En el presente caso, los tres reclamantes afirmaron que al adquirir el bono “Twin Ticket”, que permitía el acceso conjunto y en fechas distintas al parque zoológico Loro Parque y al parque acuático Siam Park, se les exigió registrar su huella digital, sin que en el momento de la compra de la entrada se informara adecuadamente de este tratamiento. De este modo, se garantizaba que la misma persona que accede al primer parque es la que acude al segundo. La información sobre el uso de técnicas biométricas no estaba disponible en la web ni en los formularios de compra y la empresa no acreditó desde cuándo se incluyó dicha información en sus canales de venta.
Si bien la entidad expuso que no había otro sistema alternativo para acceder con esta entrada a los parques, también alegó que el sistema únicamente almacenaba la representación matemática de la huella, por lo que no se trataban datos de carácter personal (al no ser esta información reversible ni permitir la identificación del usuario, sin que se crucen los datos de compra con los biométricos).
Es por ello por lo que la entidad consideró que no era necesaria la realización de Evaluación de Impacto alguna (en este sentido, se indicaba que al no existir dato personal, no se había producido ningún tratamiento). Así, la entidad llegó a manifestar que “decir que LORO PARQUE, S.A. utiliza la huella dactilar de sus clientes, es, dicho sea en estrictos términos de defensa, absolutamente falso”. Adicionalmente, se expuso que la entrada quedaba desactivada una vez se realizaban las dos lecturas en los parques.
La AEPD ha declarado en su resolución que la representación matemática de la huella dactilar (esto es, la plantilla generada por el sistema), aunque cifrada, constituye un dato personal puesto que permitía verificar que la persona que accedía al segundo parque era la misma que la que había entrado en el primero, identificando de manera unívoca al usuario. Tal y como afirma la autoridad de control, el sistema implantado permitía vincular la identidad del comprador con la plantilla biométrica, que contenía elementos permanentes y distintivos de cada persona.
Así, si tenemos en cuenta que la finalidad del sistema era identificar de forma unívoca a la persona que accede a ambos parques, así como que la combinación de los datos disponibles hacía posible dicha identificación, directa o indirecta, del usuario (se permitía singularizar a un individuo), resulta evidente que nos encontramos ante un tratamiento de datos biométricos. Dicho tratamiento se encuentra sujeto a la prohibición general del artículo 9 del RGPD, sin que se haya acreditado la existencia de ninguna de las alternativas que en el mismo se recogen para poder tratar estos datos.
Adicionalmente a la ausencia de la citada Evaluación de Impacto, la compañía tampoco aportó el registro de actividades de tratamiento, ni justificó la elección de esta tecnología biométrica frente a otras posibles alternativas menos intrusivas, lo que es considerado una grave falta de diligencia.
Así, se concluye que la empresa trató datos biométricos sin base legal suficiente y sin cumplir con los requisitos de información y garantías exigidos por la normativa de protección de datos. En este sentido se indica que su actuación muestra una grave falta de diligencia, puesto que no se preocupó de llevar a cabo una mínima valoración que permitiera dirimir el grado de afectación a los derechos de sus clientes (incluidos menores de edad).
Habida cuenta de lo anterior, la AEPD ha desestimado el recurso de reposición interpuesto contra la resolución sancionadora, confirmando la misma, así como la multa de 250.000 € por la infracción del artículo 9 del RGPD (tratamiento de categorías especiales de datos).
Puede acceder a la primera resolución sancionadora de la AEPD aquí y a la resolución del recurso de la autoridad de control aquí.
