Imagínate que llegas a tu gimnasio, con ganas de entrenar, y en la entrada te dicen: “No puedes pasar si no registras tu cara en nuestro sistema de reconocimiento facial”. Ni tarjeta, ni huella, ni código en la app. Solo tu rostro.
Esto fue lo que muchos usuarios de la cadena de gimnasios Supera denunciaron. No tenían alternativa: o cedían sus datos biométricos (que son especialmente sensibles porque nos identifican de forma única) o se quedaban sin entrenar.
La historia llegó a FACUA-Consumidores en Acción, que decidió llevar el caso a la Agencia Española de Protección de Datos (AEPD). El resultado: una sanción ejemplar de 160.000 euros, que finalmente quedó en 96.000 euros tras aplicar reducciones por reconocimiento de responsabilidad y pronto pago.
¿Por qué resulta tan grave?
A veces pensamos: “Bueno, es solo mi cara, si sirve para entrar más rápido, ¿qué problema hay?”.
Pero el RGPD —la ley europea que protege nuestros datos— es muy claro: los datos biométricos solo pueden usarse en situaciones muy concretas, y siempre con consentimiento explícito, informado y libre.
En el caso de Supera, el consentimiento brillaba por su ausencia:
El sistema era obligatorio, por lo que los clientes no tenían elección.
No se ofreció ninguna alternativa de acceso (tarjeta, app, código…).
Tampoco se realizó la necesaria evaluación de impacto para valorar los riesgos de usar tecnología tan intrusiva.
Y, por si fuera poco, los clientes no recibieron información clara sobre cómo se trataban sus datos, con qué finalidad y durante cuánto tiempo.
La empresa incluso defendió que aquello “no eran datos biométricos”. La AEPD fue contundente: sí lo eran, y su uso estaba fuera de la legalidad.
Lo que dice la AEPD (y lo que nos enseña a todos)
El mensaje es claro: Tu cara no puede ser la llave obligatoria de un gimnasio ni de ningún servicio. La sanción a Supera nos deja varias lecciones que cualquier empresa debería tener grabadas:
Consentimiento real, no impuesto. Si obligas al cliente a dar su cara, su huella o cualquier otro dato sensible, no hay consentimiento libre.
Siempre hay que ofrecer alternativas. Tarjeta, código QR, app en el móvil… Cualquier opción que no implique exponer datos biométricos.
Transparencia y evaluación previa. Antes de implantar un sistema de este tipo, la empresa debe realizar una Evaluación de Impacto en Protección de Datos (EIPD) y explicar claramente a los usuarios qué datos se recogen, para qué se usan y cómo se protegen.
El riesgo de “innovar” sin cumplir la norma. La tecnología puede hacernos la vida más fácil, pero si no se usa con cabeza y respeto a la normativa, puede acabar en sanciones millonarias y en pérdida de confianza de los clientes.
¿Y qué significa esto para tu negocio?
Aunque este caso haya sido en el sector del fitness, sirve para cualquier empresa o entidad que se plantee usar sistemas biométricos (reconocimiento facial, huellas, voz, retina…).
La moraleja es sencilla:
No basta con que la tecnología funcione. Tiene que estar pensada para respetar los derechos de las personas.
El dato más sensible es el que no puedes cambiar. Si te roban la contraseña, la cambias. Pero si te roban la cara, la huella o la voz… no tienes recambio.
Por eso el legislador es tan estricto y la AEPD tan contundente.
Claves prácticas para no caer en el mismo error
En Legitec lo resumimos en cinco pasos que recomendamos a todas las organizaciones que nos consultan:
| Recomendación | ¿Por qué es clave? |
|---|---|
| 1. Haz siempre una Evaluación de Impacto (EIPD). | Te permite anticipar riesgos legales y técnicos antes de implantar el sistema. |
| 2. Ofrece opciones alternativas. | Así el consentimiento del cliente será realmente libre. |
| 3. Sé transparente. | Explica qué datos recoges, para qué los usas y cuánto tiempo los conservas. |
| 4. Minimiza la recogida de datos. | Pregúntate: ¿realmente necesito un dato biométrico para este fin? |
| 5. Documenta y demuestra. | Guarda evidencias de tus decisiones, políticas y medidas de seguridad. Eso puede salvarte en caso de inspección. |
Nuestra reflexión final
El caso Supera es un recordatorio de que la confianza de los clientes se construye respetando sus derechos. La tecnología avanza rápido, y es tentador usar herramientas como el reconocimiento facial porque parecen cómodas y modernas. Pero cuando se trata de datos tan delicados, la prudencia y el cumplimiento legal no son opcionales.
En Legitec ayudamos a que las empresas innoven sin miedo a multas ni titulares negativos. Creemos que se puede crecer con seguridad, protegiendo lo más valioso: la confianza de las personas.