecidos en el
apartado 2 del citado artículo.
2. De acuerdo a lo previsto en el artículo 83.2.k) del Reglamento (UE) 2016/679 también
podrán tenerse en cuenta:
a) El carácter continuado de la infracción.
b) La vinculación de la actividad del infractor con la realización de tratamientos de datos
personales.
c) Los beneficios obtenidos como consecuencia de la comisión de la infracción.
d) La posibilidad de que la conducta del afectado hubiera podido inducir a la comisión de la
infracción.
e) La existencia de un proceso de fusión por absorción posterior a la comisión de la
infracción, que no puede imputarse a la entidad absorbente.
f) La afectación a los derechos de los menores.
g) Disponer, cuando no fuere obligatorio, de un delegado de protección de datos.
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

127 / 139
h) El sometimiento por parte del responsable o encargado, con carácter voluntario, a
mecanismos de resolución alternativa de conflictos, en aquellos supuestos en los que
existan controversias entre aquellos y cualquier interesado.
3. Será posible, complementaria o alternativamente, la adopción, cuando proceda, de las
restantes medidas correctivas a las que se refiere el artículo 83.2 del Reglamento (UE)
2016/679.”
Sobre el replanteamiento que propone la reclamada en alegaciones al acuerdo y a la
propuesta de la cuantía de la cifra total de volumen de negocio, que ha de ser objeto de
reducción para su correcto cálculo, y eventualmente que no se tenga en cuenta por no estar
claro si el concepto de empresa del ámbito de la competencia resultaría aplicable, se ha de
tener en cuenta:
Los artículos 3.1) a), b), e) y m) de los Estatutos Sociales de La LIGA, como funciones y
competencias propias, le atribuyen:
a) Organizar, en coordinación con la Real Federación Española de Fútbol y de acuerdo con
los criterios que, en garantía exclusiva de los compromisos nacionales o internacionales
pueda establecer el Consejo Superior de Deportes, las competiciones oficiales de fútbol de
carácter profesional y ámbito estatal.”
b) Desempeñar respecto a sus asociados, las funciones de tutela, control y supervisión,
establecidas en la vigente Ley del Deporte y sus disposiciones de desarrollo, así como
cualquier otra que se establezca mediante acuerdo suscrito entre la LIGA y sus asociados .”
(…)
“e) Explotación comercial de cuantos derechos y productos sean inherentes o consecuencia
de las competiciones que organice, ya sea directamente por la LIGA o mediante cesión de
todo o parte de la explotación comercial a terceras personas físicas o jurídicas, o
constituyendo sociedad con éstas, bajo cualquier forma jurídica y con la participación que se
determine por la Asamblea General siempre que tengan como finalidad principal la
explotación anteriormente citada.”
Serán productos o derechos objeto de comercialización, entre otros, los distintivos
corporativos de marca, logotipos, anagramas, mascota oficial y otros de la Liga Nacional de
Fútbol Profesional, cuya protección jurídica se efectúe mediante la correspondiente
inscripción en el Registro de la Propiedad Industrial, así como la utilización conjunta de los
mismos con la totalidad de los nombres, escudos, logotipos y colores oficiales de las
Sociedades Anónimas Deportivas o Clubes afiliados a la Liga Nacional de Fútbol
Profesional, respetándose, en todo caso, el derecho de contratación individual de las
Sociedades Anónimas Deportivas y Clubes.
De igual forma, podrá ser objeto de comercialización por la Liga Nacional de Fútbol
Profesional la explotación conjunta de los datos oficiales estadísticos de todos los partidos
de las competiciones organizadas por la LNFP, sin perjuicio del derecho de las Sociedades
Anónimas Deportivas y Clubes a explotar individualmente los citados datos estadísticos
respecto de los partidos que haya disputado .”
(…)
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

128 / 139
“ m) La comercialización conjunta de los derechos de explotación de contenidos
audiovisuales de las competiciones futbolísticas que organiza, así como de aquellos otros
derechos audiovisuales sobre competiciones futbolísticas cuya comercialización se le pueda
encomendar o ceder .”
En el BOE de 1/05/2015, se publica el Real Decreto-Ley 5/2015, de 30/04, de medidas
urgentes en relación con la comercialización de los derechos de explotación de contenidos
audiovisuales de las competiciones de fútbol profesional. Conforme al mismo, la titularidad
de tales derechos corresponde a los Clubes o entidades participantes en la correspondiente
competición oficial, (artículo 2.1), pero su participación en ella comporta necesariamente su
cesión a la entidad organizadora de las facultades de comercialización conjunta de los
derechos audiovisuales incluidos en el ámbito de aplicación de este Real Decreto Ley
(artículo 2.2).
La referida entidad organizadora es la Liga Nacional de Fútbol Profesional (LNFP) respecto
del Campeonato Nacional de Liga de Primera y Segunda División (artículo 2.2.a) y la Real
Federación Española de Fútbol (RFEF) respecto de la Copa de S.M. el Rey y de la
Supercopa de España (art 2.2.b). La norma establece criterios detallados sobre las
condiciones de comercialización conjunta, los criterios de reparto y las obligaciones de las
entidades participantes en el Campeonato Nacional de Liga.
