Facilitamos el artículoque nos facilita nuestro socio Bernardo Bonet de BONET ABOGADOS y que ha sido redactado por Alejandro Penalba, del departamento de protección de datos y compliance en Bonet Abogados
Esperamos que os resulte interesante!
LA AEPD SANCIONA A UN GIMNASIO POR EL USO DE HUELLA DACTILAR.
Recientemente hemos conocido una resolución de la Agencia Española de Protección de Datos que condenaba a un gimnasio con una multa de 1.500 € por el uso de la huella dactilar de los usuarios como control de acceso, teniendo estos datos biométricos almacenados en los servidores del mencionado negocio.
Tras la denuncia de uno de los socios de este gimnasio de Murcia ante la Agencia española de Protección de datos, y tras las investigaciones pertinentes por parte de este organismo, finalmente han resuelto sancionar a esta empresa con una multa de 1.500 € por una falta grave recogida en la Ley Orgánica de Protección de Datos.
Esta sanción es fruto de uno de los principios básicos de la Protección de Datos, la proporcionalidad en la recogida de los mismos. Este precepto lo encontramos, tal cual fundamenta la resolución, en el artículo 4.1 de la LOPD que determina: “Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido”.
Asimismo, el organismo fundamenta su decisión en la doctrina del Tribunal Constitucional al respecto: “Siguiendo la doctrina emanada por el Tribunal Constitucional, el cumplimiento del principio de proporcionalidad exigirá superar los principios de idoneidad, necesidad y proporcionalidad. Así, señala la Sentencia del Tribunal Constitucional 207/1996 que se trata de “una exigencia común y constante para la constitucionalidad de cualquier medida restrictiva de derechos fundamentales, entre ellas las que supongan una injerencia en los derechos a la integridad física y a la intimidad, y más en particular de las medidas restrictivas de derechos fundamentales adoptadas en el curso de un proceso penal viene determinada por la estricta observancia del principio de proporcionalidad”.
La clave en este asunto es que la Agencia Española de Protección de Datos, no considera proporcionado ni idóneo, ni necesario, almacenar los datos biométricos de los socios del gimnasio en los archivos del mismo para el control de acceso. Al respecto la resolución da posibles alternativas que podía haber empleado el negocio mucho menos lesivas para la intimidad de sus socios:
“El tratamiento del sistema de huellas para acceder a un establecimiento exige una especial atención a la proporcionalidad, no solo por el carácter excesivo en la recogida sino en la modalidad técnica para tratarlo reiteradas veces, es decir que el dato que figure en sus sistemas sea objeto de tratamiento en tanto resulte completamente imprescindible para el cumplimiento de la finalidad perseguida, la de autenticar la entrada al gimnasio. En este sentido se estima más adecuado para guardar la proporcionalidad y afectación mínima al derecho, que la base que confronta la introducción del dedo, el algoritmo fuera almacenado en una tarjeta que portara el socio, por ejemplo. Se observa que el sistema se preocupa de la confidencialidad como la conversión de la huella a su algoritmo, cabría plantearse si no sería posible aun una menor injerencia en el derecho fundamental a la protección de datos que se produce como consecuencia del hecho de que el algoritmo de la huella se incorpore al sistema, permaneciendo en el mismo en tanto socio del gimnasio dado que en caso contrario no sería posible la verificación en tiempo real del uso de acceso a la instalación. El mismo objetivo podría lograrse si se estableciera un sistema de control de acceso que sin perjuicio de aplicar medidas de control biométrico, permitiera que el propio dato biométrico o el algoritmo, permaneciese bajo el control del usuario y no fuera incorporado al sistema o base de datos. De ese modo, sería posible que la verificación se llevase a cabo a partir de un dispositivo que portase el socio, de forma que el sistema únicamente almacenase la información referida al uso o no uso de accesos, sin que en ningún momento reflejase el algoritmo de la huella. Así, sería posible que la información que según el sistema descrito seria recogida y almacenada en el propio sistema que se incorporase a una tarjeta inteligente en poder del socio, que, para acceder a las instalaciones, hubiera de utilizar la tarjeta y al propio tiempo posicionar su huella sobre el lector. Así se garantizaría la identificación basada en un doble aspecto: algo que el socio es: su huella que ha de implantar y algo que tiene: la tarjeta que autentica su huella que lleva el algoritmo.
Tomando en consideración lo que se ha venido indicando y el supuesto de los hechos denunciados consistente en el tratamiento de los datos de reconocimiento de huella de usuarios de gimnasio para control de acceso por su titular y siendo el único medio de acceder, cabe considerar que utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas”.
Esta resolución nos evidencia que, aunque algo sea habitual y a priori pueda parecer inofensivo, puede no estar cumpliendo con la legalidad, por ello, cuando realizamos una implantación de un programa de Protección de Datos en nuestra empresa o negocio, debemos asesorarnos con los mejores profesionales para que valoren las mejores soluciones adaptadas a nuestros sistemas y procesos, pero siempre respetando la Ley, evitando así posibles sanciones futuras, como le ha ocurrido a este gimnasio. Hay que tener en cuenta que, aunque en este caso se haya impuesto una sanción de 1.500 €, las multas por incumplir la legalidad en materia de Protección de Datos pueden llegar a los 20 millones de euros o el 4% de la facturación anual.
Alejandro Penalba
Departamento de Protección de Datos y Compliance
Bonet Abogados
