La Agencia Española de Protección de Datos (AEPD) ha sancionado a la empresa SIDECU, S.A., responsable de la cadena de gimnasios SUPERA, a multa de 160.000 euros, por haber implantado un sistema de acceso mediante reconocimiento facial sin cumplir los requisitos establecidos por la normativa de protección de datos. La sanción llega tras varias reclamaciones de socios que se oponían a ser identificados mediante este sistema para acceder a las instalaciones, y tras una investigación en la que la AEPD ha constatado diversas infracciones del Reglamento General de Protección de Datos (RGPD).
Aspectos clave de la resolución
1. Tratamiento de datos biométricos: La empresa defendía que el sistema no trataba datos personales porque no almacenaba imágenes, sino que generaba una plantilla matemática de la cara del usuario, que no permitía reconstruir la imagen ni deducir rasgos físicos. Sin embargo, la AEPD concluye que estas plantillas son efectivamente datos personales, porque se usan para identificar a una persona y controlar su acceso. Por tanto, se aplican todas las obligaciones del RGPD.
2. Falta de base legal adecuada: SIDECU no obtuvo el consentimiento de los usuarios ni acreditó ninguna otra base jurídica válida para utilizar datos biométricos. La AEPD aclara que, al tratarse de datos especialmente protegidos, la empresa necesita una excepción expresa del artículo 9.2 del RGPD, como el consentimiento explícito o una obligación legal específica, lo cual no se cumple en este caso. La AEPD añade que el consentimiento no puede considerarse válido si no es verdaderamente libre. Esto ocurre, por ejemplo, cuando no se ofrecen alternativas reales al sistema biométrico, como un método de acceso alternativo, o cuando existe un desequilibrio entre las partes, como en relaciones contractuales, de servicios y especialmente en el marco de una relacion laboral. Aceptar el tratamiento como única opción para acceder al servicio pone en duda la validez del consentimiento. Por tanto, incluso cuando se recoja un consentimiento formal, este puede ser inválido si no cumple los requisitos del artículo 4.11 del RGPD.
3. Ausencia de Evaluación de Impacto (EIPD): Aunque SIDECU presentó un análisis de riesgos, no realizó una Evaluación de Impacto sobre la protección de datos (EIPD) como exige el RGPD. La AEPD considera que este documento es obligatorio cuando se usan tecnologías que pueden afectar significativamente a los derechos de las personas, como los sistemas biométricos. La ausencia de este análisis constituye una infracción independiente.
4. Falta de información clara a los usuarios: La información ofrecida a los usuarios fue insuficiente. Se colocaron carteles en los centros, pero no se ofreció información individualizada ni detallada sobre el funcionamiento del sistema, los derechos de los usuarios ni la forma de ejercerlos. Esto incumple la obligación de transparencia del RGPD.
5. Sanciones impuestas:
La AEPD impuso una multa total de 160.000 euros, dividida entre las siguientes infracciones:
- por usar datos biométricos sin base legal.
- por no hacer la Evaluacion de impacto (EIIPD).
- por no informar adecuadamente a los usuarios.
Además, se ordenó a la empresa corregir su sistema o dejar de usarlo.
6. Nuestra recomendación: Si bien no está prohibido implantar sistemas biométricos, su uso está bastante limitado por tratarse de datos especialmente sensibles. Recomendamos realizar un análisis del sistema antes de su implantación asesorados por abogados especialistas a fin de evitar o al menos mitigar riesgos asociados. Es posible que el resultado de este análisis sea negativo, es decir, que el sistema es excesivo de acuerdo a los fines y demasiado intrusivo, debiendo en ese caso acudirse a uno menos invasivo a la privacidad. Siempre que se elige un sistema biométrico, existiendo en el mercado una alternativa menos invasiva que permite obtener a la empresa un resultado similar, el riesgo de incurrir en infracción muy grave, es alto.
