La Agencia Española de Protección de Datos (AEPD) ha podido comprobar tras una investigación que la empresa que gestiona Loro Parque, famoso parque zoológico canario, utilizaba un sistema de control de accesos basado en la captura y almacenamiento de huellas dactilares de algunos visitantes para validar el uso de unas entradas especiales, denominadas “Twin Ticket”, que permitían el acceso a dos parques temáticos propiedad de la empresa.

Para evitar fraudes en el acceso, la empresa responsable utilizaba este sistema con el ánimo de identificar inequívocamente a los usuarios, ya fuesen adultos o menores de edad, sin ofrecer alternativa al uso de la biometría.

El Reglamento General de Protección de Datos (RGPD) prevé una especial protección para las categorías especiales de datos personales, entre las que se encuentran los datos biométricos. Esta clase de datos están dirigidos a identificar de manera unívoca a una persona a través de sus características físicas o fisiológicas, como pueden ser la huella dactilar, el reconocimiento facial o del iris.

El código numérico derivado de la lectura de la huella dactilar es un dato personal

El Loro Parque sostuvo durante todo el procedimiento que el sistema no trataba la huella dactilar de los usuarios, sino que a través de un sistema logarítmico convertía la huella en un código numérico que se asociaba al usuario, de tal manera que no permitía su identificación. De esta manera, la empresa afirmaba que el sistema no comportaba un tratamiento de datos personales.

Sin embargo, la AEPD rechazó estas alegaciones, recordando que los datos biométricos son personales siempre que permitan, directa o indirectamente, identificar a una persona física, y que en este caso existía trazabilidad entre la compra online de entradas (que exigía datos nominativos) y la huella dactilar recogida en el acceso.

En definitiva, la biometría se considera un dato personal, aunque se almacene en forma cifrada o pseudonimizada, siempre que exista la posibilidad de relacionarla con un individuo.

Además, la implantación de sistemas biométricos exige necesariamente una evaluación de impacto con carácter previo, debido al uso de las nuevas tecnologías.

Infracción grave del RGPD

El Reglamento General de Protección de Datos consagra entre sus principios el de la minimización de datos, por el cuál siempre se debe escoger el tratamiento que resulte menos intrusivo. Así, se desprende de la resolución de la AEPD que existían sistemas para el control de accesos menos intrusivos, que no precisaran del tratamiento de datos biométricos de los visitantes.

La AEPD calificó los hechos como infracción muy grave, al tratar datos biométricos sin que concurran alguna de las circunstancias que lo legitimen.
A mayores, el responsable del tratamiento tampoco realizó una evaluación de impacto con carácter previo al tratamiento ni informaba correctamente a los interesados del tratamiento de sus datos derivado de la lectura de la huella dactilar.

Necesidad de una evaluación de impacto

En casos de tratamiento de datos biométricos, el RGPD en su artículo 35 exige realizar una Evaluación de Impacto en Protección de Datos (EIPD), al tratarse de un tratamiento de alto riesgo para los derechos y libertades de las personas, que conlleva además el uso de nuevas tecnologías. Esta evaluación consiste en analizar previamente la naturaleza, alcance, contexto y fines del tratamiento, identificar los riesgos potenciales para la privacidad (por ejemplo, uso indebido, accesos no autorizados, impacto en menores), y definir medidas técnicas y organizativas adecuadas para mitigarlos, garantizando así la proporcionalidad, necesidad y legalidad del tratamiento. Puedes ampliar en la Guía de gestión de riesgos y EIPD de la AEPD y en la lista de tratamientos que requieren EIPD (art. 35.4).

Conclusiones

En definitiva, la resolución de la Agencia constituye un ejemplo paradigmático de la aplicación de este marco normativo a contextos empresariales distintos del ámbito laboral o sanitario (como son los parques de ocio). Además, pone de manifiesto que el uso de la biometría en entornos comerciales debe estar estrictamente justificado y acompañado de garantías reforzadas. La AEPD mantiene un criterio riguroso en la interpretación del art. 9 RGPD, protegiendo especialmente a los menores de edad y reforzando la idea de que la comodidad empresarial no legitima un tratamiento de alto riesgo.

En Microlab Hard, asesoramos a empresas sobre el uso seguro de datos biométricos y otros datos personales, garantizando el cumplimiento del RGPD y la LOPDGDD. Ayudamos a implementar evaluaciones de impacto, minimizar riesgos y establecer medidas técnicas y organizativas adecuadas. Si tu empresa utiliza sistemas biométricos o datos sensibles y aún no cuenta con las garantías necesarias, es el momento de actuar. Contacta con nosotros sin compromiso.