La Agencia Española de Protección de Datos (AEPD) ha sancionado con 160.000 euros al grupo Sidecu, especializado en deporte y que gestiona la cadena de gimnasios Supera, por imponer a sus socios un sistema de acceso a través de reconocimiento facial, con el que infringió varias garantías de la legislación sobre protección de datos personales. La compañía se ha acogido a los descuentos por “pago voluntario” y al “reconocimiento de la responsabilidad” de la infracción, por lo que la multa ha quedado finalmente en 96.000 euros, según la resolución a la que ha accedido elDiario.es.
Este nuevo sistema de acceso fue implantado a partir de verano de 2023 en varios gimnasios de la cadena Supera (Entrepuentes de Sevilla, San Diego de Coruña, La Lanera de Palencia, Palero Superior de Valladolid, y Guadalquivir de Sevilla), tras otro previo que utilizaba la huella dactilar de los usuarios. El reconocimiento facial se impuso al inicio de manera obligatoria para acceder a sus instalaciones, sin alternativa posible.
Varios socios se quejaron de este método, por considerarlo muy invasivo y que vulneraba su intimidad, y algunas de ellas llegaron a la AEPD, que ha sancionado a la compañía y obligado a suspender temporalmente y de manera inmediata esta forma de control de entradas. La AEPD recibió en total nueve reclamaciones de socios, así como dos denuncias contra el sistema, presentadas por la asociación de consumidores Facua y por un particular.
Son datos personales “de alto riesgo”
El grupo Sidecu rechazaba las quejas de los clientes al considerar que el nuevo sistema ni siquiera trataba datos personales, ya que el reconocimiento facial no almacenaba los datos físicos de los clientes sino un patrón numérico que se asocia a los rostros de los usuarios.
La Agencia Española de Protección de Datos tumba la tesis de la cadena deportiva y da la razón a los usuarios, concluyendo que los datos biométricos utilizados para el acceso de los socios son datos personales y, no solo eso, sino “de categoría especial y de alto riesgo”.
Según el Reglamento de protección de datos, “para que exista un tratamiento de datos biométricos de carácter personal se requiere, precisamente, que se aplique sobre la información biométrica tomada en bruto (imagen digital de la huella, cara, grabación de voz…etc) un procesamiento técnico (o programa como el utilizado en el presente supuesto) del que se obtenga un ‘patrón biométrico’ de las muestras recogidas. Por ello, el patrón biométrico o plantilla biométrica es verdaderamente el dato biométrico de carácter personal”, argumenta la resolución.
Ese patrón numérico es el que se asocia a los rasgos físicos de la persona en cuestión y permite identificarla, por lo que se trata de datos personales. Este tipo de datos, además, están tipificados por la legislación como datos personales de categoría especial, “cuyo tratamiento está generalmente prohibido”, recuerda la Agencia, salvo que concurran algunas excepciones, que además considera que no se cumplen en este caso.
En cualquier caso, dado esa categoría especial de los datos, su tratamiento hubiera requerido de unos análisis previos y ciertas obligaciones legales –como una evaluación de impacto (EIPD)– que la compañía no realizó, por lo que también se sanciona a la empresa.
Medida desproporcionada: hay alternativas menos invasivas
La Agencia de Protección de Datos detalla varias irregularidades de la implantación de este sistema de reconocimiento facial por parte de la cadena de gimnasios. Por ejemplo, advierte de que no respeta las reglas del consentimiento, entre otros motivos por la falta de libertad de los usuarios. “Aara que se pueda considerar libre el consentimiento a un método de acceso que implique el tratamiento de datos biométricos, el responsable del tratamiento debe establecer un método alternativo para poder realizar el control de acceso, sin tener ninguna consecuencia para la persona que no quiera utilizar el control de acceso mediante un tratamiento de datos biométricos”, recoge la resolución.
Además, destaca que “se entiende que el tratamiento realizado no superaría este triple juicio de proporcionalidad”. La AEPD concluye que no parece “necesario ni proporcional” el reconocimiento facial, que supone la utilización de datos biométricos personales de caracter especial, “dada la existencia de medios menos intrusivos y la relación entre ventajas y desventajas”. “Existen otros posibles métodos alternativos de control de acceso igual de eficaces que permitirían cumplir con la finalidad del tratamiento, que ya se emplean en la actualidad o han sido empleados en el pasado por la reclamada, por lo que existen evidencias de que el tratamiento implantado no supera tampoco la evaluación o triple juicio de proporcionalidad”, argumenta el organismo público.
