Nos consta, que, al día de hoy, algunos gimnasios siguen utilizando datos biométricos para el control de accesos de usuarios y empleados, con la consiguiente exposición a denuncias, que en caso de prosperar ante la AEPD, pueden derivar en cuantías económicas importantes, además del daño reputacional que ello conlleve. De ahí, el título de este artículo: “Aviso a navegantes”, ¡La AEPD sigue sancionando!, que trata de ser una advertencia que conviene tener en cuenta.
En el mes de febrero del año pasado 2024, escribíamos sobre la sanción de 27.000 euros que la Agencia Española de Protección de Datos (AEPD) había impuesto a un gimnasio, por la denuncia de una usuaria tras negarse a dar su huella dactilar para el control de accesos, y considerar que este sistema biométrico afectaba a su derecho a la protección de datos personales, teniendo en cuenta, además, que existían otros procedimientos alternativos menos intrusivos.
A este respecto, recordamos lo que se dice en las Directrices 3/2019 del Comité Europeo de Protección de Datos, respecto a las consideraciones generales para el tratamiento de datos biométricos:
El uso de datos biométricos (…) conlleva elevados riesgos para los derechos de los interesados. Es fundamental que el recurso a dichas tecnologías tenga lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD.
Aunque la utilización de estas tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos para lograr su fin legítimo del tratamiento.
Pues bien, dos meses mas tarde de la publicación del artículo anterior, volvimos a escribir de un caso similar, y aunque se producía fuera de nuestro sector, lo comentamos dada la importancia del tema y la cuantía de la sanción económica que en este caso fue de 365.000 euros, teniendo en cuenta el viejo refrán que dice: “Cuando las barbas de tu vecino veas cortar, pon las tuyas a remojar”, lo que indica que hay que estar alerta y mantenerse pendientes de lo que sucede a nuestro alrededor, porque nos puede pasar lo mismo, y por ello, hay que estar preparados para evitarlo o contrarrestarlo.
Hoy, tenemos que comentar un nuevo de caso de sanción económica por parte de la AEPD, debido al uso de datos biométricos aplicados al control de accesos, que dicha Agencia considera indebidos, y aunque la sanción no se produce en nuestro sector, se produce en uno dentro del ámbito deportivo como es la Liga Profesional de Fútbol, y esta vez es por un importe de un millón de euros.
Como vemos la misma causa de utilización de datos biométricos para el control de accesos, que la AEPD considera improcedente, va escalando cuantías en los casos que venimos comentando, que van desde los 27.000 al 1.000.000 de euros pasando por 365.000.
Esto lo queremos comentar porque nos consta, que, al día de hoy, algunos gimnasios siguen utilizando datos biométricos para el control de accesos de usuarios y empleados, con la consiguiente exposición a denuncias que en caso de prosperar ante la AEPD, pueden derivar en cuantías económicas importantes, además del daño reputacional que ello conlleve.
El avance de la tecnología ha permitido la implementación de sistemas de identificación basados en datos biométricos en diversas áreas, incluyendo la de nuestro sector. En España, diversos gimnasios han comenzado a utilizar reconocimiento facial, huellas dactilares y otros métodos biométricos para mejorar la seguridad y la eficiencia en el control de accesos. Sin embargo, el uso de estos datos personales plantea importantes desafíos en materia de protección de datos y cumplimiento normativo.
Los gimnasios y centros deportivos han adoptado diversas tecnologías biométricas con el objetivo de mejorar la seguridad y optimizar la experiencia del usuario. Entre las más utilizadas destacan:
- Reconocimiento facial: Permite la identificación rápida y sin contacto.
- Huellas dactilares: Un método preciso y ampliamente adoptado.
- Escaneo del iris: Mayor seguridad, aunque menos frecuente por su coste.
- Patrones de voz o comportamiento: Útil en entornos donde se requiere autenticación remota.
Estos sistemas facilitan el acceso automatizado, evitando el uso de tarjetas de acceso o contraseñas, reduciendo el riesgo de fraude y mejorando la comodidad para los usuarios, lo cual ofrece diversos beneficios como: mayor seguridad, mejor eficiencia operativa, experiencia del usuario mejorada y una gestión centralizada de accesos.
Pero, el uso de datos biométricos está sujeto a una estricta normativa en la Unión Europea y por ende en España como parte de dicha Unión, principalmente bajo el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD).
Esta legislación europea y nacional incluye algunos aspectos clave como los siguientes:
- Base legal para el tratamiento.
- Principio de minimización de datos.
- Medidas de seguridad.
- Derechos de los usuarios.
Lo que hace que el desarrollo y la implementación de tecnologías biométricas en instalaciones deportivas como son los gimnasios y centros deportivos, se deba encontrar un equilibrio entre la innovación tecnológica y el respeto a los derechos de las personas, lo cual se puede lograr mediante varias propuestas:
- Transparencia y control.
- Alternativas de acceso.
- Protección contra el suso indebido de los datos personales.
- Cumplimiento de la normativa (Evaluación de impacto de datos personales (EIDP).
- Supervisión y auditoría.
Con esto, queremos no solamente comentar noticias sobre sanciones, sino también aportar orientaciones para tratar de evitarlas y sobre todo… avisar y ¡advertir!
No hagamos que la innovación pueda resultar una regresión en la buena gestión de nuestros gimnasios y centros deportivos.
Por José Luis Gómez Calvo
Analista de riesgos.
Experto en seguridad de instalaciones y actividades deportivas.
