En octubre de 2023, la AEPD inició un procedimiento sancionador contra Loro Parque S. A. por presunta infracción del artículo 9 del RGPD, tras recibir tres reclamaciones en 2022 que alegaban que se exigía la huella dactilar para acceder con la entrada «Twin Ticket» sin información previa ni alternativa, incluso en el caso de menores desde los tres años ―aunque sus entradas son gratuitas, lo que plantea dudas sobre la proporcionalidad―. La infracción fue considerada muy grave, y se propuso una multa de 250 000 €.
Loro Parque alegó que el sistema biométrico no almacena imágenes completas, sino minucias no identificables de las huellas dactilares, y que las entradas no son nominativas; sin embargo, el cruce entre datos de compra y acceso permite identificar a la persona. En 2024 se añadió una advertencia sobre el uso de biometría en la web, pero no constaba su fecha de publicación. Loro Parque solicitó la nulidad del procedimiento, cuestionando la interpretación de la AEPD.
Pero, tratándose de datos biométricos, la AEPD deja claro que el Reglamento General de Protección de Datos (RGPD) los incluye en su protección de los derechos fundamentales en el tratamiento de datos personales. Y los define como información técnica sobre rasgos físicos o conductuales que permiten identificar de forma única a una persona. En el caso de Loro Parque, se confirmó que el sistema de acceso mediante huella dactilar constituía un tratamiento de datos biométricos, ya que generaba una plantilla matemática que permitía la identificación. Este sistema comparaba la huella captada en dos accesos distintos para verificar que la misma persona utilizaba la entrada Twin Ticket, vinculando indirectamente los datos del comprador con los accesos registrados, lo que permitía la identificabilidad del usuario. Aunque gestionado por una empresa externa, Loro Parque seguía siendo responsable del tratamiento. Según el RGPD, este tratamiento requiere una base jurídica válida y el consentimiento explícito del interesado, condiciones que no se acreditaron.
Además, la empresa no realizó la obligatoria Evaluación de Impacto en Protección de Datos (EIPD) ni adoptó medidas adecuadas de protección, lo que supone una falta de responsabilidad proactiva. Esto permitió concluir que Loro Parque infringió el artículo 9 del RGPD, pues trató datos biométricos sin cumplir los requisitos legales, y vulneró los principios de licitud, transparencia, minimización y responsabilidad.
Las alegaciones presentadas fueron desestimadas, ya que el tratamiento permitía la identificación unívoca del usuario, incluso si se usaban representaciones matemáticas. Se confirmó la vinculación entre datos biométricos y entradas, y se consideró que el tratamiento implicaba riesgos graves, especialmente para menores. La conducta se tipificó como infracción muy grave, sancionable con hasta 20 millones de euros. La AEPD destacó agravantes como la duración, el número de afectados y la ausencia de alternativas al sistema biométrico.
En consecuencia, la AEPD impuso a Loro Parque, S. A. una sanción de 250 000 €, que consideró disuasoria y proporcionada, basándola en la gravedad de los hechos y la actitud mantenida durante el procedimiento, además de que existen alternativas menos intrusivas para verificar el acceso a los parques sin usar los datos biométricos.
La empresa alegó que había dejado de utilizar ese sistema, pero ni acreditó ni explicó en qué consistía el nuevo método de control de acceso ni si intervenían en él datos biométricos. Esta falta de transparencia reforzó la necesidad de medidas correctivas adicionales a la sanción económica, en virtud de los artículos 58 y 82 del RGPD, por lo que se le ordenó el cese definitivo, en un plazo de 30 días, del tratamiento biométrico vinculado al sistema de acceso mediante huella dactilar para las entradas tipo Twin Ticket.
Fuente: https://www.aepd.es/documento/ps-00432-2023.pdf
░ Imagen de Anna Tarazevich en Pexels
