Loro Parque, multado por una huella dactilar: lo que exige el RGPD

¿Qué ha pasado en Loro Parque?

La AEPD rechazó el recurso de la empresa que explota Loro Parque y Siam Park y confirmó la multa de 250.000 € por infracción muy grave, derivada de exigir el registro de huella dactilar como mecanismo de verificación de acceso.

La resolución trae causa de tres reclamaciones: las personas denunciantes compraron un paquete combinado (acceso a ambos parques y billete de barco) y se les obligó a facilitar su huella en un lector para comprobar que quien entraba en el segundo parque era la misma persona que accedió al primero. Además, no recibieron información previa suficiente sobre el tratamiento y a una de ellas se le denegó la entrada por negarse a ceder la huella.

El expediente constata, asimismo, que el sistema cruzaba referencias de compra (p. ej., código QR) con plantillas biométricas, permitiendo la identificación plena del cliente. La AEPD subraya que los datos biométricos son de alto riesgo para los derechos y libertades y que su uso está inicialmente prohibido, salvo que concurra una excepción del artículo 9 del RGPD, algo que no sucede en un contexto de ocio.

La compañía alegó que no almacenaba imágenes de huellas, sino una “representación matemática” (plantilla) y que, por tanto, no trataba datos personales. La AEPD desestima esa tesis: una plantilla biométrica que permite singularizar e identificar a la persona es dato personal y, además, dato biométrico de categoría especial. Se ordena cesar el tratamiento y se fija un plazo para el pago voluntario, sin perjuicio de la vía contencioso-administrativa.

Por qué los datos biométricos son especialmente delicados

Antes de entrar en medidas prácticas, conviene recordar qué protege la norma. El RGPD define los datos biométricos como aquellos obtenidos a partir de un tratamiento técnico específico relativo a características físicas o conductuales que permitan o confirmen la identificación única de una persona.

Cuando ese dato se usa para identificar de forma unívoca, se considera categoría especial y su tratamiento está prohibido salvo que concurra una excepción del artículo 9.1 y 9.2 del RGPD. Huella dactilar, reconocimiento facial, iris o geometría de la mano entran en este marco si la finalidad es identificar.

La propia AEPD recordó en 2023, al publicar su guía sobre control de presencia y acceso con biometría, que estos tratamientos suponen alto riesgo, exigen EIPD (Evaluación de Impacto) y solo se legitiman tras superar un riguroso análisis de idoneidad, necesidad y proporcionalidad, además de implementar medidas reforzadas.

Marco legal aplicable y bases jurídicas válidas

En entornos privados y comerciales la biometría solo puede plantearse si existe una base jurídica robusta. En términos generales:

• El consentimiento debe ser explícito, libre y alternativo (es decir, debe ofrecerse otro método de acceso igual de válido). Un “consentimiento” condicionado a disfrutar del servicio no es libre.
• La obligación legal (art. 9.2.b, g, h, etc.) o el interés público esencial deben estar previstos por ley y superar el test de proporcionalidad.
• La necesidad de la biometría ha de demostrarse frente a alternativas menos intrusivas (p. ej., entradas nominales, verificación documental, código alfanumérico, QR no biométrico), de lo contrario, el tratamiento deviene desproporcionado.

Esto mismo es lo que la AEPD reitera en su guía y lo que subyace a la sanción: en un parque temático el fin de evitar uso fraudulento del abono no justifica de entrada la huella si existen medios menos intrusivos.

Impacto en menores y colectivos vulnerables

Los recintos familiares suelen atraer a menores. Su presencia elevan el riesgo y obliga a extremar la proporcionalidad y la transparencia. Si el sistema no ofrece una vía alternativa igual de válida y sencilla para menores y acompañantes, el tratamiento incurre en discriminación práctica y puede agravar la sanción.

En el caso analizado, la agencia tuvo en cuenta la afluencia familiar y la falta de información al valorar la infracción.

Tendencia regulatoria: ocio, gimnasios y eventos bajo la lupa

La resolución a Loro Parque no es un caso aislado. La AEPD ha sancionado recientemente el uso obligatorio de reconocimiento facial o huella en instalaciones deportivas cuando no existe alternativa no biométrica de acceso.

Por ejemplo, la cadena de gimnasios Supera aceptó una multa de 96.000 € por exigir reconocimiento facial como único método de entrada; la agencia reiteró que el artículo 9 del RGPD restringe estos usos salvo consentimiento explícito u otra base válida.

También se han cuestionado sistemas biométricos de acceso a estadios, con sanciones y órdenes de suspensión cuando el tratamiento no supera el test de necesidad y proporcionalidad y existen alternativas. La derivada para el sector del ocio es clara: la biometría no puede convertirse en el nuevo torniquete por defecto.

¿Puede usarse huella dactilar si “solo” guardo una plantilla?

Aquí suele aflorar un malentendido frecuente: pensar que, si no se almacena la imagen de la huella sino una plantilla o vector, se evita el RGPD. No es así.

