La Audiencia Nacional ha dictado una reciente resolución (cuyo texto íntegro puede consultar aquí) en la que señala algunos criterios a seguir. En ella se anula la multa impuesta por la Agencia Española de Protección de Datos (AEPD) a una empresa murciana de fitness por haber impuesto a sus socios el fichaje dactilar como único modo de acceso a sus instalaciones.
La Agencia consideró que se trataba de una infracción grave de la Ley Orgánica de Protección de Datos (LOPD) y sancionó al gimnasio con 1.500 euros. Sin embargo, el tribunal rechaza sus argumentos y considera que no se trata de una medida excesiva. De esta manera, la Audiencia avala el uso de este tipo de control biométrico, siempre que cumpla con las garantías de seguridad, en establecimientos privados para restringir el acceso a sus clientes.
La denuncia fue presentada, precisamente, por uno de los usuarios de las instalaciones deportivas. El socio consideró que la medida era desproporcionada e intrusiva. Según indicó, la empresa decidió sustituir unilateralmente el anterior sistema de fichaje, mediante pulsera, por un control de huella dactilar como único modo de acceder.
El expediente abierto en la AEPD concluyó en la citada sanción, con la que se castigó a la empresa por haberse excedido en el tratamiento de los datos de sus socios. Según señalaba la resolución, la recogida y tratamiento de las huellas dactilares de los usuarios para controlar su acceso a las instalaciones no era proporcionada y, por tanto, vulneraba el artículo 4.1 de la LOPD vigente en ese momento. En concreto, se subrayaba, existían soluciones menos invasivas con las que se podía evitar el almacenamiento de los datos de los clientes en su base de datos (ya fueran biométricos o su algoritmo), como incorporarlos a una tarjeta inteligente que custodiara el titular.
La empresa impugnó dicha resolución, alegando en primer lugar que, al tratarse de almacenamiento de representaciones de la huella dactilar o algoritmo y no de la huella en sí misma, no se estaba realizando un tratamiento de datos personales. Meras “minucias” que “no permiten por sí mismas la identificación de la persona”. Por otro lado, aseguraba que la medida implementada era respetuosa con la ley de protección de datos, que se informaba y pedía consentimiento a los futuros socios, y que no se trataba de una actividad desproporcionada en relación con el ámbito y fines para los que se había implementado.
El tribunal rechaza el primer motivo y confirma que, según la normativa aplicable, tanto la huella dactilar como la representación algorítmica de la misma son datos personales en tanto en cuanto sirvan para identificar a una persona. Es más, la Audiencia recuerda que, aunque no es aplicable (dadas las fechas en que se denunciaron los hechos), conforme al actual reglamento europeo se categorizan como datos sensibles, y, por tanto, provistos de una especial protección frente a su uso y tratamiento.
En este sentido, la resolución considera demostrado que el sistema funciona de tal manera que cuando se toma la huella dactilar al socio del gimnasio no se guarda esta, sino un código único que se genera a partir de una plantilla numérica o patrón. Además, la empresa también acredita que informaba convenientemente a los usuarios que acudían para utilizar los servicios del centro.
Por último, se señala, su implementación obedecía a razones de seguridad de uso de la instalación, debido a la facilidad de fraude que existía con otros métodos como tarjetas u otros dispositivos que pudieran ser intercambiados con otros usuarios. Al evitar el intrusismo, también se aseguraba un mejor servicio a los socios.
Powered by WPeMatico