Anulación de la sanción impuesta a un gimnasio por la AEPD

El acceso a gimnasios mediante huella dactilar supone un tratamiento de datos que en este caso supuso tener una multa. En julio de 2018, la AEPD sancionó con 1.500€ a un gimnasio por haber incurrido en una infracción de la entonces vigente LOPD 15/1999, recientemente la Audiencia Nacional ha anulado la resolución de la AEPD.

¿Pueden ponerte una multa por usar un sistema de huella dactilar?

En este caso, la sanción se fundamentaba en la utilización de la huella dactilar como método de acceso al gimnasio, el cual se consideró como un tratamiento de datos no proporcionado y excesivo, teniendo en cuenta que no se ofrecían otras formas de acceso. El argumento de la AEPD se basaba en que se podía conseguir la finalidad de control de acceso a las instalaciones con cualquier otro método menos lesivo para el interesado.

Dicho método de acceso es el que se utiliza de forma más habitual en los gimnasios e incluso se ha extendido su uso a las empresas, que lo utilizan para cumplir con la obligación de control horario de sus trabajadores.

El uso de la huella dactilar tiene sus pros y sus contras: entre los primeros, cabe destacar que permite la identificación única, por lo que se evita la posible suplantación de identidad del individuo; respecto a sus contras, debemos tener en cuenta que la huella dactilar es considerada un dato biométrico y, por tanto, se deberá prestar una especial atención a las medidas de seguridad aplicadas.

¿Las huellas dactilares parciales son datos personales?

La Audiencia Nacional, en su Sentencia de fecha 19 de septiembre de 2019, analiza si la plantilla numérica o el patrón de puntos obtenidos de la huella dactilar puede ser considerado un dato personal. Este es el primer motivo de impugnación que aduce el recurrente, dado que, al tomar la huella dactilar a los socios del gimnasio, no se guarda la huella como tal, sino que se almacena una plantilla numérica o patrón que genera un código único para cada huella a partir de algoritmos.

La Sentencia compara las huellas dactilares completas, sobre las cuales no hay dudas de que nos encontramos ante un dato personal, y las huellas transformadas, que también permiten identificar a una persona mediante el proceso de matchmaking o emparejamiento. Por tanto, en este caso, nos encontramos ante una información sobre una persona identificable, ya que a priori, el patrón no identifica al interesado pero si se confronta al algoritmo sí permite identificarlo.

En definitiva, la AN rechaza el primer motivo de impugnación, al resultar acreditado que el sistema de acceso al gimnasio utiliza datos personales.

¿Es proporcional el uso de sistemas de acceso mediante huella dactilar?

El recurrente también esgrime que el sistema de acceso es proporcional y adecuado, este es el fundamento clave que la Sentencia utiliza para revocar la sanción.

El juicio de proporcionalidad que debe realizarse tiene una triple vertiente, en virtud de la doctrina del Tribunal Constitucional. Debe determinarse si la medida puede conseguir el objetivo propuesto (juicio de idoneidad), si no hay otra medida más moderada para la consecución del propósito (juicio de necesidad) y si es ponderada o equilibrada por derivarse más beneficios que perjuicios (juicio de proporcionalidad en sentido estricto).

El uso de la huella fragmentada es el medio más oportuno puesto que es susceptible a conseguir el objetivo de identificación y de seguridad, evitando que puedan acceder al gimnasio personas ajenas al mismo. De esta forma, se cumple el juicio de idoneidad.

Además, se trata del único método que no es transferible y que, por tanto, no puede ser utilizado por personas distintas. El tratamiento supera el juicio de necesidad puesto que no existe otra medida más ponderada que consiga el mismo propósito.

Finalmente, el juicio de proporcionalidad en sentido estricto también se supera por cuanto el uso de la huella dactilar únicamente es utilizado para acceder al centro, no se utiliza para ninguna otra finalidad.

Cómo utilizar un sistema de huella dactilar sin tratar más datos de los necesarios

Entendemos que el criterio seguido por la Audiencia Nacional es de lo más acertado y refuerza las bases a seguir por parte de los consultores en materia de protección de datos, que, a la hora de asesorar a sus clientes, deben tener en cuenta el juicio de proporcionalidad.

Como hemos comentado, el uso del acceso por huella dactilar está cada vez más generalizado en los centros deportivos y su uso debe considerarse proporcionado, siempre que dichos datos se traten siguiendo el juicio de proporcionalidad.

Comparte este artículo

Comparte

Artículo redactado por:

Lisa Hofmann

Chief of Legal Operations de Pridatect | Especialista legal certificada en protección de datos por la institución alemana de servicios relacionados con la seguridad TUEV. Con amplia experiencia en ayudar a empresas en el cumplimiento de la privacidad.

Artículos relacionados

Buscar

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo

Webinars gratuitos