Hombre utilizando sistema de reconocimiento facial mediante dispositivo móvil, con representación digital de puntos biométricos y cifras numéricas en segundo plano

¿Es legal el reconocimiento facial en gimnasios?

Protección de datos / Por

La tecnología de reconocimiento facial ha ganado terreno en múltiples sectores, desde la seguridad hasta el marketing, pasando por el control de accesos en instalaciones privadas.

Sin embargo, su implementación debe realizarse con especial precaución cuando implica el tratamiento de datos biométricos, catalogados por la normativa europea como de categoría especial. La reciente sanción impuesta por la Agencia Española de Protección de Datos (AEPD) al grupo Sidecu, gestor de la cadena de gimnasios Supera, es un ejemplo paradigmático de los errores que pueden cometerse y de las severas consecuencias legales que ello implica.

Este caso no solo resalta la necesidad de cumplir con el Reglamento General de Protección de Datos (RGPD), sino también la urgencia de concienciar a las empresas sobre la importancia de adoptar medidas proporcionales, informadas y respetuosas con la privacidad de los usuarios.

El caso Supera: una sanción ejemplar

En verano de 2023, el grupo Sidecu implementó un sistema de acceso basado en reconocimiento facial en varios centros deportivos de la cadena Supera, reemplazando un mecanismo previo que utilizaba la huella dactilar. Esta nueva tecnología se impuso de forma obligatoria, sin ofrecer alternativas a los usuarios.

La medida fue recibida con descontento por parte de varios socios, quienes consideraban que se trataba de un sistema invasivo que atentaba contra su intimidad. Nueve reclamaciones individuales, así como denuncias por parte de la asociación de consumidores FACUA y un particular, llevaron a la AEPD a investigar los hechos. El resultado fue una sanción inicial de 160.000 euros, posteriormente reducida a 96.000 euros por reconocimiento de responsabilidad y pago voluntario.

Qué dice el RGPD sobre los datos biométricos

Los datos biométricos están definidos en el artículo 4 del RGPD como aquellos datos personales obtenidos a partir de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física, que permitan o confirmen la identificación única de dicha persona.

Este tipo de datos son considerados de categoría especial en el artículo 9 del RGPD y, por tanto, su tratamiento está prohibido de forma general, salvo en circunstancias muy concretas, como:

  • Consentimiento explícito del interesado.
  • Obligaciones laborales o de seguridad social.
  • Interés público esencial.
  • Evaluaciones médicas.
  • Protección vital del interesado o de otra persona.

En el caso Supera, la AEPD concluyó que ninguna de estas excepciones era aplicable, ya que no se ofreció una alternativa real al sistema de reconocimiento facial y, por tanto, el consentimiento no puede considerarse libre ni informado.

Fundamentos legales que invalidan el uso del reconocimiento facial obligatorio

La falacia del «patrón numérico»

Uno de los argumentos esgrimidos por la empresa fue que no almacenaban imágenes faciales, sino un patrón numérico generado a partir del rostro del usuario. Según su interpretación, esto eximiría a la tecnología del marco del RGPD.

La AEPD desmontó esta tesis señalando que ese patrón numérico es precisamente el dato biométrico de carácter personal. Al poder ser utilizado para identificar a una persona, el patrón numérico no deja de ser un dato personal y, al provenir de una característica física, entra dentro de los datos de categoría especial.

Además, según el Considerando 51 del RGPD, la tecnología utilizada para el tratamiento de datos biométricos no excluye su carácter sensible por el hecho de que se apliquen procesos de codificación, encriptación o anonimización reversible.

Evaluación de impacto obligatoria y principio de responsabilidad proactiva

Uno de los errores más graves cometidos por el grupo Sidecu fue no realizar una evaluación de impacto en protección de datos (EIPD) antes de implantar el sistema. La EIPD es obligatoria en tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de las personas físicas, como en el caso del uso de datos biométricos.

Este documento debe identificar:

  • La naturaleza del tratamiento.
  • Sus finalidades.
  • El análisis de necesidad y proporcionalidad.
  • Los riesgos para los derechos de los interesados.
  • Las medidas técnicas y organizativas adoptadas.

La no realización de esta evaluación implica una infracción del principio de responsabilidad proactiva, clave en el RGPD y en la LOPDGDD.

El consentimiento como pilar del tratamiento

Otro punto clave en esta resolución es la invalidez del consentimiento obtenido. La AEPD recalca que para que el consentimiento pueda considerarse libre, debe existir una alternativa equivalente que no suponga consecuencias negativas para quien decide no aceptar el tratamiento. En este caso, no existía tal alternativa, lo que vicia el consentimiento y convierte el tratamiento en ilícito.

Esto se agrava si consideramos que muchas personas no tienen una verdadera capacidad de elección en situaciones como esta, ya que, si no aceptan el reconocimiento facial, no pueden acceder a los servicios contratados.

