El pasado mes de julio de 2018, saltaba a la palestra una resolución de la Agencia Española de Protección de Datos (AEPD) que sancionaba a un gimnasio de Murcia por la utilización de la huella dactilar como método de entrada y salida de los usuarios del mismo.
Los hechos probados del expediente administrativo relatan que el denunciante, hasta febrero de 2017, accedía a las instalaciones a través del uso de una pulsera que era facilitada por el propio centro. Posterior a esa fecha, se eliminó este método de autenticación por el uso de la huella dactilar de los usuarios. Con dicho método de identificación y control, se toma la huella dactilar al socio del gimnasio, pero sin que esta sea almacenada íntegramente, sino que se genera una plantilla numérica o patrón utilizando algunos puntos de la huella generados a partir de algoritmos matemáticos, creando así un código único para cada huella. Además, el propio gimnasio informa a sus clientes a través del contrato de prestación de servicios sobre la necesaria toma de la huella dactilar y el fin de dicho recabado.
No obstante, en aquella resolución, la Agencia entendía que el tratamiento de datos de reconocimiento de huella dactilar para controlar el acceso de los clientes sin ofrecer un método alternativo, utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y finalidades determinadas, con vulneración del artículo 4.1 LOPD. Por ello, se le impuso una sanción económica de 1.500€.
Pues bien, la Audiencia Nacional, en su SAN 3675/2019 de 19 de septiembre de 2019 ha estimado el recurso contencioso-administrativo interpuesto por la mercantil, y ha procedido a anular la sanción impuesta en vía administrativa. El primero de los motivos, la no consideración de dato personal el algoritmo generado tras la conversión de la huella del usuario en un código alfanumérico único, es desestimado por la Audiencia al señalar que la normativa de aplicación pre-RGPD (la Directiva 95/46 y la extinta LOPD) identifican de forma holgada a la huella dactilar como un dato personal de tipo biométrico, y es indiferente que la muestra de la huella sea de forma completa o mediante “minucias”, puesto que la conversión del rastro biométrico en una secuencia alfanumérica hace que siga siendo identificable el usuario. Además, añade el Tribunal que el sistema se inicia cada vez que el socio acude al gimnasio, poniendo el dedo en el lector digital lo que da lugar a la confrontación de datos con el algoritmo almacenado […] Por tanto, a partir de un dato único de cada socio que se transforma en algoritmo y que se verifica en cada entrada se están tratando datos del socio que accede al gimnasio y se permite su identificación.
En cambio, la Audiencia si acoge el motivo de la parte demandante que motivaba que el tratamiento de la huella dactilar como método de control de los accesos al gimnasio no supone una vulneración del artículo 4.1 de la extinta LOPD que reza que los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.
Con todo lo anterior, la Audiencia entiende por un lado que la recogida y uso de la huella es para la prestación de un servicio, cual es el de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad […] por lo que se cumple el juicio de idoneidad. Por otro lado, la medida es necesaria ya que el uso de la huella supone una mejora de la calidad en lo que al acceso al gimnasio se refiere al evitarse el fraude que si pudiera suceder con el intercambio de pulseras o tarjetas identificativas entre usuario. Por último, el Tribunal entiende que las medidas de seguridad aplicadas durante la vida del dato son proporcionales al uso y finalidades destinadas por el responsable del tratamiento, puesto que ha garantizado la confidencialidad por el mecanismo de conversión de la huella a su algoritmo, almacenándose este y no la huella en la base de datos, tratando de minimizar así la injerencia en el derecho a la protección de datos de los usuarios del gimnasio. Además, la consideración de microempresa de la sociedad recurrente hace que el volumen de los datos recogidos y almacenados no pueda considerarse como “masivo”.
Por último, la sentencia da entender que establecer un método alternativo de control del dato biométrico, como puede ser la creación de tarjetas inteligentes que hicieran que el usuario tuviera bajo su custodia la información biométrica contenida en ellas, no puede aplicarse a todos los supuestos, sino que tendríamos que estar al caso concreto para ver las distintas circunstancias que singularizan el supuesto.
Puede consultar el contenido de la Sentencia aqui.