Un gimnasio de Santander sancionado con 27.000 € por recabar la huella dactilar de los clientes



Dentro de la conocida firma de gimnasios "Metropolitan", el centro de Santander ha sido sancionado por la AEPD con la suma de 27.000 € por obligar a los clientes a identificarse utilizando su huella dactilar.


En efecto, esto ha tenido lugar tras el hecho de que a partir de mitad de 2021, una clienta que ya venía accediendo como el resto de clientes mediante pulsera identificativa un día fue a acceder al gimnasio y le indicaron que ya la pulsera no era suficiente elemento identificativo para el acceso y que tenían que recabar su huella dactilar. La clienta se negó y ellos la dieron de baja como socia del gimnasio.

Ante tales hechos, la clienta interpuso reclamación ante la AEPD, quien abrió el correspondiente proceso de investigación. Durante el mismo, el gimnasio explicó a dicho organismo que habitualmente solo venía requiriendo la pulsera, pero que al haber detectado un uso fraudulento de las mismas por ciertos clientes, se vio en la obligación de optar por implantar un mecanismo de verificación absoluta de la identidad con la huella dactilar, informando previamente de ello a los clientes y aquellos que no compartían el tema, serían dados de baja.


Es evidente que un consentimiento otorgado bajo amenaza de ser dado de baja no es un consentimiento válido, sino viciado y por lo tanto, no sería otorgado libremente como es requerido en materia de protección de datos. Adicionalmente, estamos hablando de datos biométricos, de alto riesgo y en principio, de tratamiento prohibido conforme recoge el RGPD en su artículo 9, por lo que solo es permitido en ciertas excepciones.


Es por ello, que para tratar este tipo de datos debe ofrecerse una alternativa viable, seria y no invasiva, haber llevado a cabo un adecuado análisis de riesgos, superar un juicio de equilibrio y proporcionalidad, que la medida sea necesaria,  adecuada y proporcionada, siendo casi imposible (o mejor aun, imposible) de gestionar el proceso si no es con esta verificación,  y que la evaluación de impacto arroje un resultado adecuado y saludable para el diseño del proceso de admisión de los clientes, sin imponerles dicha entrega de datos biométricos.



CURIOSIDADES & NOTICIAS

Nueva Guía sobre generación de datos sintéticos

23 de abril de 2025
La AEPD ha llevado a cabo la traducción de la Guía del a Autoridad de Protección de Datos de Singapur, que sin duda, puede contribuir sobremanera a gestionar adecuadamente el proceso de entrenamiento de sistemas de IA con este tipo de datos, los sintéticos, que priorizan la privacidad y la protección de los datos personales, comportándose como auténticos datos personales, sin el riesgo de la identificación y el tratamiento, en especial en casos no autorizados.

la AEPD implantará sistemas de IA

11 de abril de 2025
La Agencia Española de Protección de Datos (AEPD) tiene previsto implementar sistemas internos avanzados, basados en la inteligencia artificial y el análisis automatizado de datos, para detectar de forma temprana riesgos que puedan afectar a la privacidad y a la protección de los datos personales. En los tiempo actuales, en vertiginosos cambios diarios, la Agencia precisa la agilidad necesaria para enfrentar el imparable avance digital y de las nuevas normativas, así como reforzar los sistemas de monitoreo continuo para anticiparse a las tendencias tecnológicas emergentes, y para ello apuesta por una mayor colaboración con entidades externas relacionadas o vinculadas con la privacidad y seguridad de los sistemas de información, entre los que se cuentan los centros de investigación, universidades y profesionales de la privacidad.

El Gobierno Balear sancionado por la AEPD

8 de abril de 2025
La AEPD ha sancionado al Instituto Balear de la Juventud por recopilar y posteriormente tratar datos de aproximadamente 3000 jóvenes a través de encuestas para definir una radiografía del a situación de la juventud en las Islas Baleares y en las que se les solicitaba datos de orientación sexual, ideología, religión, salud, etc. Según la AEPD los datos recabados, de carácter especialmente delicado, se recogieron de modo obligatorio, sin informar previamente del tratamiento ni del ejercicio de derechos. Tampoco se considera tuviera suficiente legitimación en base a interés público u obligación legal, ni tampoco un consentimiento legalmente prestado.
¿Tienes más interés?