Si bien la LNFP es una Asociación deportiva, ello no es obstáculo para que desarrolle
diferentes aspectos de gestión en el campo empresarial, mereciendo su cita el artículo 4.1
del Real Decreto Ley 5/2015:
“1. El sistema de comercialización y explotación de los derechos audiovisuales se regirá por
el principio de libertad de empresa dentro del marco del sistema de evaluación establecido
por la normativa europea y española de la competencia .”
La citada norma, dio lugar al inicio de la gestión centralizada de la LNFP de la
comercialización de los derechos de explotación de contenidos audiovisuales de las
competiciones de fútbol profesional en la temporada 2016/2017.
El artículo 4, del RGPD, en definiciones, indica:” 18) «empresa»: persona física o jurídica
dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las
sociedades o asociaciones que desempeñen regularmente una actividad económica ;”” 19)
«grupo empresarial»: grupo constituido por una empresa que ejerce el control y sus
empresas controladas ;” Este último concepto se utiliza principalmente en el capítulo V del
RGPD, en la expresión «grupo de empresas que ejercen una actividad económica conjunta.
En el informe AXESOR, figura la LNFP como “ empresa matriz global ”, con diferente
porcentaje de participación en el capital de diversas empresas.
El Considerando 150 del RGPD, indica: “ Si las multas administrativas se imponen a una
empresa, por tal debe entenderse una empresa con arreglo a los artículos 101 y 102 del
TFUE. Si las multas administrativas se imponen a personas que no son una empresa, la
autoridad de control debe tener en cuenta al valorar la cuantía apropiada de la multa el nivel
general de ingresos prevaleciente en el Estado miembro, así como la situación económica
de la persona.”
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

129 / 139
El concepto de empresa es un concepto autónomo en el Derecho de la competencia de la
UE, definido por la jurisprudencia de los tribunales de la Unión.
Las empresas son «unidades económicas que consisten en una organización unitaria de
elementos personales, materiales e inmateriales que persigue un objetivo económico
específico a largo plazo y puede contribuir a la comisión de una infracción como la
contemplada en el [artículo 101 del TFUE]». En palabras simples, se entiende por " empresa "
cualquier entidad que ejerza una actividad económica, independientemente de su estatuto
jurídico y de la forma en que se financie. Por lo tanto, el concepto de empresa es de carácter
económico. Este suele ser el caso de los grupos corporativos: la sociedad matriz y la filial —
entidades jurídicas distintas (normalmente sociedades)— constituyen una única empresa si
la relación entre ellas es tan estrecha que, desde el punto de vista económico, forman una
« unidad económica única ».
La referencia a la empresa no debe entenderse en el sentido de que incluye toda la
jurisprudencia específica del Derecho europeo de la competencia, ya que el RGPD tiene sus
propios mecanismos para distinguir qué entidad ha infringido la ley y cómo debe dividirse la
responsabilidad.
El artículo 83 y el considerando 150 del RGPD deben entenderse en el sentido de que, en
caso de que el responsable o el encargado del tratamiento sea una empresa en el sentido
de los artículos 101 y 102 del TFUE (lo que significa que es « una entidad que ejerce una
actividad económica» y no una persona física o un organismo público), el volumen de
negocios combinado de la empresa en su conjunto puede utilizarse para calcular el límite
máximo de la multa, en este caso hasta 10.000.000 de euros o, tratándose de una empresa,
de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global
del ejercicio financiero anterior, ” optándose por la de mayor cuantía .”
De conformidad con el artículo 83.1 del RGPD, las multas administrativas previstas en sus
apartados 4 a 6, han de ser efectivas, proporcionadas y disuasorias. Tres características que
solo pueden predicarse de una multa cuya cuantía se determine en función de la capacidad
económica real o material de su destinatario. De ahí la necesidad de operar con un concepto
material o económico de empresa, antes que emplear una noción estrictamente formal para
el cálculo de la sanción. La definición real o material de empresa característica del derecho
de competencia, entendida empresa como unidad económica la asume el legislador europeo
para la determinación de la cuantía de las multas por infracción del RGPD.
El criterio interpretativo sobre volumen de negocios combinado de la empresa se refleja en
los criterios de la Directrices 4/2022 sobre el cálculo de las multas bajo el RGPD, versión 2.0
de 24/05/2023, como por ejemplo en el párrafo 121 “ en los casos en que el responsable o
encargado del tratamiento sea (parte de) una empresa en el sentido de los artículos 101 y
102 del TFUE, el volumen de negocios combinado de dicha empresa en su conjunto puede
utilizarse para determinar el límite máximo dinámico de la multa (véase el capítulo 6.2.2,
“ Máximo legal y responsabilidad corporativa/determinación del volumen de negocios y de la
responsabilidad corporativa de la empresa/determinación del volumen de negocios) y para
garantizar que la multa resultante se ajuste a los principios de efectividad, proporcionalidad
y disuasión (artículo 83, apartado 1, del RGPD ”
Esta tesis se recoge en el asunto C -807/21, Deutsche Wohnen de 5/12/2023:
“ 56. A este respecto, procede subrayar que, a efectos de la aplicación de las normas de
competencia, contempladas en los artículos 101 TFUE y 102 TFUE, este concepto
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

130 / 139
comprende cualquier entidad que ejerza una actividad económica, con independencia del
estatuto jurídico de esa entidad y de su modo de financiación. Designa, así, una unidad
económica, aunque, desde el punto de vista jurídico, dicha unidad económica esté
constituida por varias personas físicas o jurídicas. Esta unidad económica consiste en una
organización unitaria de elementos personales, materiales e inmateriales que persigue de
manera duradera un fin económico determinado (sentencia de 6 de octubre de 2021, Sumal,
C-882/19, EU:C:2021:800, apartado 41 y jurisprudencia citada).
