La Agencia Española de Protección de Datos ha impuesto a una empresa que instaló un sistema de huella digital para acceder al gimnasio una sanción de 2.000 euros por infringir el artículo 13 del RGPD (información que debe facilitarse a los afectados), de 15.000 euros por infringir el artículo 9.1 de dicho cuerpo normativo (tratamiento de categorías especiales de datos) y de 10.000 euros por infringir el artículo 6 (licitud del tratamiento).
En este caso, el gimnasio contaba con un sistema de acceso consistente en una “pulsera y una tarjera identificativa en el ordenador de recepción”. No obstante, tomó la decisión de sustituir el mismo por un sistema que exigía a los usuarios facilitar su huella digital para poder acceder a las instalaciones. Así, la reclamante se negó a “ceder los datos de su huella, al entender que se trata de una petición excesiva de datos biométricos” informándole el gimnasio que, en ese caso, iban a dar de baja a la afectada como socia, sin facilitarle alternativa alguna.
La entidad alegó, entre otras cuestiones, que la finalidad del tratamiento de los datos biométricos era únicamente el acceso inequívoco e intransferible a las instalaciones del gimnasio; que se informó adecuadamente a la afectada de dicho tratamiento a través de cartelería; que “a partir de la baja de un socio, ya no se conserva su patrón de huella”; que se realizó una Evaluación de Impacto para analizar este tratamiento; que sí existía alternativa a este tipo de acceso o que el sistema “autentifica que la persona que porta la pulsera y que pone el dedo en el sistema es la misma”, considerándose que estos datos “que son los que utiliza para su control de acceso, no serían de especial protección y no entrarían en la prohibición que establece el artículo 9.1 del RGPD.”
La autoridad de control ha declarado que, en relación con la información facilitada, si bien en los documentos firmados por la afectada se hacía referencia a la posibilidad de optar por un sistema biométrico para acceso a las instalaciones, “sin más especificación de entre los múltiples tipos de datos biométricos que se pueden emplear”, nada se indicaba sobre la base jurídica que legitima dicho tratamiento. Así, adicionalmente, faltaba información sobre la finalidad del mismo (que, en todo caso, se debía haber recogido en el momento en el que se recaban los datos biométricos de la afectada), sobre la posible comunicación de datos a terceros o sobre el acceso alternativo al registro biométrico. En este sentido, se declara que la información debía ajustarse a los datos que efectivamente se recogen, no pudiendo “servir una información en diferido de unos datos que se recogerán o cuyo sistema está previsto instaurar en un futuro”. De este modo, la compañía debía haber facilitado la información al recabar los datos biométricos de los usuarios (la huella digital), sin que el hecho de que la usuaria no facilitara su huella le eximiese de esta obligación.
Respecto a la base que legitima el tratamiento de estos datos, la compañía afirmó en su Registro de Actividades del tratamiento que su base jurídica “es el consentimiento y el contrato mercantil”.
En relación con el consentimiento, tal y como expone la AEPD, debido a que cuando se utiliza el sistema implementado por la entidad, se confirma la identificación única del afectado a través del tratamiento llevado a cabo por la compañía, sí se tratan datos de carácter especial. Teniendo en consideración lo anterior, se pone de manifiesto por la autoridad de control que el consentimiento no puede ser alegado como una base jurídica que legitime dicho tratamiento, ya que, entre otras cuestiones, el mismo no es libre, por cuanto no se puede denegar sin que se deriven consecuencias negativas (como se ha podido apreciar en este caso).
Respecto a la ejecución de un contrato, se indica por la Agencia que la necesidad del tratamiento para la ejecución del contrato tampoco puede ser considerada una base jurídica válida, puesto que “no resulta necesario para la ejecución del contrato el registro de las huellas para el acceso, cuando puede haber otros medios para acceder”.
Así, no existiendo base jurídica que legitime este tratamiento de datos de categoría especiales y no habiéndose facilitado adecuadamente la información sobre dicho tratamiento, la compañía ha infringido lo dispuesto en la normativa vigente de protección de datos.
Puede acceder a la resolución de la Agencia Española de Protección de Datos aquí.