La Agencia Española de Protección de Datos (AEPD) ha multado con 27.000 euros al gimnasio Metropolitan, ubicado en Santander, por pedir la huella dactilar a los usuarios para poder acceder al centro deportivo, como recoge Facua en su web.
Esta exigencia supone la infracción de los artículos 13, 9.1 y 6.1 del Reglamento General de Protección de Datos, normativa que impone una serie de límites específicos para el uso de datos biométricos al considerar que la información que ofrecen es de alto riesgo, al ser información única sobre personas físicas.
Según recoge la resolución, la socia afectada del gimnasio decidió acudir a la AEPD porque el centro deportivo había cambiado el método de acceso a sus instalaciones. Hasta mayo de 2021 tan sólo pedían la pulsera y la tarjeta identificativa pero, desde ese día, también estaban exigiendo como requisito la huella dactilar.
La clienta se negó a facilitarla porque consideró excesivo que pidieran datos biométricos. Por su parte, la respuesta de Metropolitan fue darle de baja como socia y, frente a esto, la usuaria decidió presentar una reclamación ante Consumo el 6 de mayo de 2021.
El organismo público, tras recibir el escrito, pidió explicaciones al gimnasio, el cual manifestó que la finalidad del tratamiento era “el acceso inequívoco e intransferible del usuario a las instalaciones“, con una huella que se conservaba encriptada mientras esa persona era socia y que se destruía una vez se daba de baja. Además, agregaron que en el contrato se informaba de dicho procedimiento a los consumidores y que, en el caso de no estar de acuerdo, no podían ser socios del club.
Sin embargo, cuando la usuaria se inscribió en tal gimnasio “en ninguna parte del contrato, o de la llamada autorización, se aludía al consentimiento para el tratamiento de los datos del registro biométrico, a su obtención” dado que la huella dactilar no estaba instalada por aquel entonces. En este sentido, se alega que existía una carencia informativa sobre el propósito de usar el sistema biométrico y la posible comunicación de datos a terceros. A su vez, en los extractos de las últimas 100 bajas de usuarios se analizó que no se había borrado la huella de la reclamante.
En aras de extraer una conclusión, la Agencia acudió al artículo 9.1 del RGPD, el cual determina que “quedan prohibidos los tratamientos de datos personales que revelen datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física“.
Al respecto, para la AEPD el uso de la huella no era algo necesario porque hasta mayo de 2021 no se pedía.
