Het bedrijf Yoti, dat online leeftijdsverificatie verzorgt voor diverse partijen, heeft van de Spaanse privacytoezichthouder AEPD een boete van bijna één miljoen euro gekregen wegens overtredingen van de Algemene Verordening Gegevensbescherming (AVG). De AEPD startte een onderzoek naar de digitale identiteitsapp van Yoti, waarbij onder meer werd vastgesteld dat het bedrijf biometrische gegevens verwerkte zonder geldige toestemming en deze gegevens te lang bewaarde.

Yoti biedt verschillende verificatiemethoden aan, waaronder het uploaden van een identiteitsbewijs en een selfie, gezichtsherkenning, creditcardverificatie en databasecontroles. De biometrische data en andere persoonlijke gegevens werden opgeslagen in een datacentrum in het Verenigd Koninkrijk en konden door personeel in India op afstand worden ingezien. Volgens de AEPD verwerkte Yoti biometrische gegevens zonder dat gebruikers hiervoor vrijelijk geldige toestemming konden geven, omdat zij moesten instemmen met het gebruik van hun data voor onderzoeks- en ontwikkelingsdoeleinden om toegang tot de dienst te krijgen. Daarnaast werden de gegevens langer bewaard dan toegestaan en kon Yoti niet aantonen dat persoonlijke data systematisch werd verwijderd na verificatie.