La Agencia Española de Protección de Datos (AEPD) ha acordado el archivo de las actuaciones seguidas contra una comunidad de propietarios de Sevilla (EXP202408951) por la instalación de un sistema de acceso biométrico mediante lector de huellas dactilares en la piscina comunitaria, al considerar que no ha quedado acreditado que las huellas registradas puedan ser atribuidas a una persona física identificada o identificable. La resolución resulta de notable interés por la aplicación de la reciente jurisprudencia del Tribunal de Justicia de la Unión Europea sobre el concepto de dato personal en el ámbito biométrico.
Hechos
Un propietario reclamó ante la AEPD en junio de 2024 denunciando que la comunidad había acordado en junta general extraordinaria celebrada el 3 de junio de 2020 instalar un sistema de acceso biométrico mediante detector de huellas dactilares para acceder a la piscina comunitaria, considerando dicho tratamiento desproporcionado al existir métodos menos intrusivos.
La comunidad de propietarios aportó amplia documentación durante la instrucción del expediente, incluyendo el acta de la junta en la que se aprobó la instalación por 19 votos a favor, 3 en contra y 1 abstención, así como una sentencia del Juzgado de Primera Instancia de Sevilla que había desestimado una demanda previa del mismo reclamante solicitando la nulidad de dicho acuerdo comunitario. En su fundamento de derecho noveno, la sentencia consideró que el acuerdo no resultaba contrario a la ley ni a los estatutos y no tenía entidad suficiente para considerar infringida la normativa de protección de datos, tratándose de un sistema común y extendido para el control de acceso a recintos como piscinas o zonas deportivas.
La comunidad alegó además que el reclamante perseguía un interés particular —el uso ilimitado de la piscina por los inquilinos de su vivienda de alquiler turístico—, calificando la reclamación de uso espurio de la normativa de protección de datos.
Características del sistema biométrico
De las actuaciones de investigación resultó acreditado que el sistema opera mediante identificación biométrica (1:N), almacenando únicamente los datos de las huellas registradas en el propio dispositivo lector, sin almacenamiento en línea ni en la nube. La información biométrica se encuentra codificada y cifrada mediante un algoritmo específico que, según el fabricante, impide su uso o restauración por terceros. El sistema no asocia las huellas a ningún otro dato personal (nombre, DNI, etc.), limitándose a conceder o denegar el acceso. A la fecha de la resolución constaban 47 huellas registradas.
La comunidad no realizó evaluación de impacto en la protección de datos conforme al artículo 35 del RGPD, al considerar aplicable la excepción prevista en la lista orientativa de la AEPD para tratamientos realizados por comunidades de propietarios conforme a la Ley de Propiedad Horizontal. Tampoco realizó el análisis de riesgos del artículo 32 del RGPD, al entender que el sistema no permitía el tratamiento de los datos más allá del reconocimiento de la huella.
Fundamentos de la resolución
La AEPD recuerda que los datos biométricos se definen en el artículo 4.14 del RGPD como datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona física que permitan o confirmen su identificación única. Su tratamiento está sujeto a la prohibición general del artículo 9.1 del RGPD, salvo que concurra alguna de las excepciones del apartado 2.
No obstante, la resolución concluye que no ha quedado acreditado que las huellas dactilares registradas por la comunidad puedan ser atribuidas a una persona física identificada o identificable, dado que el sistema no asocia las huellas a datos identificativos, los datos se almacenan cifrados exclusivamente en el dispositivo y ninguna persona tiene acceso a los datos almacenados.
Para fundamentar esta conclusión, la AEPD invoca la Sentencia del Tribunal de Justicia de la Unión Europea de 4 de septiembre de 2025, asunto C-414/23P, conforme a la cual un medio no puede considerarse razonablemente utilizable para identificar al interesado cuando el riesgo de identificación resulte insignificante, ya sea porque la identificación esté prohibida por la ley o porque sea prácticamente irrealizable al implicar un esfuerzo desmesurado en tiempo, costes y recursos humanos.
En aplicación del principio de presunción de inocencia, la AEPD concluye que no se han hallado elementos probatorios suficientes para acreditar e imputar una infracción, sin perjuicio de posibles actuaciones posteriores.
La resolución pone fin a la vía administrativa y es susceptible de recurso potestativo de reposición o de recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo de la Audiencia Nacional.