Una plantilla biométrica, incluso si es irrecuperable la imagen original, es por sí misma un dato personal y un identificador único cuando su finalidad es la identificación individual, según confirma la Agencia Española de Protección de Datos (AEPD), en una resolución de 24 de mayo de 2024, que se acaba de hacer pública y que impone una multa de 250.000 euros y ordena la prohibición del tratamiento de datos biométricos para el acceso a los parques Loro Parque y Siam Park.
La sanción contrasta con la impuesta a Eulen en 2010, de 6.000 euros, o la de 1.500 euros que impuso a Fitness Murcia Promotions en 2019 por un tratamiento de datos biométricos de la huella digital a sus trabajadores o clientes, respectivamente. En ambos casos, la Audiencia Nacional consideró que las sanciones eran proporcionadas por el escaso número de afectados.
Sin embargo, la Audiencia Nacional en esta segunda sentencia, confirmaba que el sistema era idóneo para el objetivo de identificación y seguridad de acceso al gimnasio, validaba que la medida era necesaria para evitar el intrusismo y el fraude (mediante el uso de tarjetas transferibles por terceros), lo que redunda en una mejora de la calidad y seguridad del servicio tanto para la empresa como para los clientes. Y consideraba una serie de circunstancias que llevaban a valorar la medida proporcionada, a pesar de la objeción de la AEPD sobre alternativas menos intrusivas. Habrá que estar al próximo fallo de la Audiencia Nacional.
En el caso actual, la AEPD concluye que Loro Parque trató datos biométricos sin el consentimiento explícito y sin demostrar la necesidad y proporcionalidad de dicho tratamiento, considerando que la "representación matemática" de la huella dactilar es un dato personal biométrico y un identificador único, a pesar de las alegaciones de la reclamada de que no almacenaba huellas completas ni podía identificar a los usuarios.
La AEPD basa su decisión en el cumplimiento del artículo 4.14 del Reglamento General de Protección de Datos (RGPD), que define el dato biométrico como aquél que "permite o confirma la identificación única" de una persona física por medio de un "tratamiento técnico específico", sin requerir que el proceso sea reversible.
Categorías especiales
Considera que se ha incumplido el artículo 9 del RGPD, que regula el tratamiento de categorías especiales de datos personales, entre los cuales figuran los datos biométricos. Así, concluye que esta empresa procesó datos biométricos -concretamente, representaciones matemáticas de huellas dactilares- sin contar con el consentimiento explícito de los usuarios ni acreditar la necesidad y proporcionalidad del tratamiento.
La empresa defendía que su sistema solo almacenaba una "representación matemática" de la huella, asegurando la imposibilidad de reconstruir la imagen original, por lo que no era un dato personal biométrico conforme al RGPD.
La resolución expone que la identificabilidad no requiere que la persona haya sido identificada directamente, sino que exista la posibilidad de hacerlo mediante "todos los medios razonablemente utilizables" por el responsable del tratamiento o por terceros.
Así, la combinación de datos de compra (como nombre y correo electrónico), el código QR vinculado a la entrada, localizador, fecha y hora de la visita, junto con la huella tomada para generar la plantilla biométrica, permite vincular a la persona adquirente con el uso del sistema biométrico, y por tanto identificarle.
Relacionados
- El contrato laboral de un socio de una comunidad de bienes es válido a efectos tributarios
- La nulidad de la cláusula de vencimiento anticipado no impide resolver el contrato de préstamo hipotecario
- El plazo de prescripción en la jurisdicción Social sigue vivo hasta que haya una resolución judicial
- La deuda del fiador abarca la totalidad del crédito principal en el concurso