57. Así pues, del artículo 83, apartados 4 a 6, del RGPD, que tiene por objeto el cálculo de
las multas administrativas por las infracciones enumeradas en esos apartados, se
desprende que, en el supuesto de que el ............ .. .. ..... .............. ... ...
empresa o forme parte de ella, en el sentido de los artículos 101 TFUE y 102 TFUE, el
importe máximo de la multa administrativa se calcula sobre la base de un porcentaje del
volumen de negocio total anual global del ejercicio financiero anterior de la empresa de que
se trate.
58. En definitiva, como ha señalado el Abogado General en el punto 47 de sus
conclusiones, solo una multa administrativa cuya cuantía se determine en función de la
capacidad económica real o material de su ............ ., ... ....., ........ ... ..
autoridad de control basándose, por lo que respecta a su importe, en el concepto de unidad
económica en el sentido de la jurisprudencia citada en el apartado 56 de la presente
sentencia, puede reunir los tres requisitos enunciados en el artículo 83, apartado 1, del
RGPD, a saber, ser a la vez efectiva, proporcionada y disuasoria.
59. Por consiguiente, cuando una autoridad de control decide, con arreglo a los poderes de
que dispone en virtud del artículo 58, apartado 2, del RGPD, imponer a un responsable del
tratamiento, que es una empresa o forma parte de ella, en el sentido de los artículos 101
TFUE y 102 TFUE, una multa administrativa con arreglo al artículo 83 del referido
Reglamento, esa autoridad estás obligada a basarse, en virtud de esta última disposición,
interpretada a la luz del considerando 150 de ese mismo Reglamento, al calcular las multas
administrativas por las infracciones contempladas en los apartados 4 a 6 de dicho artículo
83, en el concepto de «empresa», en el sentido de los artículos 101 TFUE y 102 TFUE .”
Por otro lado, si bien de acuerdo con la LNFP está pendiente de resolverse la cuestión
prejudicial del asunto C-383/2023 de similar contenido, en el que con fecha 12/09/2024 la
Abogada General emitió sus conclusiones, finaliza con la misma interpretación:
“ El artículo 83, apartados 4 a 6, del Reglamento (UE) 2016/679 del Parlamento Europeo y
del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), debe
interpretarse en el sentido de que, cuando se imponen multas a un responsable o
encargado del tratamiento que sea una empresa (o que forme parte de ella), el concepto de
«empresa» ha de entenderse como equivalente al concepto de «empresa» en el sentido de
los artículos 101 TFUE y 102 TFUE a efectos de fijar el importe máximo de la multa. Por
consiguiente, se tiene en cuenta el volumen de negocio anual total global de la empresa de
la que forma parte el responsable o encargado del tratamiento.
Sin embargo, para determinar la multa efectiva que ha de imponerse, el concepto de
«empresa» debe interpretarse en relación con el artículo 83, apartados 1 y 2, del
Reglamento 2016/679 y utilizarse como uno de los elementos pertinentes, entre otros, al
considerar las circunstancias específicas del caso concreto. En este sentido, las
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

131 / 139
circunstancias específicas pueden referirse al poder de toma de decisiones de la sociedad
matriz, al alcance del tratamiento de datos que infringe las normas del citado Reglamento y
al número de entidades de la empresa implicadas en la infracción.”
Así pues, se ha de considerar que el volumen de negocio del grupo empresarial de la LNFP
es el que se ha de tener en cuenta para el cálculo del importe máximo que se contiene en la
referencia del artículo 83.4.a) del RGPD.
Con arreglo a la Memoria de las cuentas anuales al ejercicio terminado el 30/06/2023, que
menciona la LIGA, y que figuran en su web, (en la que constan todas las cuentas anuales de
la LNFP desde la temporada 2013/2014) se trata de una auditoria “ A los asociados de la
LNFP ”, “ cuentas anuales al 30/06/2023 ” de la- LNFP, (balance, cuenta de pérdidas y
ganancias, estado de cambio de patrimonio neto, estado de flujos de efectivo y memoria
correspondiente al ejercicio terminado en dicha fecha). La LNFP es una asociación deportiva
que se constituyó en 1984 y el informe trata sobre la situación financiera de la Asociación a
30/06/2023. En ella, se pone de manifiesto que LALIGA GROUP INTERNATIONAL SL,
depende de la Asociación (LNFP). En la nota 1 “información gener al “ se indican las
entidades de las cuales la LIGA es entidad dominante, “siendo todas ellas jurídicamente
dependientes de forma directa o indirecta” , contando OCHO entidades. También se citan las
entidades en las que LA LIGA tiene una participación conjunta indirecta a través de La LIGA
GROUP INTERNATIONAL SL (dos) y SEIS entidades en la que posee una participación
minoritaria indirecta a través de la LNFP GROUP INTERNATIONAL, S.L.
