En los últimos días, la Agencia Española de Protección de Datos (AEPD) ha vuelto a dejar claro que la tecnología no puede estar por encima de los derechos de las personas.
La protagonista esta vez es la empresa SIDECU (Supera), gestora de varios centros deportivos en toda España, sancionada con 96.000 euros por instalar un sistema de reconocimiento facial para controlar el acceso de los usuarios a sus instalaciones.
A primera vista, puede parecer una medida moderna, cómoda y segura. Pero detrás de esa aparente innovación había un problema: no se informó adecuadamente a los usuarios ni se les ofreció una alternativa razonable, y además se trataban datos biométricos (uno de los tipos de datos más sensibles que existen según el RGPD).
El resultado: una sanción importante, un tirón de orejas público y una lección para cualquier empresa que esté pensando en implantar soluciones tecnológicas de este tipo.
¿Qué pasó realmente con Supera?
La historia comenzó cuando Supera decidió sustituir su sistema de huella digital por uno de reconocimiento facial para agilizar los accesos a sus centros. Hasta ahí, todo parece lógico: tecnología más rápida, menos contacto físico, mejor experiencia del usuario.
Sin embargo, varios socios y la asociación FACUA denunciaron que no habían sido informados de cómo se estaban tratando sus datos y que no podían negarse a usar el sistema sin dejar de acceder al gimnasio. Es decir, si no aceptabas que te escanearan la cara, no podías entrar.
La empresa defendió que el sistema no guardaba imágenes completas, sino solo ciertos “rasgos” del rostro transformados en un algoritmo. Pero la AEPD fue clara: aunque no se almacenen las fotos, si se pueden usar para identificarte, se trata de datos biométricos y, por tanto, deben cumplir con todas las garantías del Reglamento General de Protección de Datos (RGPD).
La Agencia concluyó que Supera había vulnerado varios principios fundamentales de la ley y le impuso una multa de 160.000 euros (que quedó en 96.000 tras reconocer responsabilidad y pagar pronto). Además, le dio un mes para informar adecuadamente a los afectados y siete meses para cambiar el sistema si seguía usando tecnología biométrica.
¿Por qué es una infracción tan grave?
El reconocimiento facial suena a futuro, pero en términos legales es territorio de alto riesgo. El RGPD considera los datos biométricos —como la huella, el iris o el rostro— “de categoría especial”, lo que significa que su tratamiento solo se puede hacer bajo condiciones muy concretas.
En este caso, la AEPD detectó varios errores que cualquier empresa debería evitar:
Falta de consentimiento real y libre.
Los usuarios no podían elegir otra forma de acceder al gimnasio. Si no hay alternativa, el consentimiento no es libre.Falta de información clara.
Muchos usuarios no sabían exactamente qué datos se trataban, para qué se usaban o durante cuánto tiempo se conservaban.Ausencia de una evaluación de impacto (EIPD).
Toda tecnología que pueda implicar riesgos para los derechos de las personas debe someterse a una evaluación previa. No hacerlo es como conducir sin revisar los frenos.Proporcionalidad.
¿Era realmente necesario usar reconocimiento facial para controlar el acceso a un gimnasio? Existen alternativas menos invasivas, como tarjetas, apps o códigos QR.
Lecciones para cualquier empresa (y no solo para gimnasios)
Este caso no trata solo de biometría: trata de cómo las empresas implementan la innovación sin poner en riesgo la privacidad.
Y la verdad es que la mayoría de las veces el problema no está en la tecnología, sino en cómo se usa. Aquí van algunas claves prácticas:
1️⃣ Evalúa primero la necesidad.
Antes de implantar un sistema de reconocimiento facial o cualquier tecnología que trate datos personales, pregúntate: ¿es realmente necesario? ¿hay otra forma de conseguir el mismo resultado sin tanto riesgo?2️⃣ Haz una evaluación de impacto.
Si el tratamiento puede afectar a derechos fundamentales, la EIPD no es opcional, es obligatoria. Y además te servirá como hoja de ruta para hacerlo bien.3️⃣ Ofrece alternativas.
No obligues a tus clientes o empleados a entregar sus datos biométricos si no quieren. Ofrece otras vías: tarjeta, app, PIN… El consentimiento debe ser siempre libre.4️⃣ Informa de forma sencilla y visible.
Explica qué datos se recogen, por qué, durante cuánto tiempo y quién los trata. Y si puedes hacerlo con un cartel o una infografía, mucho mejor.5️⃣ Refuerza la seguridad.
Si tratas datos biométricos, protéjalos con medidas robustas: cifrado, control de accesos, registros de actividad, auditorías periódicas.6️⃣ Forma a tu equipo.
La privacidad no es solo cosa del departamento legal. Todo el personal debe entender cómo tratar datos personales y qué prácticas evitar.
Más allá de la sanción económica, Supera se enfrenta a un daño reputacional importante. Los titulares se difunden rápido, y para los clientes la confianza es un valor que cuesta mucho recuperar.
Esto debería hacernos reflexionar: la privacidad no es un obstáculo para innovar, sino una forma de hacerlo mejor. Un proyecto que respeta los derechos de las personas gana credibilidad, mejora la experiencia del usuario y evita problemas legales a largo plazo.
Cada vez más consumidores valoran la transparencia y las prácticas responsables. No se trata solo de cumplir el RGPD, sino de construir relaciones basadas en la confianza.
El caso Supera demuestra que implantar tecnología sin analizar bien su impacto puede salir caro. Muy caro.
Pero también nos enseña algo positivo: que con asesoramiento adecuado, planificación y comunicación transparente, es perfectamente posible innovar sin vulnerar la privacidad.
Si tu empresa está valorando usar sistemas biométricos, reconocimiento facial o cualquier otra tecnología que trate datos personales, no lo hagas solo: consulta antes con un especialista en protección de datos.
En Legitec te ayudamos a evaluar riesgos, cumplir con el RGPD y comunicar tus proyectos de forma segura y responsable.