La Resolución de la Agencia Española de Protección de Datos considera que se infringen los preceptos: 13, el 9.1 y el 6.1 del RGPD.
Los hechos comienzan con la denuncia de un cliente, que iba al gimnasio normalmente y que un día le comunican que para acceder debe realizar un reconocimiento de huella digital. Al negarse a realizarlo, le informan que deja de ser cliente.
Tras este hecho, el cliente denuncia lo ocurrido en el gimnasio ante la Agencia Española de Protección de Datos.
El gimnasio, en la instrucción del procedimiento manifestó que la finalidad del tratamiento era “el acceso inequívoco e intransferible del usuario a las instalaciones del gimnasio”. Una huella que se conservaba encriptada mientras esa persona era socia y que se destruía una vez se daba de baja.
Para la AEPD, se infringen tres obligaciones en la materia:
- Consentimiento. la Agencia, con base en el artículo 9.1 del RGPD, recuerda que “quedan prohibidos los tratamientos de datos personales que revelen datos genéticos o datos biométricos dirigidos a identificar de manera unívoca a una persona física”. Esta norma tiene excepciones, como por ejemplo, cuando se da consentimiento explícito para el tratamiento de dichos datos, pero no ocurre en el gimnasio, que no pide el consentimiento a los clientes.
- Necesidad del tratamiento. También indica la AEPD, que el uso de la huella no resulta ser un tratamiento necesario, porque hasta mayo de 2021 no se pedía. Por ello, si anteriormente existía un sistema menos invasivo con la privacidad de los clientes, no resulta necesario el cambio a ese método.
- Principio de información. Por último, se sanciona al gimnasio por no haber informado correctamente a los clientes sobre los tratamientos de sus datos personales, como exige el art. 13 del RGPD.
Os dejamos por aquí la Resolución.