La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 96.000 euros a la cadena de gimnasios Supera por vulnerar la protección de datos de sus clientes. ¿El motivo? Haber impuesto el reconocimiento facial como único método de acceso a sus gimnasios. Los hechos fueron denunciados por FACUA en 2023 y ahora se ha conocido la resolución.
¿Qué ha pasado? El 4 de agosto de 2023 se interpuso una reclamación a SIDECU, empresa con sede en A Coruña encargada de los gimnasios Supera. Según reza el documento (PDF), el Centro Deportivo Supera Entrepuentes de Sevilla estaba «denegando el acceso a las instalaciones» debido a que se había «implementado un nuevo método de acceso a través de un sistema de reconocimiento facial».
El denunciante consideraba que este acceso era «invasivo al respecto de su intimidad» y «excesivo para el acceso a dicho establecimiento». Hasta la implantación del sistema de reconocimiento facial, que no se había notificado a los socios y era de obligado cumplimiento, era posible entrar al gimnasio usando una tarjeta. A esta reclamación se sumaron dos más y, finalmente, en septiembre de 2023, FACUA denunció a SIDECU.
La defensa. SIDECU se defendió esgrimiendo que no almacenaba imágenes de los usuarios, sino que generaba un patrón facial a través de un algoritmo patentado por la empresa que desarrolló el sistema. De acuerdo a la cadena de gimnasios, esta «plantilla» no era suficiente para identificar a los usuarios ni deducir sus características físicas. Para SIDECU, esto era suficiente para que el sistema cumpliese con el RGPD, pero lo cierto es que no.
El primer error. Malinterpretar el reglamento, incumpliendo así el artículo 9 del RGPD. El artículo 4.14 del RGPD establece que los datos biométricos son «datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». Según artículo 9 del mismo reglamento, el tratamiento de «datos biométricos dirigidos a identificar de manera unívoca a una persona física» está prohibido.
Imagen | Ryan Hoffman
El segundo error. Imponer el sistema y no avisar, incumpliendo así el artículo 13 del RGP. No solo no avisó a los usuarios, sino que el reconocimiento facial era la única forma de acceder a los establecimientos y no había otra opción real, entrando así otro factor el juego: el consentimiento no era libre. Cierto es que la empresa acabó implementando un sistema de acceso alternativo (enseñar el DNI en la puerta), pero su llegada fue posterior a las reclamaciones. No avisar a los usuarios incumple el artículo 13 del RGPD.
El tercer terror. No evaluar los riesgos, incumpliendo finalmente el artículo 35 del RGPD. Según reza la sentencia, SIDECU no justificó por qué era necesario implantar este sistema existiendo, sobre todo, alternativas menos invasivas e igualmente eficaces. La AEPD afirma que la empresa no llevó a cabo la evaluación de impacto en la protección de datos personales (al entender que no estaba tratando datos personales) y que actuó sin dolo, pero de forma negligente y sin «la especial diligencia que es exigible a este tipo de tratamientos».
Las sanciones. Tres, una por cada artículo vulnerado: 80.000 euros por infringir el artículo 9 del RGPD, 30.000 euros por no haber informado a los usuarios con antelación (artículo 35) y 50.000 euros por no haber elaborado la evaluación de impacto en la protección de datosa personales (artículo 9). En total, una sanción de 160.000 euros que, debido al reconocimiento de la responsabilidad y el prontopago de SIDECU, se ha quedado en 96.000 euros.
Imagen de portada | Gold’s Gym Nepal
–
La noticia
Una empresa española impuso el reconocimiento facial para entrar a sus gimnasios. Resultado: multa de 96.000 euros
fue publicada originalmente en
Xataka
por
Jose García
.