Con arreglo a la citada Memoria, al Grupo consolidado de la LIGA, le constan 1.827.764.000
de euros de ingresos en el cierre de la temporada 22/23 por comercialización de derechos
audiovisuales. Asimismo, en su web consta como información institucional de 8/08/2023, en
https://www.laliga.com/noticias/la-comision-delegada-de-laliga-aprueba-el-balance-y-
cuentas-de-resultados-consolidado-del-grupo-laliga-con-121-millones-de-beneficio-y-unos-
fondos-propios-de-591-millones-de-euros, que la Comisión Delegada aprueba el balance y
cuentas de resultados consolidado del grupo la Liga con 12,1 millones de beneficio y unos
fondos propios de 59,1 millones de euros, La noticia señala que las cuentas del Grupo la
LNFP se “ refieren a toda la actividad del Grupo y sus sociedades dependientes. Es decir,
incluye las actividades comerciales de las filiales nacionales e internacionales de la LNFP y
sus diferentes líneas de actividad” . ” Durante la temporada 22/23, el importe neto de la cifra
de negocio del Grupo la LNFP ascendió a casi 2.000 millones de euros, lo que supone un
crecimiento de 55,3 millones con respecto a la temporada anterior .”
A nivel comercial, cabe destacar que la actividad de patrocinios y licencias dentro del Grupo
consolidado la LNFP en su totalidad ha facturado un total de 150,2 millones de euro s”.
Con respecto a los derechos audiovisuales, el Grupo consolidado de la LNFP cierra la
temporada 22/23 con una facturación total de 1.827 millones de euros”.
Además, se significa en la nota 4.11 ”reconocimiento de ingresos, c) Ingreso por la
distribución del impuesto del juego sobre la recaudación de las Apuestas Deportivas , 2) a, se
significa que “ la LNFP, de acuerdo con el RD 203/2010, de 26 de febrero, por el que se
aprueba el Reglamento de prevención de la violencia, el racismo, la xenofobia y la
intolerancia en el deporte, es la responsable de la prevención de dichos asuntos dentro de
los estadios de los participantes de la competición de liga. Para poder cumplir con dicho
cometido el RD 566/2010, de 7 de mayo, que regula la distribución de la recaudación y
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

132 / 139
premios en las apuestas deportivas del Estado y otros juegos gestionados por el ONLAE, en
su artículo único establece que un importe de la recaudación del impuesto del juego se
destine a este fin.” ” 1.b.1.º A la construcción, ampliación, remodelación, adaptación, mejora,
mantenimiento y conservación de los estadios e instalaciones deportivas en las que se
celebren o tengan expectativa de celebrarse las competiciones de carácter profesional y
ámbito estatal, a fin de cumplir las previsiones establecidas en cada momento en materia de
seguridad y prevención de la violencia en los espectáculos deportivos”.
LA LNFP ha expresado en alegaciones a la propuesta las especificidades del régimen de la
comercialización de derechos audiovisuales regulada en el Real Decreto Ley 5/2015 de
30/04, que se encomienda a la LNFP siendo titularidad de los Clubes y entidades
participantes, con unos valores prefijados de reparto en su artículo 5. Estas operaciones
limitan el volumen de negocios que se ha de tener en cuenta a la hora de establecer el
volumen de negocio anual global límite máximo a considerar en la parte dinámica de la
cantidad máxima de la sanción a imponer, por lo que no se pueden contar con tal cantidad
1.824.764.000 de euros de ingresos en el cierre de la temporada 22/23 por comercialización
de derechos audiovisuales.
Sin embargo, tras la citada exclusión, conforme a las alegaciones que efectúa la LNFP
ofrece cifras asimiladas al volumen de negocio total anual global con dos escenarios
alternativos:
-cifra de 50.928.000 euros, concepto “ otros ingresos de explotación ” derivados del desarrollo
de la actividad de la LNFP como ingresos de la misma en la temporada 22/23, o
-cifra, referida al grupo de actividades que realizan el Grupo consolidado de LA LIGA, que
figura en las cuentas anuales de la LIGA y Sociedades dependientes, que aglutina:
Licencias y Patrocinios y otros asimilados, Prestación de servicios mantenimiento recintos
deportivos y Operaciones intragrupo y otras actividades: 169.918.000 euros en la temporada
22/23.
Además, en sus alegaciones al acuerdo de inicio, la LIGA señala la falta de proporcionalidad
en las agravantes y que solo se ha fijado la sanción por la cuantía.
El considerando (148) A fin de reforzar la aplicación de las normas del presente
Reglamento, cualquier infracción de este debe ser castigada con sanciones, incluidas
multas administrativas […]. Debe no obstante prestarse especial atención a la naturaleza,
gravedad y duración de la infracción, a su carácter intencional, a las medidas tomadas para
paliar los daños y perjuicios sufridos, al grado de responsabilidad o a cualquier infracción
anterior pertinente, a la forma en que la autoridad de control haya tenido conocimiento de la
infracción, al cumplimiento de medidas ordenadas contra el responsable o encargado, a la
adhesión a códigos de conducta y a cualquier otra circunstancia agravante o atenuante.
