Un gimnasio de Santander sancionado con 27.000 € por recabar la huella dactilar de los clientes



Dentro de la conocida firma de gimnasios "Metropolitan", el centro de Santander ha sido sancionado por la AEPD con la suma de 27.000 € por obligar a los clientes a identificarse utilizando su huella dactilar.


En efecto, esto ha tenido lugar tras el hecho de que a partir de mitad de 2021, una clienta que ya venía accediendo como el resto de clientes mediante pulsera identificativa un día fue a acceder al gimnasio y le indicaron que ya la pulsera no era suficiente elemento identificativo para el acceso y que tenían que recabar su huella dactilar. La clienta se negó y ellos la dieron de baja como socia del gimnasio.

Ante tales hechos, la clienta interpuso reclamación ante la AEPD, quien abrió el correspondiente proceso de investigación. Durante el mismo, el gimnasio explicó a dicho organismo que habitualmente solo venía requiriendo la pulsera, pero que al haber detectado un uso fraudulento de las mismas por ciertos clientes, se vio en la obligación de optar por implantar un mecanismo de verificación absoluta de la identidad con la huella dactilar, informando previamente de ello a los clientes y aquellos que no compartían el tema, serían dados de baja.


Es evidente que un consentimiento otorgado bajo amenaza de ser dado de baja no es un consentimiento válido, sino viciado y por lo tanto, no sería otorgado libremente como es requerido en materia de protección de datos. Adicionalmente, estamos hablando de datos biométricos, de alto riesgo y en principio, de tratamiento prohibido conforme recoge el RGPD en su artículo 9, por lo que solo es permitido en ciertas excepciones.


Es por ello, que para tratar este tipo de datos debe ofrecerse una alternativa viable, seria y no invasiva, haber llevado a cabo un adecuado análisis de riesgos, superar un juicio de equilibrio y proporcionalidad, que la medida sea necesaria,  adecuada y proporcionada, siendo casi imposible (o mejor aun, imposible) de gestionar el proceso si no es con esta verificación,  y que la evaluación de impacto arroje un resultado adecuado y saludable para el diseño del proceso de admisión de los clientes, sin imponerles dicha entrega de datos biométricos.



CURIOSIDADES & NOTICIAS

Eliminación de datos de autónomos de bases de datos empresariales

21 de mayo de 2025
La Agencia Española de Protección de Datos (AEPD) ha ordenado el cese de la comunicación de datos personales de miles de autónomos por parte de la Cámara de España a la empresa Camerdata, tras el ciberataque sufrido y detectarse que el flujo de la información no estaba autorizado por los autónomos, ya que se utilizaban datos provenientes de la Agencia Tributaria que posteriormente eran comunicados a terceros, cuando el interesado en momento alguno otorgó su consentimiento.

Una inmobiliaria fotografiaba buzones de edificios y es sancionada

16 de mayo de 2025
Recientemente, una inmobiliaria ha sido sancionada por la AEPD por captar los datos de propietarios e inquilinos de edificios que visitaba uno de sus trabajadores, al que obligaba a capturar fotografía de los buzones de estos inmuebles con la finalidad de utilizarlos para sus pesquisas y ofrecer a titulares, ponerlos a la venta o alquiler en el mercado. Tras el proceso de investigación de la AEPD se constató que la empresa disponía de una ingente cantidad de datos personales sin autorización o en espera de ella. El trabajador que venía captando las fotografías fue despedido cuando se negó a llevar a cabo las prácticas descritas.

Sanción a Generali e ING por filtración de datos

13 de mayo de 2025
Estos leones gigantes, también sufrieron un ciberataque en el que quedaron vulnerados sus sistemas y se pudo acceder indebidamente a los datos personales de miles de clientes. Ahora, a AEPD le ha impuesto unas sanciones muy cuantiosas por no haber implementado las medidas acordes a sus capacidades y sistemas, en base a que se ha considerado por esta entidad que el tratamiento no garantizaba una seguridad "adecuada" de los datos personales. En particular, se les ha impuesto sanciones de 4 y 1,6 millones, por infringir la normativa sobre medidas técnicas y organizativas para proteger los datos, la seguridad del tratamiento y no contar con la adecuada evaluación de un impacto relativa a la protección de datos.
¿Tienes más interés?