Myndigheten har förutom att utfärda böter även förbjudit La Liga att använda dessa system tills de kan visa att de uppfyller alla krav enligt GDPR. Ursprungligen övervägde AEPD en bot på tio miljoner euro, men summan reducerades till en miljon, rapporterar El País.

Syftet med de biometriska kontrollerna har enligt La Liga varit att hindra våldsamma supportrar med tillträdesförbud från att komma in på arenorna. De menar också att ansvaret för databehandlingen egentligen ligger hos de enskilda klubbarna och inte hos La Liga som organisation.

Det är inte första gången La Liga får böter för olaglig datainsamling. År 2019 bötfälldes de med 250.000 euro för att utan tillräcklig information ha använt sin mobilapp för att spåra piratsändningar genom att aktivera mikrofonen och GPS:en på användarnas telefoner.

Enligt AEPD är biometriska data som ansiktsdrag och fingeravtryck särskilt skyddsvärda enligt artikel 9 i GDPR, och deras användning kräver mycket strikta säkerhetsåtgärder. Dataskyddsmyndigheten påpekar att det hade varit möjligt att använda mindre ingripande metoder, som personliga biljetter och ID-kontroller, för att uppnå samma säkerhetsmål.