[…]»
El principio de proporcionalidad de las sanciones, como señalan las SSTS, Sala 3ª, de
3/12/de 2008 (Rec. 6602/2004) y 12/04/2012 (Rec. 5149/2009 ) es el fundamental que late y
preside el proceso de graduación de las sanciones e implica, en términos legales, " su
adecuación a la gravedad del hecho constitutivo de la infracción” como dispone el artículo
29.3 de la Ley 40/2015, de Régimen Jurídico del Sector Público. dado que toda sanción
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

133 / 139
debe determinarse en congruencia con la entidad de la infracción cometida y según un
criterio de proporcionalidad en relación con las circunstancias del hecho.
Se ha de señalar que del cuadro de Clubs y SAD que aportó la LNFP hasta la temporada
22/23, con información de la fecha de implantación de los sistemas de dato biométrico
utilizados para el acceso a las gradas de animación, contempla un total de nueve equipos
tanto en primera como en segunda división, de un total de 20 equipos en primera y de 22 en
segunda. La filial de la LNFP, SEFPSA reconoció en actuaciones previas de investigación, a
15/09/2023 que su solución tecnológica para tratar datos biométricos en los accesos a las
gradas de animación en los estadios era utilizada por SIETE equipos en primera división, y
OCHO en segunda.
Se concluye que, por la información proporcionada por la LNFP, la mayoría de los Clubes
comienzan a implantar el sistema con reconocimiento biométrico en base a la huella dactilar
antes de la primera comunicación de la CEVRIXD, de marzo 2022. Así, TRES Clubs lo
implantan en la misma temporada 2015/2016, en 2016/2017: CINCO, en 2017/2018: TRES,
en la de 2018/2019: DOS, en la de 2022/2023: DOS, y de uno, no figura el año.
En lo que respecta a la vulneración del artículo 35 del RGPD, se estima que pueden
concurrir
a) “La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza,
alcance o el propósito de la operación de tratamiento”.
La infracción se relaciona con el cumplimiento proactivo del RGPD con antelación al
tratamiento, siendo su finalidad, la aplicación de medidas adecuadas para garantizar y
demostrar el cumplimiento del RGPD, teniendo en cuenta, entre otros, los riesgos de diversa
probabilidad y gravedad para los derechos y libertades de las personas físicas que en este
caso no han sido analizados en modo alguno, que se encuadra en la obligación de los
responsables del tratamiento de llevar a cabo una EIPD en determinadas circunstancias, en
el contexto de su obligación general de gestionar adecuadamente los riesgos derivados del
tratamiento de datos personales. LA LNFP además estableció una entidad que ofrecía la
solución tecnológica y que varios Clubes contrataron (ejemplo el CF ***CLUB.4 ).
Tratamiento y riesgos asociados que deben ser actualizado cuando varían los citados
riesgos. Se contempla la obligatoriedad de la recogida de datos biométricos para la totalidad
de los equipos de primera y segunda división pertenecientes a los Asociados a la LNFP, y
que tengan gradas de animación, con independencia de que se ofrecieran alternativas de
uso que no incluyeran los datos biométricos. Esa recogida, en los casos en que los Clubes
dispusieran de tales gradas, supone al menos el registro de los datos para su uso en todas
las temporadas desde que se implantaron, en algunos casos, desde la temporada
2015/2016 (la misma en la que se aprueba el RGLNFP, fecha de aprobación 23-12-2015) y
durante las siguientes, temporadas en más Clubs, reiterándose los tratamientos,
presuponiendo una muy alta afectación en intensidad de uso y número de personas sobre
las que puede recaer el tratamiento, de acuerdo con la capacidad de espectadores que cada
estadio puede albergar en dicha grada de animación. También, considerando el número de
espectadores con cabida en las gradas de animación, y que el tratamiento, disponiendo de
otra modalidad para llevarse a cabo persistió hasta la imposición de la medida cautelar
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

134 / 139
dictada en el acuerdo de inicio, comunicándose su suspensión en abril de 2024, elementos
que suponen agravantes. (83.2.a RGPD).
Sobre la alegación de la LNFP de que se manejan para agravar la infracción conceptos
generales sin concreción objetiva como “ los tratamientos suponen una muy alta afectación
en intensidad de uso y número de personas sobre las que puede recaer el tratamiento ”, y
resulta que se aplica un principio de responsabilidad objetiva basada en un riesgo potencial,
siendo un agravante de la conducta algo solo potencial, se ha de significar que la no
adecuación a la obligación de disponer de una EIPD, por la intrínseca naturaleza de la
obligación que supone, no va directamente contra la ejecución de los tratamientos llevados a
cabo por falta de legitimación a un número determinado de sujetos sean o no potenciales,
sino que esta falta, supone una ausencia de las garantías de todas las personas
susceptibles de utilizar la grada de animación de todos los campos de fútbol de los Clubes
(18) en los que se instauró.
