La Agencia Española de Protección de Datos (AEPD) ha resuelto el procedimiento sancionador contra Loro Parque S.A. imponiendo una multa de 250.000 euros por infracción muy grave del artículo 9 del Reglamento General de Protección de Datos (RGPD). Ello, debido a que la Agencia considera que el uso de «huellas dactilares» de la empresa de cara a las entradas de sus clientes al parque constituye un tratamiento de datos biométricos. Y, por tanto, datos personales especialmente protegidos.
Sin duda, Loro Parque se ha convertido, con el paso de los años, en una de las principales atracciones de Tenerife. Sin embargo, el tratamiento de los datos personales de sus clientes ha llegado a convertirse en una sanción cuantiosa de la AEPD.
Así pues, todo comenzaba en 2022, cunado tres clientes del centro presentaban sendas reclamaciones contra Loro Parque ante la Agencia. Escritos en los que los denunciantes afirmaron que, para utilizar el bono “Twin Ticket” —que da acceso en fechas distintas a Loro Parque y Siam Park—, se les exigió registrar su huella digital, sin información previa y sin ofrecer un método alternativo.
Un proceso de toma de huellas digitales en el que el acceso al segundo parque quedaba condicionado a la validación de esta huella en un lector específico.
Acusaciones ante las que la empresa sostuvo que no trataba datos personales. Ello, debido a que el sistema de registro de estas huellas digitales no almacenaba imágenes, sino sólo en sus valores matemáticos. Una plantilla que quedaba cifrada en el dispositivo de uso, y destruida al expirar la fecha de validez de estas entradas dobles. Valoración en la que Loro Parque argumentaba que en su registro no podía revertirse a la huella original ni identificar a persona física alguna, invocando el considerando 26 del RGPD sobre la exclusión de datos anónimos.
La sanción de la AEPD a Loro Parque
Una valoración de Loro Parque que, sin embargo, rechazaba la AEPD. Y así, estipulaba la sanción de 250.000 euros al conocido centro de Tenerife.
Así pues, la Agencia recuerda que el artículo 4.14 del RGPD define datos biométricos como “datos personales obtenidos a partir de un tratamiento técnico específico relativos a las características físicas de una persona física que permiten o confirman su identificación”. En este caso, la plantilla generada —aunque cifrada— se utilizaba precisamente para verificar que la misma persona accedía a los dos parques, por lo que mantenía su capacidad identificadora dentro del sistema.
Además, la AEPD subraya que la ausencia de nominatividad de la entrada o el uso de cifrado no eliminan la condición de dato personal si la información puede vincularse a un individuo en un contexto determinado. La verificación de identidad inherente al proceso de acceso implica un tratamiento de datos biométricos sujeto a la prohibición general del artículo 9 RGPD, que solo admite excepciones específicas, ninguna de las cuales se acreditó.
Expediente sancionador en el que también se constata que este sistema también se empleaba para otras modalidades de entrada y que, en las compras online, se recababan datos como nombre, correo electrónico y teléfono. La AEPD destaca la falta de proporcionalidad del método, al no haberse demostrado la inexistencia de alternativas menos intrusivas para alcanzar la finalidad de control.
Resolución que, así, impone la sanción de más de 200.000 euros a Loro Parque. Entidad a la que también impone la adopción de medidas correctivas para adecuar el tratamiento a la normativa
