Entre los meses de agosto y septiembre de 2023 se presentaron varias reclamaciones ante la Agencia Española de Protección de Datos (“AEPD”) contra un centro deportivo por la implantación de un nuevo sistema de reconocimiento facial como método obligatorio de acceso a sus instalaciones. Este sistema fue implementado sin previo aviso y sin haber recabado el consentimiento previo de los socios del centro.
Los reclamantes, al negarse a utilizar dicho sistema, fueron privados del acceso a las dependencias del centro deportivo.
Se abrió procedimiento sancionador contra el centro deportivo, concluyendo la AEPD que se había incurrido en las siguientes infracciones:
- No contar con habilitación para levantar la prohibición para tratar datos de categoría especial (art 9 RGPD): no se acreditó que concurriera ninguna de las excepciones previstas en el art 9.2. RGPD.
- Falta de transparencia (art 13 RGPD): la empresa no facilitó a los socios una comunicación individual que explicara las condiciones y riesgos del nuevo método de acceso. La colocación de un cartel informativo en cada centro deportivo no acredita que la reclamada cumpliera con el deber de informar debidamente.
- Incumplimiento de la obligación de realizar una evaluación de impacto (art 35 RGPD): el tratamiento de datos biométricos mediante reconocimiento facial implica un alto riesgo para los derechos y libertades de las personas, por lo que era necesario realizar una evaluación de impacto. Sin embargo, la entidad reclamada no realizó dicha evaluación ni un análisis de riesgos adecuado. En todo caso, según la AEPD, el tratamiento tal cual estaba diseñado no superaría el triple juicio de proporcionalidad: idoneidad, necesidad y proporcionalidad en sentido estricto.
Finalmente, la AEPD impone una multa por un total de 160.000 euros, que se ve reducida a 96.000 euros por reconocimiento de la responsabilidad y pago voluntario.
Adicionalmente, se ordena a la empresa que acredite, en el plazo de 7 meses, la adopción de las medidas correctivas necesarias en el caso de que el nuevo método de acceso implantado implique un tratamiento de datos biométricos.