La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 96.000 euros a SIDECU, S.A., empresa gestora de los gimnasios SUPERA, por el uso de sistemas de reconocimiento facial como método de acceso a sus centros deportivos sin cumplir con la normativa de protección de datos personales.
¿Qué ha ocurrido?
- SIDECU implantó en al menos cinco de sus centros un sistema de acceso basado en reconocimiento facial, sustituyendo los anteriores métodos de tarjetas y huella dactilar.
- Varios socios presentaron reclamaciones ante la AEPD al considerar que este sistema era invasivo y no se les había informado ni solicitado consentimiento específico para el tratamiento de sus datos biométricos.
- La empresa defendió que el sistema no almacenaba imágenes ni permitía identificar a los usuarios, alegando que no se trataba de datos personales según el RGPD.
Decisión de la AEPD
La AEPD ha determinado que:
- El reconocimiento facial sí implica el tratamiento de datos biométricos personales de categoría especial, ya que permite la identificación única de la persona, aunque se almacene una plantilla cifrada y no la imagen en bruto.
- SIDECU no acreditó ninguna de las excepciones del artículo 9.2 del RGPD que permiten el tratamiento de este tipo de datos, ni realizó una Evaluación de Impacto en Protección de Datos (EIPD) previa, ni informó correctamente a los usuarios.
- Se impone una multa total de 160.000 euros, reducida a 96.000 euros por reconocimiento de responsabilidad y pronto pago.
Medidas correctivas y suspensión del sistema
- SIDECU debe suspender de inmediato el uso de sistemas biométricos como método de acceso y acreditar el cese ante la AEPD.
- La empresa está obligada a realizar una EIPD y a informar adecuadamente a los usuarios si en el futuro pretende tratar datos biométricos.
