La sanción se produce a raíz de una denuncia presentada en 2023 por la organización de consumidores FACUA- Consumidores en Acción- que alertó del uso indiscriminado de tecnologías biométricas en varios centros deportivos de la cadena. Según la denuncia, el sistema de acceso por reconocimiento facial era la única opción disponible para los usuarios, quienes no podían acceder a las instalaciones sin someterse a dicho tratamiento de datos.
La sanción económica impuesta inicialmente ascendía a 160.000 euros, pero se redujo a 96.000 euros tras la reconocida responsabilidad por parte de la empresa. y el pago voluntario dentro del plazo legal establecido. La AEPD ha determinado que la actuación de la empresa constituye una triple infracción del RGPD, en particular del artículo 9, que regula el tratamiento de datos personales considerados de categoría especial, entre ellos los biométricos destinados a identificar de manera unívoca a una persona física.
En su resolución, la Agencia destaca que:
– El tratamiento de datos biométricos requiere consentimiento explícito, libre, informado y específico, lo cual no se ha producido en este caso, ya que los usuarios no contaban con una vía alternativa de acceso.
– La empresa no ofreció una base jurídica válida para el uso de dicha tecnología.
– La recogida de patrones faciales mediante algoritmos informáticos representa un tratamiento altamente intrusivo de la privacidad de los individuos.
La cadena de gimnasos gestiona actualmente más de 30 centros deportivos en 21 municipios de España mediante concesiones públicas. La empresa tiene presencia en comunidades autónomas como Galicia, Madrid, Comunidad Valenciana, Castilla y León, Andalucía y Asturias.
La denuncia afecta a centros situados en ciudades como A Coruña, Vigo, Madrid (Parla y Valdemoro), Sevilla, Valladolid y Oviedo, entre otros.
Desde FACUA se ha valorado positivamente la actuación de la AEPD, destacando la importancia de proteger los derechos de los consumidores ante la automatización y digitalización creciente en el ámbito privado.
La organización ha instado a los usuarios afectados a ejercer su derecho de acceso y supresión, solicitando a la empresa que informe sobre si aún conserva sus datos biométricos y, en su caso, que proceda a su eliminación inmediata conforme al derecho de supresión recogido en el RGPD.
La AEPD recuerda que el uso de sistemas de reconocimiento facial, huella dactilar u otros mecanismos biométricos debe someterse a un análisis de impacto en la protección de datos antes de su implantación, y que nunca puede ser obligatorio si no existe una base jurídica clara o una alternativa equivalente para el usuario.
Estas tecnologías solo pueden aplicarse con las debidas garantías de seguridad, proporcionalidad, transparencia y consentimiento válido.
Conclusión
La resolución sienta un precedente importante en la regulación del uso de tecnologías biométricas en entornos comerciales y deportivos, y refuerza el papel de la Agencia Española de Protección de Datos como garante de los derechos fundamentales de la ciudadanía frente al uso indebido de datos personales.