b) Se incluye en el desarrollo sobre la materia de datos biométricos la aprobación y
publicación de Directrices y dictámenes desde 2003, 2012, 2017, 2019 sobre videovigilancia
y datos biométricos o, en 2017, sobre la EIPD, siendo las últimas de 5/2022, sobre el uso de
técnicas de reconocimiento facial en el ámbito de aplicación de la Ley. Todas ellas inciden en
las especificidades de los citados datos y por el alto riesgo que conlleva su tratamiento y la
cualificada exigencia de requisitos para el mismo. Asimismo, en la materia de definición,
conceptos y extensión de la figura del responsable del tratamiento se puede perfilar un
escenario similar. Todo ello se menciona para significar que sobre la cuestión existían
suficiente información para definir e interpretar las obligaciones de cumplimiento contenidas
en el RGPD. Se considera también, que la LNFP, por el desarrollo de su actividad que
depende del público que adquiere los títulos de acceso a los estadios a los Clubes y SAD a
los que directamente afectaría la medida, que en ella se encuadran, a los que tutela y
supervisa, y a quien dirige el uso del sistema, debió prever mínimamente que se afectaban
derechos con distintos tipos de cumplimientos ínsitos en su actuación, derechos de
afectados, riesgos, diseño de tratamiento y su conducta, denota una falta grave de diligencia
en la comisión de la infracción, por lo que estos factores operarían como agravantes (art
83.2.b RGPD).
Sobre esta circunstancia, la LNFP expresó su desacuerdo, pues redunda en que el alto
riesgo ya ha sido valorado como integrante del tipo sancionador, ignorándose que tipo de
agravante podría ser la existencia de dichos documentos, los cuales también prevén el
tratamiento referido con el consentimiento.
Pone la LNFP en duda los elementos contenidos en este agravante como falta grave de
diligencia, con independencia de que en este procedimiento no se valora la legitimación del
tratamiento, y nada se va a manifestar sobre la posibilidad que se contiene en las mismas
Directrices, más que igualmente su tratamiento con consentimiento ha de ir precedido de,
entre otros requisitos la realización y superación previa de una EIPD.
Con dicha alegación, se debe precisar que la probabilidad del alto riesgo del tratamiento es
lo que conduce a la necesidad de la realización de la EIPD, alto riesgo que es inherente a
los datos biométricos. La valoración de la grave falta de diligencia expresada con las
directrices que se refieren no es sino para significar la abundancia de información e
interpretación existente en la materia de datos biométricos y del concepto de responsable
del tratamiento. Vienen a dar a entender que no era posible obviar desde el tiempo
transcurrido en que se implanta el sistema biométrico, que su conducta se pueda amparar
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

135 / 139
en una interpretación jurídica razonable de que no tenía que desplegar la obligación
impuesta en el RGPD de evaluar el impacto en el tratamiento de datos ordenado. Lo que se
quiere poner de manifiesto con la asignación de una falta grave de diligencia, es que
además desde el tiempo que lleva su sistema establecido tratando los datos de los
espectadores de Clubes y SAD gracias a la aprobación del RGLNF, no ha acometido este
instrumento de garantía del tratamiento que es la EIPD. Por tanto, era posible exigir a la Liga
que debiera haber actuado de otra manera con los medios de difusión que este tipo de
tratamiento y su cualificación como responsable incluían desde la entrada en vigor del
RGPD, y que presuponían al menos, cuestionarse el cumplimiento de los deberes sobre los
actores involucrados y en concreto una EIPD, al saberse que trataba datos biométricos por
establecer fines y medios en el RGLNFP y a través de su filial SEFPSA.
Sobre la alegación de la desigual cuantía sancionadora por la infracción del mismo artículo,
comparación con el caso ***CASO.1 , expediente ***PROCEDIMIENTO.2 y el volumen de
negocio que indica, así como la sanción que en aquel se impuso, se debe indicar que en
este procedimiento sí que existía EIPD como se puede deducir de la lectura en el que
incluso se analizan sus términos. En el presente supuesto, a pesar de que desde 2018 con
la entrada en vigor del RGPD se instaura un régimen de protección de datos que no se
basa, sino en nuevas obligaciones y el principio nuevo de responsabilidad proactiva y
enfocado a las garantías del cumplimiento de las obligaciones impuestas, no parece que
preocupara en el desenvolvimiento del tratamiento en funcionamiento desde 2015,
especialmente para adaptarse a la valoración de riesgos para los derechos y libertades de
los afectados que supone todo tratamiento y en especial el de los datos biométricos y las
medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el
presente Reglamento.
El sistema de medidas de responsabilidad proactivas incluye obligaciones generales como
la protección de datos desde el diseño y por defecto, medidas de seguridad y Evaluación de
impacto sobre la protección de datos, y catalogó como categoría especial los datos
biométricos, en el que los riesgos para los derechos y libertades fundamentales para la
protección de datos y el tratamiento de estos a través de cumplimiento de las obligaciones
generales es imperativo.
Sobre las alegaciones efectuadas frente a la propuesta de que la LNFP ha actuado movida
por la confianza que en la misma generaba una interpretación recta y razonable de la
normativa, tras argumentar que pese a la profesionalidad que se le supone, no guardaba
relación de ningún tipo con los datos personales objeto de tratamiento ni con los interesados
a los que los mismos se refieren, ni ha decidido sobre sus fines y medios, y que la puesta a
disposición de la solución tecnológica que permita llevar a cabo el tratamiento era libre de
los asociados, se ha de indicar que la LNFP deduce la petición en sus alegaciones de que
conduce a un error de prohibición que supone la exoneración de la responsabilidad, al no
ser imputable por falta de culpabilidad (dolo o culpa).
