LA JUSTICIA AVALA EL FICHAJE MEDIANTE HUELLA DACTILAR EN ESTABLECIMIENTOS PRIVADOS


El uso de sistemas biométricos para controlar el acceso a edificios, espacios y empresas está viviendo un verdadero auge, tanto en el ámbito privado como en el público. Los lectores de huella dactilar se están popularizando por ser uno de los métodos más seguros y fiables con los que se cuentan actualmente para comprobar la identidad de las personas que acceden a un recinto o utilizan un servicio determinado. Sin embargo, según reconoce el actual Reglamento Europeo de Protección de Datos (RGPD), se trata de un dato personal especialmente sensible, por lo que su tratamiento debe ser examinado con lupa. La cuestión es, ¿cuándo se trata de una medida desproporcionada? La Audiencia Nacional ha dictado una reciente resolución (cuyo texto íntegro puede consultar aquí) en la que señala algunos criterios a seguir. En ella se anula la multa impuesta por la Agencia Española de Protección de Datos (AEPD) a una empresa murciana de fitness por haber impuesto a sus socios el fichaje dactilar como único modo de acceso a sus instalaciones. La Agencia consideró que se trataba de una infracción grave de la Ley Orgánica de Protección de Datos (LOPD) y sancionó al gimnasio con 1.500 euros. Sin embargo, el tribunal rechaza sus argumentos y considera que no se trata de una medida excesiva. De esta manera, la Audiencia avala el uso de este tipo de control biométrico, siempre que cumpla con las garantías de seguridad, en establecimientos privados para restringir el acceso a sus clientes. Único modo de acceso La denuncia fue presentada, precisamente, por uno de los usuarios de las instalaciones deportivas. El socio consideró que la medida era desproporcionada e intrusiva. Según indicó, la empresa decidió sustituir unilateralmente el anterior sistema de fichaje, mediante pulsera, por un control de huella dactilar como único modo de acceder. El expediente abierto en la AEPD concluyó en la citada sanción, con la que se castigó a la empresa por haberse excedido en el tratamiento de los datos de sus socios. Según señalaba la resolución, la recogida y tratamiento de las huellas dactilares de los usuarios para controlar su acceso a las instalaciones no era proporcionada y, por tanto, vulneraba el artículo 4.1 de la LOPD vigente en ese momento. En concreto, se subrayaba, existían soluciones menos invasivas con las que se podía evitar el almacenamiento de los datos de los clientes en su base de datos (ya fueran biométricos o su algoritmo), como incorporarlos a una tarjeta inteligente que custodiara el titular. La empresa impugnó dicha resolución, alegando en primer lugar que, al tratarse de almacenamiento de representaciones de la huella dactilar o algoritmo y no de la huella en sí misma, no se estaba realizando un tratamiento de datos personales. Meras “minucias” que “no permiten por sí mismas la identificación de la persona”. Por otro lado, aseguraba que la medida implementada era respetuosa con la ley de protección de datos, que se informaba y pedía consentimiento a los futuros socios, y que no se trataba de una actividad desproporcionada en relación con el ámbito y fines para los que se había implementado.