Multa de 96.000 euros a una cadena de gimnasios por imponer el reconocimiento facial en el acceso

Tras la denuncia de Facua-Consumidores en Acción, la Agencia Española de Protección de Datos (AEPD) ha multado con 96.000 euros a la cadena de gimnasios Supera por imponer el reconocimiento facial en el acceso a sus instalaciones. La sanción, tres multas que originalmente sumaban 160.000 euros, ha quedado finalmente reducida en un 40% dado que la empresa propietaria, Sidecu SA, ha reconocido la infracción y realizado el pago voluntario.

Los hechos fueron denunciados por Facua en 2023, tras tener conocimiento a través de sus socios de que los establecimientos de esta cadena de gimnasios habían implantado un sistema de reconocimiento facial como única forma de permitir el acceso. La asociación consideraba que se estaba realizando un tratamiento ilícito de los datos biométricos de los usuarios, lo que consistía una vulneración de la normativa de protección de datos.

La empresa, con sede en A Coruña, tiene 30 centros repartidos por 21 municipios. Así, están A Coruña, Alicante, Almería, Burgos, la localidad gaditana de Chiclana de la Frontera, los municipios malagueños de Estepona y Marbella, Guadalajara, León, Móstoles, Oviedo, Palencia, las localidades madrileñas de Parla, Rivas-Vaciamadrid, Talavera de la Reina y Valdemoro, Santander, Sevilla, Toledo, Valencia y Valladolid.

La AEPD ha confirmado que efectivamente existió una vulneración de la norma en los hechos denunciados por FACUA. En concreto, tres infracciones del Reglamento General de Protección de Datos (RGPD) por haber vulnerado artículos referentes a la prohibición de tratamiento de determinados datos sin recabar el consentimiento expreso, entre otros.

Las sanciones, de 80.000, 50.000 y 30.000 euros, suman un total de 160.000 euros que finalmente han quedado establecidos en 96.000 tras haberle aplicado una reducción del 40% por el reconocimiento de responsabilidad y el pago voluntario de las multas.

Prohibición de tratar datos biométricos

En su resolución, la AEPD señala que los datos biométricos, siempre que se traten con la finalidad de identificar a una persona —como en el caso de un control de acceso—, entran dentro de la categoría de datos de carácter personal de categoría especial, según recoge el artículo 9 del RGPD, cuyo tratamiento está generalmente prohibido.

Así, el artículo 9.1 del reglamento recoge que esta prohibición será efectiva cuando sean «datos biométricos dirigidos a identificar de manera unívoca a una persona física».

Su tratamiento, por tanto, sólo es posible si concurren alguna de las excepciones que prevé el propio Reglamento en el artículo 9.2. Entre ellas, que se haya recabado un «consentimiento explícito» del usuario. Consentimiento la propia cadena de gimnasios Supera reconoció estar recabando de sus socios al entender «erróneamente», según señala la AEPD en su resolución, que los datos biométricos pertenecientes a un patrón facial no eran datos personales.

Pero, además, este consentimiento tampoco habría sido «libre» —otro de los requisitos que impone el RGPD—, ya que el control de acceso mediante reconocimiento facial fue impuesto a todos sus usuarios sin que existiera una alternativa para quien no quisiera usarlo.

Esta infracción del artículo 9 del RGPD ha supuesto la mayor de las tres sanciones impuestas a los gimnasios Supera, de 80.000 euros por tratar de forma ilícita los datos biométricos de sus clientes.

Las otras dos sanciones, de 50.000 y 30.000 euros, han sido aplicadas por no haber realizado un informe de evaluación de impacto en la protección de datos personales (EIPD) previo a la implantación de la medida —un documento cuya elaboración exige la norma para garantizar su cumplimiento en tratamientos «de alto riesgo»—; y por no haber informado a los usuarios de que se iba a empezar a realizar un tratamiento de sus datos biométricos de forma previa a que empezara a utilizarse este método de control de acceso.