El Reglamento General de Protección de Datos (RGPD) impone una serie de límites específicos para el uso de datos biométricos al considerar que la información que ofrecen es de alto riesgo. Al fin y al cabo, no sólo es capaz de validar la identidad de forma precisa, sino que tiene información única sobre personas físicas
Por ello, la Agencia Española de Protección de Datos (AEPD) ha multado con 27.000 euros al gimnasio Metropolitan por pedir la huella dactilar a los usuarios para poder acceder al centro deportivo. Ha infringido tres artículos del RGPD, el 13, el 9.1 y el 6.1.
Según se desprende en la resolución, la reclamante, socia del gimnasio ubicado en Santander, decidió acudir a la AEPD porque el centro deportivo había cambiado el método de acceso a las instalaciones. Hasta mayo de 2021 tan sólo pedían la pulsera y la tarjeta identificativa, pero desde ese día, también estaban exigiendo como requisito la huella dactilar.
La clienta se negó a ello al considerar que que pedir datos biométricos era excesivo y la respuesta del gimnasio fue darla de baja como socia en lugar de ofrecerla otra alternativa, de modo que decidió presentar una reclamación ante Consumo el 6 de mayo de 2021.
La AEPD, tras recibir la reclamación, pidió explicaciones a Metropolitan, el cual manifestó que la finalidad del tratamiento era “el acceso inequívoco e intransferible del usuario a las instalaciones del gimnasio”. Una huella que se conservaba encriptada mientras esa persona era socia y que se destruía una vez se daba de baja.
No podían ser socios del gimnasio si no aceptaban las condiciones
Asimismo, añadieron que en el contrato se les informaba de dicho procedimiento y que, en el caso de no estar conforme, no podían ser socios del club. Contrato que también carecía de base jurídica.
Sin embargo, la mujer, cuando se inscribió en tal gimnasio, “en ninguna parte del contrato, o de la llamada autorización, se aludía al consentimiento para el tratamiento de los datos del registro biométrico, a su obtención” porque la huella dactilar no estaba instalada en esos momentos.
Además, había una falta de información sobre la finalidad del uso del sistema biométrico y de la posible comunicación de datos a terceros. También se comprobó en los extractos de las últimas 100 bajas de los usuarios que no se había borrado la huella de la reclamante.
Para llegar a una conclusión, la Agencia acudió al artículo 9.1 del RGPD, el cual establece que “quedan prohibidos los tratamientos de datos personales que revelen datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física”.
Y aunque tiene excepciones, por ejemplo, cuando se da consentimiento explícito para el tratamiento de dichos datos, como no ocurrió en este caso. Además, para la AEPD, el uso de la huella no era algo necesario porque hasta mayo de 2021 no se pedía.
Esta sanción no es firme y se puede recurrir ante la Sala de lo Contencioso de la Audiencia Nacional.
