EL ACCESO AL GIMNASIO POR HUELLA DACTILAR CUESTIONADO TRAS UNA MULTA DE LA AEPD
La pasada semana conocíamos la noticia de que la Agencia Española de Protección de Datos (AEPD) había sancionado a un centro deportivo con una multa económica por el uso indebido de la huella dactilar como método de acceso de sus socios.
Como indicaba Jorge García Badía en La Verdad, "con la revolución tecnológica se han renovado los métodos tradicionales de control de acceso a los gimnasios por otros más sofisticados, como tornos con teclados numéricos, pulseras con tecnología RDIF, tarjetas de PVC y sistemas de identificación biométrica. Sin embargo, no todos los sistemas son válidos para la Agencia Española de Protección de Datos".
Los hechos se produjeron en un gimnasio de Murcia y la denuncia fue interpuesta por uno de los usuarios del centro, policía local de profesión, que consideró que el acceso a través de la huella dactilar era un método invasivo a su intimidad y a la privacidad de su trabajo. Según informó este policía, «de un día para otro, sin informar previamente, cambiaron la pulsera por la huella». El usuario solicitó otro método de acceso, dado que el nuevo torno incorporaba un teclado numérico, pero se negaron a ofrecérselo.
La huella dactilar es un dato biométrico, que son definidos en el Reglamento General de Protección de Datos (Unión Europea) como "datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos". Por tanto, al considerar este dato de carácter personal, ha de ajustarse a la legislación vigente en la materia.
Ya en la LOPD se indicaba que "los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido".
La resolución sobre este asunto del gimnasio denunciado dice que "el tratamiento del sistema de huellas para acceder a un establecimiento exige una especial atención a la proporcionalidad, no solo por el carácter excesivo en la recogida sino en la modalidad técnica para tratarlo reiteradas veces, es decir que el dato que figure en sus sistemas sea objeto de tratamiento en tanto resulte completamente imprescindible para el cumplimiento de la finalidad perseguida, la de autenticar la entrada al gimnasio".
La solución que ofrecen en dicha resolución de la AEPD es que "el propio dato biométrico o el algoritmo, permaneciese bajo el control del usuario y no fuera incorporado al sistema o base de datos". Esto "garantizaría la identificación basada en un doble aspecto: algo que el socio es, su huella que ha de implantar, y algo que tiene, la tarjeta que autentica su huella que lleva el algoritmo".
Aunque la infracción ha sido tipificada como grave, lo cual tendría una multa de 40.001 a 300.000 euros, se ha considerado que la denunciada es una microempresa, no son relevantes los beneficios obtenidos como consecuencia de la infracción y los datos almacenados consistentes en el algoritmo numérico en que se transforma el registro de la huella no son en sí los de la huella o parte en ella. Es por esto que la multa finalmente asciende a tan solo 1.500 euros.
Así pues, se debe incidir en los siguientes aspectos que han de tener en cuenta gestores y directores deportivos a la hora de planificar el control de accesos o cualquier recogida de datos:
Es necesario conocer qué datos son considerados como de carácter personal.
El interés legítimo de la empresa para recoger ese dato debe ser proporcional al fin perseguido.
El usuario debe conocer los fines de la recogida, cómo se tratará el dato y quién lo hará.
El consentimiento por parte del usuario debe ser explícito.
La empresa que proporcione software y hardware para almacenar datos de los usuarios debe informar al centro deportivo de todos los procesos de tratamiento, para valorar su pertinencia, así como para poder incorporar lo que corresponda en los consentimientos explícitos.
ACCEDE A LA RESOLUCIÓN