PROTECCIÓN DE DATOS
96.000 euros de multa a una cadena de gimnasios por imponer el reconocimiento facial
Se trata de la cadena de gimnasios Supera, con varios centros en Castilla-La Mancha.
(Foto de ARCHIVO) La Agencia de Protección de Datos será extremadamente activa ante infracciones que afecten masivamente a españoles.
La Agencia Española de Protección de Datos (AEPD) ha multado con 96.000 euros a la cadena de gimnasios Supera, con varios centros en Castilla-La Mancha, por imponer el reconocimiento facial en el acceso a sus instalaciones.
La sanción de tres multas, que originalmente sumaban 160.000 euros, ha quedado finalmente reducida en un 40 % dado que la empresa propietaria, Sidecu SA, ha reconocido la infracción y hecho un pago voluntario.
Los hechos fueron denunciados por Facua en 2023, tras tener conocimiento a través de sus socios de que los establecimientos de esta cadena de gimnasios habían implantado un sistema de reconocimiento facial como única forma de permitir el acceso.
La asociación consideraba que se estaba realizando un tratamiento ilícito de los datos biométricos de los usuarios, lo que consistía una vulneración de la normativa de protección de datos.
La empresa, con sede en A Coruña, tiene 30 centros repartidos por 21 municipios: A Coruña, Alicante, Almería, Burgos, Chiclana de la Frontera (Cádiz), Estepona y Marbella (Málaga), Guadalajara, León, Móstoles, Oviedo, Palencia, Parla, Rivas-Vaciamadrid, Talavera de la Reina y Valdemoro (Madrid), Santander, Sevilla, Toledo, Valencia y Valladolid.
La AEPD ha confirmado tres infracciones del Reglamento General de Protección de Datos (RGPD) por haber vulnerado artículos referentes a la prohibición de tratamiento de determinados datos sin recabar el consentimiento expreso, entre otros.
Prohibición de tratar datos biométricos
En su resolución, la AEPD señala que los datos biométricos, siempre que se traten con la finalidad de identificar a una persona —como en el caso de un control de acceso—, entran dentro de la categoría de datos de carácter personal de categoría especial, según recoge el artículo 9 del RGPD, cuyo tratamiento está generalmente prohibido.
Su tratamiento, por tanto, sólo es posible si concurren alguna de las excepciones que prevé el propio Reglamento en el artículo 9.2, entre ellas, que se haya recabado un consentimiento explícito del usuario.
El error de la cadena de gimnasios Supera fue entender que los datos biométricos que pertenecen a un patrón facial no eran datos personales.
Según Facua, el consentimiento explícito del tampoco habría sido libre, ya que el control de acceso mediante reconocimiento facial fue impuesto a todos sus usuarios sin que existiera una alternativa para quien no quisiera usarlo.
EFE