La Agencia Española de Protección de Datos (en adelante, “AEPD”) ha impuesto una sanción de 27.000 euros a un gimnasio por el empleo de datos biométricos para el acceso a las instalaciones por parte de sus clientes.
El gimnasio sancionado contaba con un sistema de acceso a sus instalaciones a través de una pulsera y una tarjeta identificativa, pero decidió sustituir esta vía por un sistema de acceso a las instalaciones a través de la huella dactilar de las personas usuarias. Uno de los clientes se negó a facilitar esta información al gimnasio, al entender que se trataba de una petición excesiva de datos biométricos, y, ante la decisión del usuario, el gimnasio optó por tramitar su baja como socio, sin más alternativa.
El gimnasio justifica el tratamiento de datos biométricos de sus clientes sobre los siguientes argumentos:
- El tratamiento es necesario para la correcta y efectiva ejecución del contrato del que la persona usuaria es parte.
- La finalidad del tratamiento es la de garantizar “el acceso inequívoco e intransferible del usuario a las instalaciones del gimnasio.”
- El gimnasio aporta una Evaluación de Impacto en la Protección de Datos (en adelante, “EIPD”), en la que (i) trata de justificar la necesidad del tratamiento que efectúa, en tanto en cuanto el tratamiento cubre la necesidad de controlar el adecuado acceso a las instalaciones del gimnasio, evitando que accedan personas ajenas al mismo, asegurando así sus equipos y material; (ii) se refiere al tratamiento efectuado como un tratamiento que cumple con el principio de proporcionalidad, en la medida en que “se informará del procedimiento de huella digital y si el cliente está conforme firmará la normativa y accederá al Club, y si no está conforme, no podrá acceder.”; (iiI) determina como base de licitud del tratamiento la ejecución de un contrato, en la medida en que el usuario tiene la condición de parte en el contrato celebrado con el gimnasio.
La resolución de la AEPD se pronuncia en los siguientes términos sobre la actuación del gimnasio:
- La AEPD determina que no resulta necesario para la ejecución del contrato entre la persona usuaria y el gimnasio el registro de las huellas para el acceso, cuando puede haber otros medios para acceder, tal y como se acredita por parte de la persona reclamante, en la medida en que con anterioridad a la instauración del sistema biométrico, los clientes del gimnasio accedían al mismo a través de una pulsera y una tarjeta identificativa.
- Al margen de la ejecución del contrato en que el cliente del gimnasio es parte, la AEPD advierte que, en el Registro de Actividades del Tratamiento (RAT) del gimnasio figura como base de licitud el consentimiento del interesado. En cuanto a este extremo, la AEPD determina que no se proporciona por parte de la empresa reclamada información alguna a la parte reclamante sobre la manera en que se recaba el consentimiento de las personas interesadas y, que, además, y en relación con el anterior argumento, la existencia de una alternativa menos intrusiva para conseguir la finalidad perseguida por el tratamiento hace que recabar y utilizar la huella biométrica de las personas usuarias del gimnasio devenga innecesario, y que, por tanto, no supere el pertinente juicio de necesidad de la EIPD.
En este sentido, la AEPD pone de relieve que, al margen de tratar los datos biométricos sin una base de licitud adecuada, el gimnasio tampoco cumple con el derecho de información que, conforme a la normativa de protección de datos, le es exigible.
La defectuosa configuración de la base de licitud del tratamiento que el gimnasio realiza, y el innecesario uso de los datos biométricos, hace que la AEPD termine sancionando al establecimiento con una multa de 27.000 euros.