La AEPD sanciona a un gimnasio por utilizar la huella de los clientes como control de accesos
Una ciudadana de Santander interpuso una reclamación a la Agencia Española de Protección de Datos (AEPD) para denunciar que su gimnasio le obligó a facilitar su huella dactilar para poder acceder a las instalaciones. Entendiendo que resultaba excesivo, la reclamante se negó, por lo que el gimnasio le comunicó su baja como socia, sin facilitar ninguna alternativa.
Tras conocer estos hechos, la AEPD dio traslado de la denuncia al gimnasio, que manifestó que la base legal para el tratamiento de la huella digital “es el consentimiento del interesado al facilitar su huella para establecer el patrón biométrico y al firmar la normativa de socios donde se informa de dicho tratamiento.”
En su escrito de respuesta, la parte reclamada afirma que la finalidad del tratamiento no es otra que la de proteger la seguridad de las personas que acceden al centro y sus pertenencias, así como las propias instalaciones, y que el sistema de acceso mediante el registro biométrico (código hash encriptado) impide que los datos biométricos sean objeto de tratamiento en ningún caso por el gimnasio, ya que la información se conserva encriptada en los sistemas del proveedor del sistema de lectura de la huella digital.
Informa, además, en su política dirigida a los socios, que el tratamiento de la huella dactilar es una condición del servicio necesaria “para el buen funcionamiento del centro, y que en caso de no aceptarse nos impide prestar el servicio al socio”.
En lo relativo al funcionamiento del sistema, manifiesta la empresa denunciada que la información biométrica se convierte en una plantilla (código numérico) y se almacena únicamente en el software del fabricante. Sin embargo, la AEPD afirma nuevamente en su resolución que la plantilla biométrica (información surgida de someter la huella dactilar a un algoritmo) es un dato de carácter personal, al identificar de forma inequívoca a la persona.
En relación con el consentimiento como base legal del tratamiento del registro biométrico, la Agencia entiende que este consentimiento no puede ser válido, pues no se ofrece una alternativa distinta real y efectiva al uso de la huella. Habría por tanto que prever una alternativa sin consecuencia negativa alguna para el interesado.
Señala el gimnasio como segunda base legal la ejecución de un contrato en el que el interesado es parte. Sin embargo, resulta evidente que no es necesario para la ejecución del contrato el registro de las huellas para el acceso, cuando puede haber otros medios para acceder como se acredita con la reclamante que estuvo usando desde su alta, tiempo en que no estaba instaurada la huella, utilizando las instalaciones.
De este modo, apreció la AEPD una infracción del RGPD por la falta de legitimación para tratar la huella digital, imponiendo así al gimnasio una sanción de 22.000 euros.
Si necesitas ayuda para cumplir con estas normativas y garantizar la protección de datos en tu empresa, no dudes en ponerte en contacto con nosotros. En Microlab nos dedicamos a ayudar a las empresas a cumplir con la normativa de protección de datos, desarrollando el aviso legal, la política de privacidad, el uso de cookies, las comunicaciones, el alojamiento, etc.