La Agencia Española de Protección de Datos (AEPD) ha multado con 27.000 euros al gimnasio Metropolitan por pedir la huella dactilar a los usuarios para poder acceder al centro deportivo. Ha infringido tres artículos del Reglamento General de Protección de Datos (RGPD), el 13, el 9.1 y el 6.1. En este sentido, hay que tener en cuenta que los datos biométricos no solo son capaces de validar la identidad de una persona de forma precisa, sino que revelan información única sobre la persona física.
La reclamante, socia del gimnasio ubicado en Santander, decidió interponer una reclamación ante la AEPD porque el centro deportivo había cambiado el método de acceso a las instalaciones. Desde mayo de 2021 se exigía como requisito la huella dactilar (antes tan sólo pedían la pulsera y la tarjeta identificativa). La clienta, considerando que solicitar los datos biométricos era excesivo, se negó a facilitar sus datos y el gimnasio procedió a darle de baja como socia, en lugar de ofrecerle una alternativa.
Durante el procedimiento, la AEPD requirió a Metropolitan, que manifestó que la finalidad del tratamiento era “el acceso inequívoco e intransferible del usuario a las instalaciones del gimnasio”. Asimismo, indicaron que se informaba de ello en el contrato y que, en caso de no estar conformes, no podían ser socios del club. Finalmente, explicaron que la huella se conservaba encriptada mientras esa persona era socia y que se destruía una vez se daba de baja.
Sin embargo, la reclamante señaló que cuando se inscribió en el gimnasio, “en ninguna parte del contrato, o de la llamada autorización, se aludía al consentimiento para el tratamiento de los datos del registro biométrico” porque la huella dactilar no estaba instalada en esos momentos.
Además, hubo falta de información sobre la finalidad del uso del sistema biométrico y de la posible comunicación de datos a terceros. Por otro lado, se comprobó que no se había borrado la huella de la reclamante. La Agencia acudió al artículo 9.1 del RGPD, que establece que “quedan prohibidos los tratamientos de datos personales que revelen datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física”. Aunque tiene excepciones, por ejemplo, cuando se da consentimiento explícito para el tratamiento de dichos datos, esto no ocurrió en este caso. Además, la AEPD entiende que el uso de la huella no era algonecesario porque hasta mayo de 2021 no se pedía ese dato a los usuarios.
Fuente: Confilegal