El error de prohibición se recoge en el artículo 14.3 del Código Penal. Esta figura aparece en
el momento en el que el autor obra con la idea de que lo que hace es totalmente legal,
aunque tal acto quede recogido en el código penal con la pena que corresponda. En el error
de prohibición no se incluye la antijuricidad y la tipicidad.
Al respecto, sobre dicha imposibilidad, hay que tener en cuenta el cambio de normativa que
supuso el RGPD, en vigor desde el 25/05/2018. Como señala el considerando 74 “ Debe
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

136 / 139
quedar establecida la responsabilidad del responsable del tratamiento por cualquier
tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el
responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder
demostrar la conformidad de las actividades de tratamiento con el presente Reglamento,
incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el
ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y
libertades de las personas físicas ”.
En tal sentido, no se acredita que la LNFP se hubiera planteado aspecto alguno sobre lo que
se aprobó el 23/12/2015, con respecto al nuevo régimen de protección de datos, sistema
que no varió desde su aprobación, y que supuso el mantenimiento de la previsión de la
normativa detallada sobre objetivos y fines del acceso biométrico a las gradas de animación.
El cambio de sistema de la LOPD al RGPD y la LOPDGDD pasa desde un sistema de
cumplimiento a fundamentarse en el principio de “ responsabilidad proactiv a”
(“ .............. ”), . ..í .. ....... .. .. ........ó. .. ....... .. .. ......., “ .. ...
exige una previa valoración por el responsable o por el encargado del tratamiento del riesgo
que pudiera generar el tratamiento de los datos de carácter personal para, a partir de dicha
valoración, adoptar las medidas que procedan ”. Ante la constante evolución tecnológica y
los procesos de transformación digital que sufren las actividades de tratamiento de datos
personales, la reforma de la regulación de protección de datos supone un cambio del
modelo tradicional para afrontar las medidas que garantizan la protección de los datos
personales hacia un nuevo modelo más dinámico, enfocado en la gestión continua de los
riesgos potenciales asociados al tratamiento desde su diseño.
El diseño adecuado de las actividades de tratamiento es un aspecto clave para poder
garantizar los derechos y libertades de los interesados. De igual modo, es el momento
idóneo para definir las medidas de control y seguridad para garantizar los derechos y
libertades de los interesados con el objetivo de que un tratamiento nazca respetando los
requerimientos de privacidad asociados al nivel de riesgo a la que está expuesto.
La LNFP aglutina a los Clubes y SAD que forman parte de la misma, gestiona los derechos
audiovisuales que guardan relación con espectadores de sus asociados, y los asistentes
presenciales a los partidos de competición de sus asociados, junto con la consideración de
los datos biométricos como datos de categoría especial desde 25/05/2018. Además, en este
caso particular, tampoco la reclamada plantea valoración alguna cuando se presentan los
cumplimientos de las medidas que ella misma aprobó en 2015, impulsadas en 2022 por la
CEVRXID, cuestiones que al menos apuntan a una falta de diligencia en el cumplimiento de
las obligaciones y previsiones que no apoyan la teoría del error de prohibición.
Considerando todos los factores expuestos, y teniendo en cuenta en especial las
alegaciones de la LNFP sobre la gestión de los derechos audiovisuales en nombre y por
cuenta, de los clubes y SAD deportivas y en lo que incide en el volumen de negocio, en aras
de que la sanción sea individual, efectiva, proporcionada y disuasoria, se impone una
sanción de 1.000.000 de euros.
IX Adopción de medidas
El artículo 58.2 del RGPD dispone lo siguiente: “ Cada autoridad de control dispondrá de
todos los siguientes poderes correctivos indicados a continuación:
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

137 / 139
“d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento
se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una
determinada manera y dentro de un plazo especificado;”
f) imponer una limitación temporal o definitiva del tratamiento, incluida su prohibición;
[…]”
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las
medidas mencionadas en el presente apartado, según las circunstancias de cada caso
particular;”
La imposición de estas medidas es compatible entre sí y con la sanción consistente en multa
administrativa, según lo dispuesto en el art. 83.2 del RGPD.
En el dispositivo segundo del acuerdo de inicio, se ordenaba en virtud del artículo 69 de la
LOPDGDD y 56 de la LPACAP, como medida provisional, “ la comunicación a los miembros
de la LNFP de una suspensión temporal de todo tratamiento de datos personales relativos a
los datos biométricos para el acceso a las gradas de animación de los estadios de fútbol de
primera y segunda división. La medida perdurará, en tanto no disponga de una evaluación
de impacto de protección de datos del tratamiento válida, que tenga en cuenta los riesgos
para los derechos y libertades de los aficionados y las medidas y garantías adecuadas para
su tratamiento, con superación de los variados requisitos que la componen, o incluso si se
realizara, precisara efectuar la previsión de consulta que se establece en el artículo 36 del
RGPD.”
La LNFP ha llevado a efecto la medida de la comunicación de la suspensión temporal del
tratamiento de datos personales biométricos para el acceso a las gradas de animación de
los estadios de fútbol de primera y segunda división, no motu proprio, sino a instancias de la
CEVRXID, al poco tiempo de fallarse por la AN su petición de suspensión de medidas.
El tratamiento analizado, carece de las garantías mínimas exigibles por la falta de la
presentación y superación de la EIPD.