El triple juicio de proporcionalidad

La AEPD aplicó el conocido «triple juicio de proporcionalidad» para analizar si el tratamiento podía justificarse. Este juicio se basa en tres criterios:

  1. Idoneidad: ¿El tratamiento es útil para el fin que se persigue?
  2. Necesidad: ¿Existen medios menos intrusivos para lograr ese fin?
  3. Proporcionalidad en sentido estricto: ¿El beneficio obtenido compensa el perjuicio causado a los derechos del interesado?

La Agencia concluyó que el sistema de reconocimiento facial no superaba este test, ya que:

  • Ya existían sistemas menos intrusivos previamente implantados.
  • La medida no era necesaria ni proporcionada.
  • No se había evaluado su impacto debidamente.

Recomendaciones para empresas del sector deportivo y de servicios

A la vista de este caso, es fundamental que las empresas que gestionan accesos a instalaciones o prestan servicios recurrentes tomen nota de las siguientes recomendaciones:

  • Evitar imponer tratamientos biométricos obligatorios, especialmente cuando existan alternativas menos intrusivas.
  • Realizar una evaluación de impacto (EIPD) de forma previa, documentando adecuadamente los riesgos y las medidas de mitigación.
  • Ofrecer opciones reales y sin consecuencias para que el consentimiento sea libre y válido.
  • Capacitar al personal en materia de protección de datos, privacidad y seguridad digital.
  • Establecer canales éticos, protocolos de actuación y mecanismos internos para gestionar incidencias, reclamaciones y denuncias de usuarios.

Desde Maser Legal ofrecemos asesoría especializada en cumplimiento del RGPD y adaptación de tecnologías al marco legal vigente. Nuestro equipo jurídico puede ayudarte a evaluar si tu empresa está preparada para cumplir con los requisitos legales.

CONTACTAR CON MASERLEGAL

¿Qué ocurre si ya estás usando reconocimiento facial en tu empresa?

Si tu empresa ya utiliza sistemas de reconocimiento facial, es imprescindible revisar de forma integral tanto la base jurídica del tratamiento como su adecuación técnica y organizativa. El RGPD y la LOPDGDD no prohíben esta tecnología, pero establecen condiciones estrictas para su uso. No basta con contar con un sistema que funcione técnicamente; debe estar también amparado legalmente, respaldado por documentación adecuada y ser proporcional al objetivo perseguido.

Un tratamiento basado en datos biométricos requiere:

  • Una base jurídica sólida, generalmente el consentimiento explícito, que solo es válido si es realmente libre, informado y revocable. Si el acceso a un servicio depende exclusivamente de aceptar esta tecnología, el consentimiento deja de ser válido.
  • Una evaluación de impacto en protección de datos (EIPD) realizada con anterioridad a la implantación del sistema. Su ausencia implica una infracción directa del principio de responsabilidad proactiva.
  • Una información clara y transparente a los usuarios sobre la finalidad del tratamiento, su duración, las medidas de seguridad aplicadas y los derechos que pueden ejercer.
  • La implantación de medidas de seguridad técnicas y organizativas, como cifrado, control de accesos, limitación de almacenamiento, registros de actividad y auditorías periódicas.

No adoptar estas precauciones puede exponerte a graves consecuencias legales, económicas y reputacionales. Las sanciones administrativas pueden alcanzar importes significativos, especialmente si se trata de datos de categoría especial. Además, los usuarios afectados podrían iniciar reclamaciones civiles por vulneración de derechos fundamentales, lo que derivaría en indemnizaciones y litigios. A ello se suma el daño reputacional que puede suponer el uso indebido de tecnologías intrusivas, afectando a la confianza de clientes, empleados y socios estratégicos.

Si ya estás usando este tipo de tecnología, en Maser Legal te ayudamos a revisar y auditar tu sistema de forma integral para garantizar su plena adecuación a la legalidad vigente. El cumplimiento no solo evita sanciones, sino que refuerza la confianza de tus usuarios y protege el futuro de tu empresa.

 

Entonces, ¿Es legal usar reconocimiento facial para fichar en el trabajo?

El reconocimiento facial como método para controlar el horario laboral es una práctica que, aunque cada vez más extendida, entraña importantes riesgos legales si no se aplica conforme a la normativa vigente.

Un ejemplo reciente es el de una empresa en Alicante que fue sancionada con 220.000 euros por utilizar esta tecnología con sus empleados sin las garantías necesarias. En este caso, la AEPD subrayó un punto crucial: el consentimiento en el entorno laboral no puede considerarse libre, ya que existe una relación de poder entre la empresa y la persona trabajadora. Si el empleado no puede negarse sin consecuencias, ese consentimiento no es válido.

Para que el uso del reconocimiento facial sea legal en el ámbito laboral, es necesario demostrar que el sistema es realmente necesario y proporcionado, que no hay medios menos intrusivos que cumplan la misma función, y que se ha realizado una evaluación de impacto en protección de datos. Además, los datos deben tratarse con medidas de seguridad reforzadas, dada su especial sensibilidad.

En definitiva, este tipo de tecnología solo puede aplicarse si se respetan escrupulosamente los principios de proporcionalidad y minimización. En la práctica, muy pocas empresas cumplen todos estos requisitos, lo que convierte su uso en un riesgo considerable.

Call Now Button