Si esa plantilla permite verificar que la persona que accede hoy es la misma a la que se captó la huella en la primera visita, estamos ante tratamiento de dato personal, y si la finalidad es identificar unívocamente, además es dato biométrico de categoría especial.

Esto es justamente lo que afirma la resolución: la plantilla singulariza al individuo y hace posible su identificación en el segundo acceso.

Alternativas legales al control de acceso biométrico

Antes de recoger huellas o rostros, conviene agotar opciones con mejor minimización y proporcionalidad. Podemos diseñar accesos eficaces usando tokens no sensibles:

• Entradas nominales con verificación documental solo en casos de sospecha.
• Códigos QR o alfanuméricos vinculados al localizador de compra, sin asociarlos a rasgos físicos.
• Fotografía del titular tomada en el primer acceso, almacenada de forma temporal y proporcional (no siempre será necesaria y debe evitarse si hay medios menos intrusivos).
• Pulseras inteligentes con UID rotatorio (evitan correlación estática).
• Comparación manual aleatoria en el segundo acceso (medida puntual y menos invasiva).

Estas opciones cumplen mejor el principio de minimización y reducen la superficie de riesgo sin renunciar al objetivo antifraude.

Hoja de ruta de cumplimiento para parques, gimnasios y promotores

Para aterrizar la proporcionalidad y la minimización en operaciones reales, proponemos una hoja de ruta práctica que convierte las obligaciones del RGPD/LOPDGDD y los criterios de la AEPD en decisiones operativas.

• Definir la finalidad con precisión: ¿evitar uso compartido de abonos? ¿control de aforo? ¿seguridad física? Restringir el alcance al objetivo concreto.
• Evaluación de impacto (EIPD): si hay biometría, presupón alto riesgo y documenta escenarios de amenaza, probabilidad y severidad, con medidas técnicas y organizativas reforzadas (p. ej., módulos HSM, separación de roles, pseudonimización, cifrado en reposo y tránsito, registro de accesos).
• Test de necesidad y proporcionalidad: compara por escrito la biometría con alternativas no biométricas y justifica por qué la propuesta supera el umbral de proporcionalidad (si no lo hace, descártala).
• Base jurídica: si optas por consentimiento, ha de ser explícito, reversible y, sobre todo, con alternativa equivalente sin biometría. En ocio, la excepción de interés público esencial rara vez aplica sin cobertura legal específica.
• Información en capas: señalética y textos claros “antes de la compra”, explicando quién trata, qué se capta, para qué, plazos, derechos, alternativas y contacto del DPO.
• Contratos con encargados: delimitar fines y medios, exigir medidas de seguridad equivalentes y auditorías periódicas.
• Privacidad por diseño: plantillas almacenadas localmente cuando sea posible, no centralizadas; borrado automático al vencer el título de acceso; rotación de identificadores; no reusar datos para fines secundarios.
• Gobernanza y evidencias: políticas, registros de tratamiento, procedimientos de ejercicio de derechos y plan de respuesta a brechas.

¿Cómo te ayudamos desde Maser Legal?

Como abogados especialistas en protección de datos en Zaragoza, acompañamos proyectos con biometría desde la idea hasta la puesta en producción:

• Evaluamos si la biometría es necesaria o existe una opción menos intrusiva.
• Elaboramos la EIPD y el test de proporcionalidad, con lenguaje técnico-jurídico para comités y proveedores.
• Redactamos políticas, cláusulas de información y contratos con encargados.
• Diseñamos métricas de riesgo y planes de retirada del sistema si no supera auditorías.
• Formamos a equipo legal, operaciones y IT para operar con garantías.

Caso Loro Parque: claves prácticas que puedes aplicar hoy

Si gestionas accesos con entradas combinadas o abonos, estas claves te permiten mantener el control antifraude sin tratar biometría y con una documentación que resista auditorías.

• Biometría por defecto, no: en ocio, deporte y eventos, si hay alternativas válidas, la biometría sobrará.
• Plantillas = datos personales: no importa que digas que no guardas “imágenes”; si verificas identidad, aplica RGPD.
• Consentimiento real: siempre con opción equivalente sin biometría, sin coste ni fricción añadida.
• Documenta todo: EIPD, proporcionalidad y seguridad reforzada antes de desplegar.
• Menores: redobla precauciones y ofrece el camino menos intrusivo por defecto.

Datos biométricos y RGPD: asesoramiento experto para tu caso

La confirmación de la multa a Loro Parque ilustra un mensaje nítido: no todo supuesto vale para biometría y, cuando se usa, debe hacerse con garantías reforzadas. Si gestionas un parque, gimnasio, estadio o evento y quieres evitar sanciones y reputación negativa, conviene revisar ya tus sistemas de acceso y control.

Podemos ayudarte a decidir si la biometría tiene encaje en tu caso, a rediseñar el proceso con alternativas no invasivas o a blindar legal y técnicamente lo imprescindible.