La justicia avala el fichaje mediante huella dactilar en establecimientos privados
La Audiencia Nacional rechaza que se trate de una medida excesiva y anula una multa impuesta a un gimnasio por este motivo
El uso de sistemas biométricos para controlar el acceso a edificios, espacios y empresas está viviendo un verdadero auge, tanto en el ámbito privado como en el público. Los lectores de huella dactilar se están popularizando por ser uno de los métodos más seguros y fiables con los que se cuentan actualmente para comprobar la identidad de las personas que acceden a un recinto o utilizan un servicio determinado. Sin embargo, según reconoce el actual Reglamento Europeo de Protección de Datos (RGPD), se trata de un dato personal especialmente sensible, por lo que su tratamiento debe ser examinado con lupa. La cuestión es, ¿cuándo se trata de una medida desproporcionada?
La Audiencia Nacional ha dictado una reciente resolución (cuyo texto íntegro puede consultar aquí) en la que señala algunos criterios a seguir. En ella se anula la multa impuesta por la Agencia Española de Protección de Datos (AEPD) a una empresa murciana de fitness por haber impuesto a sus socios el fichaje dactilar como único modo de acceso a sus instalaciones. La Agencia consideró que se trataba de una infracción grave de la Ley Orgánica de Protección de Datos (LOPD) y sancionó al gimnasio con 1.500 euros. Sin embargo, el tribunal rechaza sus argumentos y considera que no se trata de una medida excesiva. De esta manera, la Audiencia avala el uso de este tipo de control biométrico, siempre que cumpla con las garantías de seguridad, en establecimientos privados para restringir el acceso a sus clientes.
Único modo de acceso
La denuncia fue presentada, precisamente, por uno de los usuarios de las instalaciones deportivas. El socio consideró que la medida era desproporcionada e intrusiva. Según indicó, la empresa decidió sustituir unilateralmente el anterior sistema de fichaje, mediante pulsera, por un control de huella dactilar como único modo de acceder.
El expediente abierto en la AEPD concluyó en la citada sanción, con la que se castigó a la empresa por haberse excedido en el tratamiento de los datos de sus socios. Según señalaba la resolución, la recogida y tratamiento de las huellas dactilares de los usuarios para controlar su acceso a las instalaciones no era proporcionada y, por tanto, vulneraba el artículo 4.1 de la LOPD vigente en ese momento. En concreto, se subrayaba, existían soluciones menos invasivas con las que se podía evitar el almacenamiento de los datos de los clientes en su base de datos (ya fueran biométricos o su algoritmo), como incorporarlos a una tarjeta inteligente que custodiara el titular.
La empresa impugnó dicha resolución, alegando en primer lugar que, al tratarse de almacenamiento de representaciones de la huella dactilar o algoritmo y no de la huella en sí misma, no se estaba realizando un tratamiento de datos personales. Meras “minucias” que “no permiten por sí mismas la identificación de la persona”. Por otro lado, aseguraba que la medida implementada era respetuosa con la ley de protección de datos, que se informaba y pedía consentimiento a los futuros socios, y que no se trataba de una actividad desproporcionada en relación con el ámbito y fines para los que se había implementado.
Datos sensibles
El tribunal rechaza el primer motivo y confirma que, según la normativa aplicable, tanto la huella dactilar como la representación algorítmica de la misma son datos personales en tanto en cuanto sirvan para identificar a una persona. Es más, la Audiencia recuerda que, aunque no es aplicable (dadas las fechas en que se denunciaron los hechos), conforme al actual reglamento europeo se categorizan como datos sensibles, y, por tanto, provistos de una especial protección frente a su uso y tratamiento.
En este sentido, la resolución considera demostrado que el sistema funciona de tal manera que cuando se toma la huella dactilar al socio del gimnasio no se guarda esta, sino un código único que se genera a partir de una plantilla numérica o patrón. Además, la empresa también acredita que informaba convenientemente a los usuarios que acudían para utilizar los servicios del centro. Por último, se señala, su implementación obedecía a razones de seguridad de uso de la instalación, debido a la facilidad de fraude que existía con otros métodos como tarjetas u otros dispositivos que pudieran ser intercambiados con otros usuarios. Al evitar el intrusismo, también se aseguraba un mejor servicio a los socios.
Proporcionalidad
Sí está de acuerdo, en cambio, la Audiencia con el argumento de que no se trata de una actuación desproporcionada ni excesiva. Analizando las circunstancias, el ámbito en el que se implementa (un establecimiento privado) este fichaje (consentido por contrato) y la finalidad del mismo (entrada y salida de socios), concluye que la empresa actuó de forma legítima. Los datos cumplían, afirman los magistrados, con el principio de calidad según el cual deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que se recaban y tratan (actual artículo 5. 1. c) del RGPD)
Para llegar a esta conclusión, el tribunal acude a la doctrina del Tribunal Constitucional, que exige un triple juicio para considerar que una medida en concreto es proporcional ante una posible injerencia o vulneración de derechos fundamentales. Así, la Audiencia afirma que el sistema era idóneo y necesario, porque no obedecía a razones de simple comodidad, sino que era la única manera de evitar fraudes e intrusismo, y la seguridad de clientes e instalaciones.
Además, teniendo en cuenta las garantías adoptadas por la empresa (almacenando los algoritmos matemáticos y no las huellas), se trata de una medida proporcional, que trata de minimizar la injerencia en la privacidad de los titulares. Por otro lado, añaden los magistrados, el sistema se utiliza únicamente para el acceso al gimnasio, sin posibilidad de usar estos datos para fines distintos. Por último, también se tiene en cuenta que se trata de una microempresa, por lo que no hay riesgo de que el volumen de los datos afectados sea masivo.
Por todos estos motivos, y sin tenerse en cuenta la sugerencia de la AEPD sobre la posibilidad de almacenar los datos en una tarjeta inteligente custodiada por los titulares (ya que se trata de un plus no exigible en este ámbito), se anula la multa de 1.500 euros impuesta por la AEPD.