Sanción de 96.000 euros a unha cadea de ximnasios da Coruña por impoñer recoñecemento facial aos seus usuarios

A Agencia Española de Protección de Datos (AEPD) sancionou con 96.000 euros á cadea de ximnasios Supera, que ten o seu domicilio fiscal na Coruña, por impor o recoñecemento facial no acceso ás súas instalacións. A multa chega tras unha denuncia presentada por Facua-Consumidores en Acción.

Segundo explican desde a organización, a sanción, que procede de tres multas que orixinalmente sumaban 160.000 euros, quedou finalmente reducida nun 40% despois de que a empresa recoñecese a infracción e realizase o pago voluntario.

Denuncia de Facua

A denuncia de Facua produciuse en 2023 tras ter coñecemento a través dos seus socios de que os establecementos desta cadea de ximnasios –que conta con 30 centros repartidos entre A Coruña e outros 20 municipios do país– implantaran un sistema de recoñecemento facial como única forma de permitir o acceso.

“A asociación consideraba que se estaba realizando un tratamento ilícito dos datos biométricos dos usuarios, o que consistía unha vulneración da normativa de protección de datos”, explican desde a organización.

A decisión da AEPD

Segundo detallan desde Facua, a AEPD confirmou que efectivamente existiu unha vulneración da norma nos feitos denunciados pola organización. En concreto, tres infraccións do Reglamento Xeral de Protección de Datos (RGPD) por ter vulnerado artigos referentes á prohibición de tratamento de determinados datos sen recadar o consentimento expreso, entre outros.

“As sancións, de 80.000, 50.000 e 30.000 euros, suman un total de 160.000 euros que finalmente quedaron establecidos en 96.000 tras terlle aplicado unha reducción do 40% polo recoñecemento de responsabilidade e o pago voluntario das multas”.

Na súa resolución, a AEPD sinala que os datos biométricos, sempre que se traten coa finalidade de identificar a unha persoa —como no caso dun control de acceso—, entran dentro da categoría de datos de carácter persoal de categoría especial, segundo recolle o artigo 9 do RGPD, cuxo tratamento está xeralmente prohibido. Así, o artigo 9.1 do regulamento recolle que esta prohibición será efectiva cando sexan «datos biométricos dirixidos a identificar de maneira unívoca a unha persoa física».

O seu tratamento, polo tanto, só é posible se concorren algunha das excepcións que prevé o propio Regulamento no artigo 9.2. Entre elas, que se recabase un «consentimento explícito» do usuario. Consentimento a propia cadea de ximnasios Supera recoñeceu estar recabando dos seus socios ao entender «erróneamente», segundo sinala a AEPD na súa resolución, que os datos biométricos pertencentes a un patrón facial non eran datos persoais.

Ademais, este consentimento tampouco sería «libre» —outro dos requisitos que impón o RGPD—, xa que o control de acceso mediante recoñecemento facial foi imposto a todos os seus usuarios sen que existise unha alternativa para quen non quixese usalo.

Tres multas

Precisamente esta infracción do artigo 9 do RGPD é a que supuxo un maior importe das tres sancións impostas: 80.000 euros por tratar de forma ilícita os datos biométricos dos seus clientes.

As outras dúas sancións, de 50.000 e 30.000 euros, foron aplicadas por non ter realizado un informe de avaliación de impacto na protección de datos persoais (EIPD) previo á implantación da medida —un documento cuxa elaboración esixe a norma para garantir o seu cumprimento en tratamentos «de alto risco»—; e por non ter informado aos usuarios de que se ía comezar a realizar un tratamento dos seus datos biométricos de forma previa a que comezase a utilizarse este método de control de acceso.