Sanción a un gimnasio por imponer a sus clientes un sistema de control de acceso por huella dactilar

Recientemente, se ha publicado la resolución sancionadora de la AEPD a un gimnasio en base a la denuncia de un cliente por utilizar un sistema de control de acceso mediante la huella dactilar.

Más concretamente, el denunciante indicó que el uso de este sistema de control de acceso «es un medio desproporcionado en la recogida de datos y que no se le entregó el documento para el consentimiento a la aportación de sus datos biométricos».

Según la empresa denunciada, «la finalidad del sistema en el gimnasio es la de obtener una plantilla numérica basada en algoritmos que sirva como medio personal e intransferible para acceder a las instalaciones del gimnasio a través de la comparación de patrones elaborados por el sistema partiendo de la huella digital». Además, aseguran que no se guarda la huella dactilar de los clientes, si no que se usa para generar una plantilla de cada cliente:

«Mediante complejos algoritmos matemáticos se genera una plantilla numérica utilizando la información de algunos puntos de la huella. En ningún caso se puede recuperar la huella a partir de la información de estas plantillas almacenadas. Además, tampoco se puede deducir a partir de la plantilla características físicas de la huella”

“Toda vez que la captación de esta huella no requiere captar la huella digital del individuo, sino que únicamente se trata de un patrón o plantilla, que pese a ser intransferible, no puede ser utilizado para ningún otro uso”

No obstante, la Directora de la Agencia Española de Protección de Datos acordó iniciar el procedimiento sancionador por la presunta infracción del artículo 4.1 de la LOPD, tipificada como grave en el artículo 44,3,c) de dicha norma.  Recordemos que la LOPD sigue siendo vigente en todos aquellos puntos en los que no se contradiga con el RGPD.

LOPD. Artículo 4. Calidad de los datos.

1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.

Sanciones futuras más altas

Después de analizar este caso podemos extraer algunas conclusiones interesantes con las que tenemos que

  • La sanción impuesta en este caso es muy benévola porque es de las primeras des de que se aprobó el nuevo reglamento: sólo 1500 euros. No obstante, hay que estar alerta ya que las que vendrán a partir de ahora serán más altas, puesto que ya se ha advertido y sentado «jurisprudencia» en este sector.
  • También es relevante destacar la cantidad de empresas que utilizan lectores de huella (para clientes o trabajadores) y casi todas ellas están incumpliendo con la LOPD y el RGPD.
  • La clave está en la proporcionalidad de la medida y en cómo la justifican en el RAT.
  • Hay que basar el tratamiento en el interés legítimo, especialmente para el control laboral en RR.HH., pero también para tener un control de las instalaciones, mayores garantías de control en los accesos que eviten entradas a los establecimientos sin pagar y gestión más eficiente del negocio.

Comparte este artículo

Comparte

Artículo redactado por:

Lisa Hofmann

Chief of Legal Operations de Pridatect | Especialista legal certificada en protección de datos por la institución alemana de servicios relacionados con la seguridad TUEV. Con amplia experiencia en ayudar a empresas en el cumplimiento de la privacidad.

Artículos relacionados

Buscar

Newsletter

¿Quieres recibir todas las noticias sobre el RGPD? Suscríbete a nuestro boletín y recibe contenido exclusivo

Webinars gratuitos