Una compañía española impuso el reconocimiento facial para ingresar a sus gimnasios. Resultado: multa de 96,000 euros – El diario andino
La Agencia de Protección de Datos española (AEPD) ha impuesto Una sanción de 96,000 euros a la cadena de gimnasios excede para violar la protección de datos de sus clientes. ¿La razón? Han impuesto el reconocimiento facial como el único método de acceso a sus gimnasios. Los hechos fueron denunciados por FACUA en 2023 y ahora se conoce la resolución.
¿Qué pasó? El 4 de agosto de 2023, se presentó un reclamo a Sidecu, una compañía con sede en una coruña a cargo de los gimnasios. Según el documento (Pdf), el Centro Sports excede las empresas de Enrepuentes en Sevilla, estaba «negando el acceso a las instalaciones» porque se había implementado un nuevo método de acceso a través de un sistema de reconocimiento facial. «
El demandante consideró que este acceso era «invasivo sobre su intimidad» y «excesivo para el acceso a dicho establecimiento». Hasta la implementación del sistema de reconocimiento facial, que no había sido notificado a los socios y era obligatorio, era posible ingresar al gimnasio usando una tarjeta. Este reclamo se agregó dos más y, finalmente, en septiembre de 2023, FacUa denunció Sidecu.
La defensa. SidEC se defendió ejerciendo que no almacenaba imágenes de los usuarios, pero generó un patrón facial a través de un algoritmo patentado por la compañía que desarrolló el sistema. Según la cadena de gimnasios, esta «plantilla» no fue suficiente para identificar a los usuarios o deducir sus características físicas. Para Sidecu, esto fue suficiente para que el sistema cumpliera con el GDPR, pero la verdad es que no.
El primer error. Informe mal las regulaciones, rompiendo así el artículo 9 del RGPD. El artículo 4.14 del RGPD establece que los datos biométricos son «datos personales obtenidos de un tratamiento técnico específico, relacionados con las características físicas, fisiológicas o de comportamiento de una persona natural que permiten o confirman la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos». Según el Artículo 9 del mismo reglamento, se prohíbe el tratamiento de «datos biométricos dirigidos a identificar de manera única a una persona natural».
El segundo error. Imponer el sistema y no advertir, rompiendo así el artículo 13 del RGP. No solo no advirtió a los usuarios, sino que el reconocimiento facial era la única forma de acceder a los establecimientos y no había otra opción real, así que ingresó al juego: el consentimiento no era gratuito. Es cierto que la compañía terminó implementando un sistema de acceso alternativo (enseñando la identificación en la puerta), pero su llegada fue más tarde a las reclamaciones. No advierte a los usuarios que infringe el artículo 13 del GDPR.
El tercer terror. No evalúe los riesgos, finalmente rompiendo el artículo 35 del RGPD. Según la oración, SidEC no justificó por qué era necesario implementar este sistema, sobre todo, alternativas menos invasivas e igualmente efectivas. La AEPD establece que la Compañía no realizó la evaluación de impacto en la protección de los datos personales (cuando no se ocupaba de los datos personales) y que actuaba sin fraude, sino negligentemente y sin «la diligencia especial que es ejecutable para este tipo de tratamientos».
Las sanciones. Tres, uno por cada artículo violó: 80,000 euros por violar el artículo 9 del RGPD, 30,000 euros por no tener usuarios informados por adelantado (artículo 35) y 50,000 euros por no haber preparado la evaluación de impacto en la protección de datos personales (Artículo 9). En total, una multa de 160,000 euros, debido al reconocimiento de la responsabilidad y la pronto lámpara de Sidebu, se ha mantenido en 96,000 euros.
Imagen de portada | Gold’s Gym Nepal
En | Multa insospechada para la Comisión Europea en Europa: violó su propia regulación general de protección de datos
