Acceder al gimnasio mediante tu huella digital. ¿Es posible?
La Agencia Española de Protección de Datos (AEPD) sancionó en julio de 2018 a un centro deportivo por el supuesto uso indebido de la huella dactilar de sus socios para poder acceder a sus instalaciones, después de la denuncia por parte de un cliente de dicho gimnasio que consideró que esta medida invadía su intimidad y privacidad.
¿Extralimitación de la finalidad del uso de los datos?
Hasta el momento de implantación la modalidad de acceso mediante huella digital, el gimnasio tenía establecido un sistema que permitía la entrada y salida de los usuarios utilizando una pulsera.
Con el nuevo método de identificación y control, se procedió a tomar la huella dactilar de los socios del gimnasio, tras ponérselo en su conocimiento a través del contrato. Pero la huella no se almacenaba íntegramente, sino que se generaba una plantilla numérica o patrón utilizando algunos puntos de la huella generados a partir de algoritmos matemáticos, creando así un código único para cada huella.
Según la AEPD había falta de seguridad para tanta información
No obstante, tras la denuncia, la AEPD consideró que existían otras alternativas, como por ejemplo almacenar de forma encriptada la huella en una tarjeta que custodiase cada socio, estableciendo que el control biométrico utilizaba los datos de forma no proporcionada y excesiva en relación con el ámbito y las finalidades determinadas.
Proporcionalmente correcto según la Audiencia Nacional (Tribunales)
Pues bien, la Audiencia Nacional, en su SAN 3675/2019 de 19 de septiembre de 2019 ha estimado el recurso contencioso-administrativo interpuesto por el centro deportivo contra la resolución antes mencionada, y ha procedido a anular la sanción.
En dicha resolución se mantiene el carácter de dato personal del algoritmo creado a través de la huella digital, ya que tanto la Directiva 95/46 y como la LOPD identifican la huella dactilar como un dato personal de tipo biométrico, y es indiferente que la muestra de la huella sea de forma completa o mediante “minucias”, en este caso convertidas a algoritmos.
Pero en lo que respecta a la idoneidad y proporcionalidad de la medida, la Audiencia entiende por un lado que la recogida y uso de la huella es para la prestación de un servicio privado, cual es el de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad, por lo que considera que se cumple el juicio de idoneidad.
Por otro lado, establece que la medida es necesaria ya que el uso de la huella supone una mejora de la calidad en lo que al acceso al gimnasio se refiere, procurando que se evite un posible fraude si se produjese un intercambio de pulseras o tarjetas identificativas entre usuarios.
Por último, el Tribunal entiende que las medidas de seguridad aplicadas durante la vida del dato son proporcionales al uso y finalidades destinadas por el responsable del tratamiento, puesto que ha garantizado la confidencialidad por el mecanismo de conversión de la huella a su algoritmo, almacenándose este último y no la huella en la base de datos, tratando de minimizar así la injerencia en el derecho a la protección de datos de los usuarios del gimnasio. Además, se consideró que, por el tamaño y características de la empresa, el volumen de los datos recogidos y almacenados no pueda considerarse como “masivo”.
Por tanto, en este caso, se validó el uso de la huella digital, considerada dato personal biométrico, para el acceso al gimnasio.
Eso sí, esta sentencia no significa que se pueda utilizar la huella digital en cualquier ámbito. Habrá que estar a cada caso para analizar las medidas adoptadas y procurar que se cumplen los requisitos de idoneidad, necesidad y proporcionalidad.
Autora: Camila Ortiz.