La Audiencia Nacional (AN) ha anulado la resolución de la Agencia Española de Protección de Datos (AEPD) por la que se sancionaba a un gimnasio de Murcia a pagar 1,500 euros por utilizar huellas dactilares como método de identificación de acceso a sus instalaciones.
La AN precisa, sin embargo, que su resolución se basa en la Directiva 95/46/CE y no en el Reglamento General de Protección de Datos, que tiene una postura más estricta hacia el uso de datos biométricos ya que tanto los hechos como el expediente sancionador tuvieron lugar antes de la entrada en aplicación de dicho reglamento. En este caso hay que tener en cuenta que la AN no descarta que su postura pudiese ser distinta de darse el caso hoy.
La AEPD emitió una resolución contra el gimnasio argumentando que el uso de las huellas dactilares constituía una infracción del artículo 4.1. de la LOPD tipificada como grave.
El artículo 4.1. determina que:
“Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
La AEPD considera que el uso de datos biométricos, considerados de especial protección, sólo es lícito en el caso de que sean “adecuados, pertinentes y no excesivos”, algo que, a su juicio, no se cumplía en este caso. Para la agencia, el uso de la huella para el control de entrada a unas instalaciones deportivas no era razón suficiente como para justificar el uso de este tipo de datos.
Ante esta resolución de la AEPD, el gimnasio interpuso un recurso en el que alegaba que los datos que usaba para determinar la identidad de los usuarios no eran datos personales ya que el sistema sólo usaba una parte de la huella, no la huella completa. Además, la huella parcial era transformada en un número por un algoritmo y era ese número el que determinaba la identidad del usuario. El gimnasio esgrimía también en su defensa que la huella no se almacenaba en ningún lugar, sino que lo que se conservaba era el código numérico resultante de la aplicación del algoritmo.
Curiosamente, la audiencia nacional, sí estimó que la huella parcial constituía un dato personal biométrico, dando la razón a la AEPD en este aspecto, pero dio la razón al gimnasio al considerar que en el uso de un sistema de acceso basado en huella dactilar “los datos personales son adecuados, pertinentes y no excesivos con relación a los fines para los que se recaban y para los que se tratan posteriormente”.
Para la AN hay una finalidad clara para el uso de las huellas, que es la identificación de los usuarios y hay también una idoneidad ya que “la recogida y uso de la huella es para la prestación de un servicio, cual es el de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector y correlacionar su algoritmo registrado, por lo que con ella se consigue el objetivo pretendido y dicho juicio de idoneidad se cumple.” La AN destaca que el sistema es además necesario porque evita que haya que emitir tarjetas o pulseras que los usuarios podrían intercambiar entre sí de modo fraudulento.
