Cuando se realiza la inscripción lo normal, sobre todo en los de grandes empresas, es recibir una forma de acceder a las instalaciones. Puede ser con una tarjeta, un código QR que llevas en el teléfono, una pulsera con tecnología NFC o incluso tu huella dactilar. Pero este último sistema, que puede ser muy habitual, ha sido puesto en duda por la AEPD tras la reclamación de una usuaria a un gimnasio.
Todo llega por un caso que se registró en mayo de 2021 contra el club de gimnasios METROPOLITAN de Santander que dio la baja a una de sus usuarios por negarse a registrar su huella dactilar para acceder a las instalaciones. Un tema muy delicado por las implicaciones que puede tener almacenar la huella dactilar, existiendo otros métodos alternativos para la identificación.
Hay otros sistemas alternativos a la huella dactilar para identificarse
Este gimnasio tuvo un cambio relevante en sus políticas de identificación mientras esta usuaria tenía ya firmado el contrato. Al encontrarse que ahora la identificación se realizaba con huella dactilar, se negó a ofrecerla debido a que se trataba de una petición excesiva en materia de datos biométricos. La respuesta del gimnasio fue no ofrecer una alternativa y formalizar su baja de manera automática.
Actualmente, el RGPD es muy estricta con respecto a este tipo de información personal y única de cada uno de nosotros. Una filtración de la huella dactilar puede ocasionar muchos problemas, ya que sin duda es como si fuera nuestro DNI natural, como puede ocurrir en un futuro con nuestro iris. Ante esto, el gimnasio trató de escudarse en su reglamento interno donde se impone este requisito.
Pero la AEPD, como decimos, es superexquisita con este tratamiento de la información. El gimnasio ha informado del sistema que se usa para almacenar estos datos, encriptarlos y el método de eliminarlos en el caso de que se curse la baja. Aunque hay un problema en la documentación que se ha aportado al organismo regulador: "se comprueba que en dichos extractos que constan usuarios dados de baja de los cuales no consta borrado de su huella".
Además de esto el gimnasio también informa que no es algo obligatorio al permitir métodos alternativos entregando el documento de identidad. Pero "no hará publicidad de ello" para que nadie lo pueda utilizar. Y como hemos visto, esto es algo que no se ha cumplido con esta clienta.
Pese a que en la legislación se establece la prohibición de usar la huella dactilar para este tipo de tareas, también hay excepciones que están condicionadas a una justificación muy estricta. Además, se une a la existencia de alternativas viables para la identificación y menos intrusivas en la intimidad de los usuarios. Formas que ya funcionaban en el pasado hasta que se implantó este sistema.
En sus documentos de aceptación no se refleja bien este "consentimiento explícito" que se exige para este tratamiento. Tal y como se recoge en la sanción, "no informa en concreto de qué tipo de datos biométricos se tratarán, y se ha firmar el bloque el documento". Pero donde hacen mucho hincapié es que no "informa de la base legitimadora del tratamiento".
Es por todo que se resuelve sanción de 27.000 euros a la empresa que gestiona este gimnasio y la limitación de este sistema hasta que se "acomode la base legitimadora del tratamiento y su correcta información a los usuarios". Hace hincapié en que se deberá acreditar lo siguiente en un plazo de 30 días:
Acredite en el plazo de 30 días, una correcta y adecuada implantación del sistema de uso de huella dactilar para acceso a instalaciones, considerando y acreditando su necesidad y proporcionalidad atendiendo a instauración de una base de tratamiento lícita para el tratamiento de los datos, también respecto a los que ya se disponen de ese dato, y a su correlativa información del tratamiento asociada a la misma.
De esta manera, el gimnasio va a tener que revisar toda su documentación legal que firman los usuarios y publicitar medios alternativos de acceso. Sin duda, esta es una de las primeras 'víctimas' de la nueva guía de la AEPD para el tratamiento de estos datos tan delicados que fue publicada en noviembre. Y puede que existan más casos debido a que como ciudadanos cada vez somos más estrictos a la hora de dar nuestros datos más personales.
Imágenes | George Prentzas Danielle Cerullo
En Genbeta | Que nos pidan fotocopiar nuestro DNI en todas partes no es normal: la AEPD pide que se deje de hacer por seguridad
Ver 2 comentarios