La Agencia Española de Protección de Datos (AEPD) ha multado con la cuantía de 1.500 euros a un gimnasio de Murcia por incumplir la Ley de Protección de Datos de Carácter Personal (LOPD), tras la denuncia presentada por uno de sus socios.
En su denuncia, el socio exponía ante la AEPD que el gimnasio cambió el sistema de entrada al centro que anteriormente se realizaba mediante una pulsera con chip, por un sistema de huella dactilar, sin ofrecer otro medio alternativo. Según considera el denunciante, este medio es desproporcionado y asegura que no se le remitió un documento de conformidad para la recogida de sus datos biométricos. A su modo de ver, no se le puede obligar a proporcionar estos datos, por ser contrario a la LOPD.
La Agencia al recibir la denuncia comenzó la investigación para determinar si hubo un incumplimiento de la LOPD. Para ello se puso en contacto con el gimnasio de Murcia para solicitarle documentación y consultar determinadas cuestiones: para qué actividades se emplean los datos biométricos, cómo se almacenan y cómo funciona el sistema.
Como expone la resolución de la Agencia, que está disponible en este enlace, el gimnasio respondió que la finalidad del sistema es la de obtener una plantilla numérica basada en algoritmos que sirva como medio personal e intransferible para acceder a sus instalaciones a través de la comparación de patrones elaborados por el sistema partiendo de la huella digital. Señaló que el almacenamiento de los datos, es gestionado, custodiado y administrado por otra empresa que no los comparte con ellos.
Respecto a la cuestión referente a la posibilidad de oponerse al tratamiento de la huella dactilar ofrecida a los socios y alternativas proporcionadas. Indica que previamente a la hoja de adhesión de socio, se informa al cliente de los derechos y de los datos biométricos que se recogen. El único modo de acceder es dar dichos datos, si no está de acuerdo no se recogen los datos y por tanto no se le inscribe como socio.
En un primer momento la Agencia dictó una sanción de 5.000 euros al gimnasio murciano por incumplir el artículo 4.1 de la LOPD, que establece: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
Tras las alegaciones presentadas por el denunciado, finalmente la sanción queda reducida a 1.500 euros. La Agencia considera que el tratamiento de los datos de reconocimiento de huella de usuarios de gimnasio para control de acceso por su titular y siendo el único medio de acceder, el gimnasio utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas, incumpliendo así el citado artículo de la LOPD.
Desde Legitec podemos ayudarte a que tu empresa cumpla con las normas en materia de Protección de Datos tanto a nivel nacional como internacional, con la adaptación de tu actividad a el nuevo Reglamento Europeo de Protección de Datos. Consúltanos sin compromiso.
