Según la resolución, la reclamante, socia del gimnasio, decidió demandar debido a que el centro había cambiado su forma de acceso. Anteriormente sólo le pedían la pulsera y la tarjeta identificativa, pero después empezaron a exigirle también la huella dactilar. La multa se le ha impuesto al centro por infracción de los artículos 13, el 9.1 y 6.1. del RGPD, el Reglamento General de Protección de Datos, aunque esta pena no es firme y puede ser recurrida ante la Sala de lo Contencioso de la Audiencia Nacional.
El Reglamento General de Protección de Datos impone una serie de restricciones específicas al uso de datos biométricos porque la información que proporcionan es de alto riesgo, ya que no sólo es capaz de autenticar identidades con precisión, sino también de proporcionar información única sobre las personas físicas.
En este caso, la clienta se negó a este sistema porque consideró excesivo pedir datos biométricos y la respuesta del gimnasio fue cancelar su abono en lugar de ofrecerle otra alternativa, por lo que decidió denunciar al gimnasio.
Al recibir la denuncia, la AEPD, solicitó explicaciones al centro, desde el que contestaron que la finalidad de este sistema es “el derecho expreso e irrenunciable del usuario al acceso a las instalaciones del gimnasio”. Las huellas dactilares se mantienen cifradas mientras la persona es miembro y se destruyen después de cancelar la suscripción. Del mismo modo explicaban que en el contrato se indicaba sobre el sistema de autenticación y que, en el caso de no estar conforme, no podían ser socios del club, contrato que también carecía de base legal.
La demandante indicó que, cuando se inscribió “en ninguna parte del contrato, o de la llamada autorización, se aludía al consentimiento para el tratamiento de los datos del registro biométrico” ya que el sistema de huella dactilar no estaba instalado en aquel momento”. Por otro lado, no había información sobre la finalidad del uso del sistema biométrico y de la posibilidad de transmitir datos a terceros.
También se comprobó en el extracto de las 100 bajas de usuarios más recientes que no se habían eliminado las huellas dactilares de la clienta.
Para concluir, la Agencia recurrió al artículo 9.1 del RGPD, que estipula que “quedan prohibidos los tratamientos de datos personales que revelen datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física”. Y aunque existen excepciones , como cuando hay consentimiento explícito para el tratamiento de estos datos, en este caso no es así y, además, la AEPD considera innecesario el uso de la huella dactilar ya que cuando la usuaria se dio de alta, no se le pedía.
FUENTE: Confilegal.com
