El uso de sistemas biométricos para controlar el acceso a edificios, espacios y empresas está viviendo un verdadero auge, tanto en el ámbito privado como en el público. Los lectores de huella dactilar se están popularizando por ser uno de los métodos más seguros y fiables con los que se cuenta actualmente para comprobar la identidad de las personas que acceden a un recinto o utilizan un servicio determinado. Sin embargo, según reconoce el actual Reglamento Europeo de Protección de Datos (RGPD), se trata de un dato personal especialmente sensible, por lo que su tratamiento debe ser examinado con lupa. La cuestión es, ¿cuándo se trata de una medida desproporcionada?
En fecha 19 de septiembre 2019 la Audiencia Nacional dictó una sentencia en la que señalaba algunos criterios a seguir. Así, mientras la Agencia Española de Protección de Datos (AEPD) consideró que se trataba de una infracción grave de la Ley Orgánica de Protección de Datos (LOPD) y sancionó al gimnasio con 1.500 euros, por el contrario, la Audiencia Nacional rechaza sus argumentos y considera que no se trata de una medida excesiva siempre que cumpla con las garantías de seguridad en establecimientos privados para restringir el acceso a sus clientes.
En este sentido, la Audiencia Nacional considera acreditado que el sistema funciona de tal manera que cuando se toma la huella dactilar al socio del gimnasio, ésta no se guarda, sino que tan solo registra un código único que se genera a partir de una plantilla numérica o patrón. Además, la empresa también acreditó que informaba convenientemente a los usuarios que acudían para utilizar los servicios del centro, así como que su implementación obedecía a razones de seguridad de uso de la instalación, debido a la facilidad de fraude que existía con otros métodos como tarjetas u otros dispositivos que pudieran ser intercambiados con otros usuarios, con lo que al evitar el intrusismo también se aseguraba un mejor servicio a los socios.
De otro lado, la Audiencia Nacional entiende que no se trata de una actuación desproporcionada ni excesiva, puesto que analizando las circunstancias, el ámbito en el que se implementa (un establecimiento privado), este fichaje (consentido por contrato) y la finalidad del mismo (entrada y salida de socios), concluye en que la empresa actuó de forma legítima. Los datos cumplían, afirman los magistrados, con el principio de calidad según el cual deben ser adecuados, pertinentes y no excesivos en relación con los fines para los que se recaban y tratan (actual artículo 5. 1. c) del RGPD)