La AEPD sanciona por requerir la huella dactilar como identificador de acceso

19-02-2024 — AR/2024/013

La Agencia Española de Protección de Datos, con esta resolución, confirma el carácter especial de los datos biométricos para cualquier finalidad que se utilicen y la necesidad de alternativa para las personas que no deseen dar su consentimiento explícito para el uso.

La Agencia Española de Protección de Datos (AEPD) ha sancionado¹ a un gimnasio con 27.000 euros por exigir el uso de datos biométricos para acceder a sus instalaciones.

El resumen que describe la AEPD sobre este procedimiento es el siguiente.

Hechos

Tras un cambio en el sistema de control de la identidad, el gimnasio comenzó a requerir los datos biométricos (la huella dactilar) como único sistema de acceso a sus instalaciones.

Una socia se negó a dar su huella dactilar al considerar que este sistema era excesivo. El gimnasio le dio de baja como socia sin ofrecerle otra alternativa.

Fundamentos de la resolución

Además de otros fundamentos ajenos al problema del uso de datos biométricos, la AEPD indica que la identificación biométrica supone un tratamiento de datos biométricos conforme al artículo 9.1 del reglamento general de protección de datos²(RGPD), puesto que consiste en un tratamiento técnico que distingue de manera unívoca a una persona física mediante la recogida de características biométricas de ella.

La AEPD señala que la diferenciación entre las finalidades de identificación y autenticación, anteriores al RGPD, para exigir garantías cualificadas solo al tratamiento de datos biométricos para las de identificación, ya no tiene fundamento con el RGPD. Este define un régimen único para tratar datos biométricos cualquiera que sea la finalidad a la que se destinen.

Además, aunque se solicitara el consentimiento como fundamento de licitud para el uso de este sistema, tampoco sería válido si no se ofrece una alternativa libre de no uso para los que no deseen otorgar el consentimiento explícito por tratarse de dato biométrico especial.

Resolución

La AEPD:

imputa al gimnasio la infracción de los artículos 6.1, 9.1 y 13 del RGPD,
le impone una sanción de 27.000 euros,
lo obliga a acreditar en el plazo de 30 días la necesidad de uso de la huella, y
lo fuerza a limitar, temporal o definitivamente, el uso de este sistema de control de acceso.

Esta resolución la emite tras la publicación de la «Guía sobre tratamientos de control de presencia mediante sistemas biométricos», pero no ha tenido en cuenta su contenido al tratarse de hechos anteriores a ella.

¹Agencia Española de Protección de Datos: Expediente N.º: PS/00413/2022, RESOLUCIÓN DE PROCEDIMIENTO SANCIONADOR, s. f.

² Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

Iniciativas relacionadas

Protección de datos (RGPD) [histórico]

Alertas Relacionadas

La AEPD impone una multa de 10 millones de euros a Google LLC

20-05-2022—AR/2022/060
La AEPD delimita la capacidad del uso de la biometría en la PBCyFT

07-07-2021—AR/2021/096
La AEPD sanciona con 2,5 millones de euros por falta de medidas reforzadas en envíos de documentos sobre operaciones financieras

31-08-2023—AR/2023/105
La Agencia Española de Protección de Datos publica una guía sobre control de presencia mediante sistemas biométricos

28-11-2023—AR/2023/131