Sanción de 27.000 € a un gimnasio

Ahora bien, las “herramientas” tecnológicas, como toda herramienta, puede ser utilizada mayoritariamente para aportar beneficios, o mal utilizada, ya sea de forma intencionada   o no, para causar daños a la integridad física de las personas, y también daños a sus derechos fundamentales.

Entre esos derechos fundamentales se encuentran los del honor, la intimidad y la propia imagen, cuya protección en España, se cita expresamente en el artículo 18.1 de la Constitución española de 1978 y se desarrolla en la Ley Orgánica 1/1982. 

Protección que, en el marco del citado derecho al honor, la intimidad y la propia imagen, se proyecta hacia los datos personales y lo que se establece en el Reglamento General de Protección de Datos (en adelante RGPD) y en la ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Pues bien, es respecto al empleo de las nuevas tecnologías sin cumplir lo establecido en materia de protección de los datos personales, dónde un gimnasio ha cometido una infracción que la Agencia Española de Protección de Datos (en adelante AEPD) ha sancionado con una multa de 27.000 euros.

Los hechos fueron los siguientes:

La dirección de un gimnasio decidió cambiar el sistema de control de identidad que venía utilizando como procedimiento para el acceso a sus instalaciones, consistente hasta entonces en una pulsera y una tarjeta acreditativas, por un nuevo sistema que requería la huella dactilar de los socios.

Una asociada se negó a dar su huella dactilar al considerar que este sistema era excesivo y tras ello, el gimnasio la dio de baja, al parecer, sin ofrecerle otra alternativa.

La asociada dada de baja denunció lo ocurrido a la AEPD, y esta, tras solicitar las correspondientes alegaciones al gimnasio, y a la vista de los mismos, procedió a sancionarle por valor de 27.000 euros, considerando que el citado gimnasio había infringido el RGPD en los artículos siguientes: 

- El artículo 13: Falta de información sobre derechos, limitaciones del tratamiento, finalidad del registro de datos mismo, y otras. 

- El artículo 9.1 Prohibición del tratamiento de datos biométricos, salvo cuando se da el consentimiento expreso. 

- Art. 6 Tratamiento ilícito al carecer de consentimiento.

Este suceso es un caso claro de empleo de nuevas tecnologías aplicadas a la lectura de datos biométricos para el control de accesos, sin tener en cuenta lo que establece la legislación de aplicación en materia de protección de datos personales como parte del derecho al honor, la intimidad y la propia imagen.

Llegados a este punto, parece lógico preguntar ¿en qué puede afectar al honor, a la intimidad personal y a la propia imagen, los datos obtenidos mediante la lectura de la huella dactilar para un control de accesos?

Para dar una respuesta comenzaremos por decir que la huella dactilar es un dato biométrico, y que dichos datos para la AEPD son:

- Datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas y conductuales de una persona que permitan o confirmen la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos.

Este tipo de datos está incluido por parte del citado RGPD dentro de lo que denomina “categorías especiales de datos personales” y catalogados de “alto riesgo” por la naturaleza, alcance, contexto y fines, en particular si se utilizan nuevas tecnologías, para los derechos y libertades de las personas físicas. Derechos y libertades que pueden verse afectados en cuanto a la intimidad personal. 

La posibilidad de afectación a la intimidad personal es algo que nos da a conocer la propia AEPD, ya que en su “Guía sobre tratamientos de control de presencia mediante sistemas biométricos”, dice en su página 14 de 31 lo siguiente:

(…) algunos sistemas de identificación mediante huella dactilar permiten el registro de parámetros como la temperatura o la presión sanguínea.

Lo que constituyen datos de salud, que pueden ser obtenidos sin conocimiento ni consentimiento de las personas que facilitan su huella dactilar para su identificación o autenticación, con el propósito de acceder a un lugar o instalación, en nuestro caso, deportivo. 

¿Qué relevancia puede tener el conocimiento por parte de terceros de los mencionados datos de salud?

Evidentemente la que cada persona según sus circunstancias pueda considerar, pero sin hacer especulaciones que no proceden, pensemos en la información que puede proporcionar el análisis de la huella dactilar mediante aplicación de la inteligencia artificial (en adelante IA).

¿Cuál es el límite que hay que poner al empleo de las nuevas tecnologías como el tratamiento de datos biométricos, incluso mediante aplicación de IA en materia de gestión deportiva, como puede ser el control de accesos a un recinto o instalación deportiva?

Pues la preservación de los derechos de las personas. En este caso, el derecho al honor, a la intimidad personal y a la propia imagen.

¿Eso supone poner barreras al progreso que supone el empleo de las nuevas tecnologías?

¡No! Eso supone armonizar el progreso con los derechos de las personas. Dado que la tecnología dispone de “herramientas” que como la mayoría de ellas tiene un doble uso. Uno principal, que es la de tratar de mejorar la vida de las personas y otro derivado, que dependiendo de quien la emplee la herramienta de que se trate puede ser causa de daños. 

¡La solución! Muy simple, aplicar la normativa que garantiza los derechos de las personas en materia de datos, sin por ello renunciar al empleo de las nuevas tecnologías.

En este caso es el conocimiento y consentimiento expreso de los interesados para el tratamiento de sus datos biométricos para el control de acceso a un lugar, que tal y como dice el art. 4.11 del RGPD establece lo siguiente:

El consentimiento del interesado es “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”

Además del citado consentimiento preceptico, en las Directrices 3/2019. Versión 2.0 Adoptado el 29 de enero de 2020, por el Comité Europeo de Protección de Datos, en el apartado 5.1 “Consideraciones generales con respecto al tratamiento de datos biométricos”, se manifiesta la importancia de realizar una evaluación del riesgo, un análisis de la necesidad y de la proporcionalidad y de la aplicación de la minimización de datos. Estas condiciones, que son directamente aplicables para las operaciones biométricas mediante reconocimiento facial en tratamientos de control de presencia, se pueden extender al empleo de otros sistemas biométricos para implementar dicho tratamiento:

Asimismo, se dice que el uso de datos biométricos (…) conlleva elevados riesgos para los derechos de los interesados. Es fundamental que el recurso a dichas tecnologías tenga lugar respetando debidamente los principios de licitud, necesidad, proporcionalidad y minimización de datos tal y como establece el RGPD. Aunque la utilización de estas tecnologías se pueda percibir como particularmente eficaz, los responsables del tratamiento deben en primer lugar evaluar el impacto en los derechos y libertades fundamentales y considerar medios menos intrusivos de lograr su fin legítimo del tratamiento. 

Por otra parte, en cuanto a los sistemas biométricos que sean implementados con técnicas de inteligencia artificial, habrá que tener en consideración la clasificación de dichos sistemas como de alto riesgo según el Anexo III de la propuesta de Regulación de Inteligencia Artificial y del cumplimiento de los requisitos que dichos sistemas tendrán que cumplir para poder ser integrados en un tratamiento de registro de presencia.

(NOTA: Recordamos que con fecha 13 de marzo de este año 2024, se ha aprobado en el pleno del Parlamento Europeo el Reglamento de Inteligencia Artificial).

Un cauce de regulación se ha establecido para el empleo de la IA  en el contexto general de armonización entre la aplicación de las nuevas tecnologías y los derechos de las personas que puedan verse afectadas por dicha aplicación.

Estaremos atentos a ello en lo que respecta a la gestión de espacios y recintos deportivos y lo trataremos en futuros artículos.