Desde estas premisas y a fin de garantizar los derechos y libertades de los afectados, se
estima procedente elevar a definitiva aquella suspensión temporal que evite la continuación
del tratamiento de los datos personales a través del sistema de reconocimiento biométrico
para los accesos a la grada de animación de los Clubes y SAD afiliados a la LIGA, en tanto
no realice y supere una evaluación de impacto de protección de datos del tratamiento que
sea válida, que, entre otras cuestiones, examine la necesidad, idoneidad y proporcionalidad
del tratamiento, que tenga en cuenta los riesgos para los derechos y libertades de los
interesados y las medidas técnicas y organizativas de todo tipo apropiadas y garantías
adecuadas para el tratamiento, o incluso si se realizara, precisara efectuar la previsión de
consulta que se establece en el artículo 36 del RGPD.
La medida no impediría a los Clubs y SAD deportivas asociadas a la LIGA, seguir
controlando la entrada de forma correcta y legal con los otros sistemas que están utilizando,
ni a los aficionados les supondría la pérdida del servicio, ya que se puede seguir entrando
en los estadios con normalidad pues es un sistema “ complementario” o “alternativo ” al del
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

138 / 139
sistema biométrico, tal y como se deduce de la implantación practica según figura en este
expediente.
Conforme dispone el art 83.2 del RGPD y el artículo 76.3 de la LOPDGDD arriba transcritos,
se considera necesario, proporcional, y efectivo para garantizar los derechos y libertades en
liza de los afectados y de menor onerosidad para la LIGA, imponer a título adicional, la
elevación a definitiva de la suspensión, de acuerdo con lo dispuesto en el art. 69 de la
LOPDGDD.
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación
de las sanciones cuya existencia ha quedado acreditada,
la Directora de la Agencia Española de Protección de Datos
RESUELVE:
PRIMERO: IMPONER a la LIGA NACIONAL DE FÚTBOL PROFESIONAL , con NIF
G78069762 , por una infracción del artículo 35 del RGPD, de conformidad con el artículo
83.4 a) del RGPD, calificada como grave a los solos efectos de la prescripción de dicha
infracción, en el artículo 73.t) de la LOPDGDD, una sanción de multa de 1.000.000 euros.
SEGUNDO : ORDENAR a LIGA NACIONAL DE FÚTBOL PROFESIONAL , con NIF
G78069762 , y p ara salvaguardar el derecho fundamental de los abonados a las gradas de
animación, que “ límite temporal o definitivamente el tratamiento”, con el sistema de
reconocimiento biométrico para los accesos a la grada de animación de los Clubes y SAD
afiliados a la LIGA, en tanto no realice y supere una evaluación de impacto de protección de
datos del tratamiento que sea válida, que, entre otras cuestiones, examine la necesidad,
idoneidad y proporcionalidad del tratamiento, que tenga en cuenta los riesgos para los
derechos y libertades de los interesados y las medidas técnicas y organizativas de todo tipo
apropiadas y garantías adecuadas para el tratamiento, o incluso si se realizara, precisara
efectuar la previsión de consulta que se establece en el artículo 36 del RGPD.
A tal efecto, deberá trasladar a sus Asociados (Clubes y SAD) la suspensión definitiva del
tratamiento de datos biométricos en tanto en cuanto no se ejecute y supere una EIPD que
aborde el específico régimen de acceso a las gradas de animación con datos biométricos,
con el contenido preceptuado en las disposiciones que lo regulan.
TERCERO: NOTIFICAR la presente resolución a la LIGA NACIONAL DE FÚTBOL
PROFESIONAL .
CUARTO: Esta resolución será ejecutiva una vez finalice el plazo para interponer el recurso
potestativo de reposición (un mes a contar desde el día siguiente a la notificación de esta
resolución) sin que el interesado haya hecho uso de esta facultad. Se advierte al sancionado
que deberá hacer efectiva la sanción impuesta una vez que la presente resolución sea
ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b) de la ley 39/2015, de 1 de
octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en
adelante LPACAP), en el plazo de pago voluntario establecido en el art. 68 del Reglamento
General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es

139 / 139
con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso, indicando el NIF
del sancionado y el número de procedimiento que figura en el encabezamiento de este
documento, en la cuenta restringida nº IBAN: ES00-0000-0000-0000-0000-0000
(BIC/Código SWIFT: CAIXESBBXXX) , abierta a nombre de la Agencia Española de
Protección de Datos en la entidad bancaria CAIXABANK, S.A.. En caso contrario, se
procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los
días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será
hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días
16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo
mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución
se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la
LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los
interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de
la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día
siguiente a la notificación de esta resolución o directamente recurso contencioso
administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con
arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta
de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa,
en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto,
según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP , se podrá
suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta
su intención de interponer recurso contencioso-administrativo. De ser éste el caso, el
interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia
Española de Protección de Datos, presentándolo a través del Registro Electrónico de la
Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los
restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre.
También deberá trasladar a la Agencia la documentación que acredite la interposición
efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la
interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día
siguiente a la notificación de la presente resolución, daría por finalizada la suspensión
cautelar.
938-16012024
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.aepd.es
28001 – Madrid sedeagpd.gob.es