Sanción a un gimnasio por imponer a sus clientes un sistema de control de acceso por huella dactilar
08 Octubre, 2018

La Agencia Española de Protección de Datos (AEPD) impone una sanción de 1.500 euros a un gimnasio por vulnerar el artículo 4.1 de la Ley de Protección de Datos de Carácter Personal (LOPD), tras la denuncia presentada por uno de sus clientes.

Mediante la publicación de la resolución de la AEPD, en cuanto a la demanda interpuesta por un usuario a un gimnasio, debido a la utilización del sistema de control de acceso de los propios al clientes al establecimiento mediante la huella dactilar.

 

Más concretamente, el denunciante indicó que el uso de este sistema de control de acceso “es un medio desproporcionado en la recogida de datos y que no se le entregó el documento para el consentimiento a la aportación de sus datos biométricos”.

 

Según la empresa denunciada, “la finalidad del sistema en el gimnasio es la de obtener una plantilla numérica basada en algoritmos que sirva como medio personal e intransferible para acceder a las instalaciones del gimnasio a través de la comparación de patrones elaborados por el sistema partiendo de la huella digital”. Además, aseguran que no se guarda la huella dactilar de los clientes, si no que se usa para generar una plantilla de cada cliente:

 

“Mediante complejos algoritmos matemáticos se genera una plantilla numérica utilizando la información de algunos puntos de la huella. En ningún caso se puede recuperar la huella a partir de la información de estas plantillas almacenadas. Además, tampoco se puede deducir a partir de la plantilla características físicas de la huella”

 

“Toda vez que la captación de esta huella no requiere captar la huella digital del individuo, sino que únicamente se trata de un patrón o plantilla, que pese a ser intransferible, no puede ser utilizado para ningún otro uso”

 

No obstante, la Directora de la Agencia Española de Protección de Datos acordó iniciar el procedimiento sancionador por la presunta infracción del artículo 4.1 de la LOPD. Recordemos que la LOPD sigue siendo vigente en todos aquellos puntos en los que no se contradiga con el RGPD. (Reglamento general de Protección de Datos, normativa europea que entró en vigor el 25 de mayo de 2018).

 

El artículo 4 LOPD establece la calidad de los datos, concretamenteLos datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”

 

Cabe recordar, que el 25 de mayo de 2018 entró en vigor el reglamento General de Protección de Datos (RGDP), normativa de aplicación obligatoria.

 

Este reglamento endurece el control sobre los datos personales y otorga a cada individuo el derecho a que sean utilizados o no por cualquier entidad, pública o privada, así como la manera en la que se accede a ellos y retirar el acceso.

 

Este nuevo reglamento incrementa las sanciones por incumplimiento.

 

Todas las entidades públicas y privadas que utilicen cualquier dato personal en el desarrollo de sus actividades profesionales están obligadas a cumplir con el reglamento:

  • Sociedades mercantiles
  • Autónomos
  • Organismos públicos
  • Asociaciones
  • Comunidades de bienes
  • Comunidades de propietarios
  • Entidades sin ánimo de lucro

 

Cabe recordar que la normativa se refiere a cualquier tipo de dato que identifique o permita la identificación de una persona, y esté en conocimiento o tratamiento de terceros. No se aplica a los tratamientos de datos referidos a:

  • Perdonas jurídicas
  • Datos de las personas físicas que presten sus servicios profesionales
  • Empresarios individuales
  • Personas fallecidas

 

Medidas de adecuación al nuevo reglamento

 

Todas las entidades públicas y privadas que estén sujetas al reglamento, traten datos personales en mayor o menos medida, deben realizar una serie de pasos para la aplicación y cumplimiento con el nuevo reglamento.

 

  1. Nombrar a responsable del tratamiento o a un Delegado de Protección de Datos (en los casos que el tratamiento de datos sea objeto fundamental del negocio)
  2. Evaluar el riesgo de los datos con los que trata la empresa
  3. Realizar un Registro de Actividades de Tratamiento (RAT)
  4. Incluir aviso legal en las diferentes comunicaciones (página web, redes sociales, etc.)
  5. Establecer un procedimiento para la mitigación de riesgos
  6. Solicitar consentimiento afirmativo sobre quién se traten datos personales

 

Adicionalmente a la adecuación al nuevo reglamento, en determinados casos se deberá realizar una auditoría sobre los sistemas de tratamientos de datos.

 

En DAEM, contamos con el apoyo legal necesario para ofrecer un servicio integral de adecuación y cumplimiento al nuevo reglamento para nuestros clientes. Nos encargamos de gestionar todo el proceso para que el negocio cumpla con la legislación vigente en materia de protección de datos enviando la documentación legal necesaria junto con el certificado de cumplimiento y el formulario de consentimiento adaptado al negocio y a la nueva regulación. Además nos encargamos de tramitar el alta en la ADPD.

 

Ponte en contacto con nosotros si necesitas más información: enviando un email a administracion@daem.es o llamando al +34 93 280 21 66.

 

Aviso legal: Este artículo ha sido preparado en base a cierta información pública y refleja una serie de observaciones de carácter general. DAEM no acepta ningún tipo de responsabilidad frente a terceros como consecuencia de las decisiones o acciones que pueden ser adoptadas basándose en el contenido de este artículo.

Sanción a un gimnasio por imponer a sus clientes un sistema de control de acceso por huella dactilar

En este sitio se utilizan cookies propias y de terceros para mejorar su experiencia como usuario en la misma web. Política de datos. Al continuar navegando por el Sitio Web estás entendiendo y aceptando su uso.