BOLETÍN DE ACTUALIDAD DE DERECHO CIVIL

Agencia Española de Protección de Datos rechaza recurso de Loro Parque por uso de datos biométricos

La Agencia Española de Protección de Datos (AEPD) ha desestimado el recurso de reposición presentado por Loro Parque, S.A. contra la resolución que le impuso una multa de 250.000 euros por el tratamiento de datos biométricos sin cumplir los requisitos del Reglamento General de Protección de Datos (RGPD).

Los hechos que motivaron la sanción

La sanción se originó por reclamaciones de tres visitantes que denunciaron que al adquirir las entradas “Twin Ticket” (TT) para acceder conjuntamente a Loro Parque y Siam Park en Tenerife, se les exigía proporcionar la huella dactilar, incluso a menores de edad, sin que se informara de ello al momento de la compra.

Las entradas Twin Ticket son entradas no nominativas al portador que permiten visitar ambos parques con descuento. Para verificar que la misma persona accediera a ambos parques, Loro Parque implementó un sistema de control biométrico basado en la huella dactilar.

El sistema de control biométrico

Según consta en el expediente, el proceso funcionaba de la siguiente manera:

  • Al acceder al primer parque, se lee el código QR de la entrada
  • Si el sistema detecta que es una entrada Twin Ticket, solicita la captura de la huella dactilar del dedo índice
  • Se genera una representación matemática (plantilla biométrica) que se almacena encriptada
  • En el segundo acceso al otro parque, se repite el proceso de lectura del QR y captura de huella
  • El sistema compara las plantillas biométricas para verificar que es la misma persona

El sistema lo gestionaba la empresa externa ***EMPRESA.1 a través de sensores ***DISPOSITIVO.1 suministrados por ***EMPRESA.2.

Los argumentos de Loro Parque

En su recurso, Loro Parque alegó principalmente:

  1. Caducidad del procedimiento: Sostuvo que el expediente había caducado al superar los nueve meses inicialmente indicados en el acuerdo de inicio.
  2. Ausencia de datos personales: Argumentó que la representación matemática de la huella no constituye un dato personal, ya que sería irreversible y no permitiría identificar a la persona.
  3. Falta de tipicidad: Alegó que el RGPD no define términos como “plantilla biométrica” y que se estaba aplicando una prohibición no contemplada expresamente en la ley.
  4. Responsabilidad del encargado: Señaló que no se había llamado al procedimiento a las empresas encargadas del tratamiento, lo que consideraba un vicio de nulidad.
  5. Cambio de sistema: Informó que desde septiembre de 2024 había sustituido el sistema biométrico por pulseras identificativas.

La respuesta de la AEPD

La Agencia rechazó todos los argumentos:

Sobre la caducidad: Confirmó que el procedimiento duraba 12 meses según el artículo 64.2 de la LOPDGDD, no nueve, y que la resolución se dictó dentro de plazo.

Sobre los datos personales: Mantuvo que las plantillas biométricas constituyen datos personales según el artículo 4.14 del RGPD, ya que permiten identificar de manera unívoca a una persona física y se utilizan precisamente con esa finalidad.

Sobre la tipicidad: Defendió que la conducta está claramente tipificada en el artículo 9 del RGPD, que prohíbe el tratamiento de datos biométricos dirigidos a identificar de manera unívoca a una persona física sin concurrir alguna de las excepciones del apartado 2.

Sobre la responsabilidad: Explicó que Loro Parque es el responsable del tratamiento que determina fines y medios, siendo las empresas externas meros encargados que actúan por su cuenta.

Detalles técnicos del sistema

El expediente revela información técnica relevante:

  • El sistema capturaba “minucias” (puntos de coincidencia de huellas digitales) mediante cámara
  • La encriptación se realizaba automáticamente en el dispositivo
  • Los datos se almacenaban en una base de datos Microsoft SQL
  • La clave de descifrado la conservaba el fabricante del dispositivo
  • El sistema se aplicaba también a menores desde los 3 años de edad

La multa y medidas adoptadas

La resolución confirma:

  • Multa de 250.000 euros por infracción del artículo 9 del RGPD
  • Prohibición del tratamiento de datos analizado
  • Plazo de 30 días para acreditar el cumplimiento de la prohibición

La AEPD consideró la infracción como muy grave y aplicó circunstancias agravantes por la “grave y significativa falta de diligencia” de la empresa, teniendo en cuenta que su actividad implica el manejo constante de datos personales y que el sistema afectaba a menores de edad.

Loro Parque puede ahora interponer recurso contencioso-administrativo ante la Audiencia Nacional en el plazo de dos meses.

https://www.aepd.es/documento/reposicion-ps-00432-2023.pdf

Post Views: 280
Back to top arrow