Multa de 96.000 euros a uma cadeia de ginásios de A Coruña por impor reconhecimento facial aos seus usuários.
A Agência Espanhola de Proteção de Dados considera que a cadeia Supera estava realizando um tratamento ilícito dos dados biométricos dos usuários e que o seu consentimento não tinha sido "livre".
Comentarios
A Agência Espanhola de Proteção de Dados (AEPD) sancionou com 96.000 euros a cadeia de ginásios Supera, que tem seu domicílio fiscal em A Coruña, por impor o reconhecimento facial no acesso às suas instalações. A multa ocorre após uma denúncia apresentada por Facua-Consumidores em Ação.
De acordo com a organização, a sanção, que resulta de três multas que originalmente somavam 160.000 euros, foi finalmente reduzida em 40% depois que a empresa reconheceu a infração e realizou o pagamento voluntário.
Denúncia da Facua
A denúncia da Facua ocorreu em 2023 após ter conhecimento através de seus associados de que as instalações desta cadeia de ginásios – que conta com 30 centros distribuídos entre A Coruña e outros 20 municípios do país – haviam implantado um sistema de reconhecimento facial como única forma de permitir o acesso.
“A associação considerava que estava sendo realizado um tratamento ilegítimo dos dados biométricos dos usuários, o que consistia em uma violação da regulamentação de proteção de dados”, explicam de dentro da organização.
A decisão da AEPD
Conforme detalhado pela Facua, a AEPD confirmou que de fato ocorreu uma violação da norma nos fatos denunciados pela FACUA. Em particular, três infrações do Regulamento Geral de Proteção de Dados (RGPD) por ter violado artigos referentes à proibição de tratamento de determinados dados sem obter o consentimento explícito, entre outros.
“As sanções, de 80.000, 50.000 e 30.000 euros, somam um total de 160.000 euros que finalmente foram estabelecidos em 96.000 após ter sido aplicada uma redução de 40% pelo reconhecimento de responsabilidade e pelo pagamento voluntário das multas”.
Em sua resolução, a AEPD aponta que os dados biométricos, sempre que tratados com a finalidade de identificar uma pessoa —como no caso de um controle de acesso—, entram na categoria de dados pessoais de categoria especial, conforme estipula o artigo 9 do RGPD, cujo tratamento é geralmente proibido. Assim, o artigo 9.1 do regulamento estabelece que esta proibição será efetiva quando são «dados biométricos destinados a identificar de maneira unívoca a uma pessoa física».
Seu tratamento, portanto, só é possível se ocorrer alguma das exceções previstas pelo próprio Regulamento no artigo 9.2. Entre elas, que tenha sido obtido um «consentimento explícito» do usuário. Consentimento que a própria cadeia de ginásios Supera reconheceu estar recolhendo de seus associados ao entender «erroneamente», segundo indica a AEPD em sua resolução, que os dados biométricos pertencentes a um padrão facial não eram dados pessoais.
Além disso, esse consentimento também não teria sido «livre» —outro dos requisitos que impõe o RGPD—, já que o controle de acesso por reconhecimento facial foi imposto a todos seus usuários sem que existisse uma alternativa para quem não quisesse usá-lo.
Três multas
Justamente esta infração do artigo 9 do RGPD é a que representou um maior montante das três sanções impostas: 80.000 euros por tratar de forma ilegítima os dados biométricos de seus clientes.
As outras duas sanções, de 50.000 e 30.000 euros, foram aplicadas por não ter realizado um relatório de avaliação de impacto na proteção de dados pessoais (EIPD) antes da implantação da medida —um documento cuja elaboração exige a norma para garantir seu cumprimento em tratamentos «de alto risco»—; e por não ter informado aos usuários que se ia começar a realizar um tratamento de seus dados biométricos de forma prévia a que começasse a utilizar este método de controle de acesso.
