En el año 2.018 se dio a conocer la Resolución R/00900/2018 de la Agencia Española de Protección de Datos por la que se venía a imponer una sanción de 1.500 €, de conformidad con lo establecido en el artículo 45.1), 2), 4.b, j,e y 5.a) de la ahora derogad Ley Orgánica 15/1999, a un gimnasio, por el uso de la huella dactilar domo control de acceso de sus socios sin haber informado ni pedido consentimiento para ello.
El procedimiento administrativo se incoa a partir de la denuncia de uno de los socios del citado gimnasio, que se quejaba de que en febrero de 2.017 se cambia, sin previo aviso, el sistema de acceso las instalaciones, que hasta ese momento se venía haciendo a través de pulsera, por el de huella dactilar, sin ofrecer un medio alternativo y sin entrega del “documento para el consentimiento a la aportación de sus datos biométricos.
En efecto, la huella dactilar supone un dato biométrico, y no debemos olvidar que desde la aplicación del RGPD cobra mayor relevancia si cabe, pues eleva los datos biométricos a la categoría especial de datos personales y, de entrada, establece la prohibición del tratamiento de este tipo de datos personales.
En todo caso, si se utiliza tal sistema, es necesario justificar su uso en base a unos criterios muy claros: debe ser idónea, necesaria y proporcional a los fines que se buscan. Es decir, que la empresa que opte por este sistema, sea para control de acceso o incluso con la finalidad de control del horario laboral de los trabajadores, debe ponderar si podrían existir otros medios menos intrusivos para la intimidad.
En el procedimiento sancionador que nos ocupa, el gimnasio alegó, entre otras cosas, que “no existe tratamiento de datos personales pues no se identifica a la persona dado que la información que se recoge no es una huella sino una parte de ella que se convierte en un código numérico asociado a un número concreto, en este caso un cliente, así como que “los fines para los que se recogen los datos son claramente permitir el acceso de los clientes de forma que no pueda hacerlo persona ajena al mismo, buscando salvaguardar el derecho de la empresa a evitar intrusismos, aumentando la calidad del servicio también para los clientes, incrementando la seguridad de estos.” Argumentaba que el uso de la tarjeta no garantiza esas ventajas, pues puede ser transferible.
A pesar de dichas alegaciones, como hemos indicado, se acabó imponiendo una sanción de 1.500€ al mentado gimnasio.
Pues bien, tras el correspondiente recurso Contencioso-Administrativo, ahora la Sentencia de la Sala C-A de la Audiencia Nacional de fecha 19/09/2.019 ha revocado la sanción impuesta, dando la razón al gimnasio, pues, entiende la Sala que “la entidad se ha preocupado por la confidencialidad con la conversión de la huella a su algoritmo y no ha conservado en el sistema la huella o puntos de la misma, sino el algoritmo, tratando de minimizar la injerencia en el derecho fundamental. Los datos son recogidos para el acceso y uso del gimnasio y los socios no pueden ser identificados para otros fines”.
Es decir, se da validez al uso de este sistema siempre y cuando se cumplan los requisitos mencionados en la sentencia mediante la aplicación de sistemas de encriptación biométrica –básicamente, se graba la huella, se encripta y se vinula no a nombres y apellidos, sino a un identificador –en ese caso al nº de matrícula de un socio, por ejemplo.
Importante sentencia que habrá de ser tenido en cuenta de ahora en adelante por los expertos en privacidad
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!