La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 96.000 euros a la cadena de gimnasios Supera, gestionada por la...
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 96.000 euros a la cadena de gimnasios Supera, gestionada por la empresa Sidecu S.A. con sede en A Coruña, por implementar un sistema de reconocimiento facial como única forma de acceso a sus instalaciones, vulnerando el Reglamento General de Protección de Datos (RGPD). La multa, que inicialmente ascendía a 160.000 euros (dividida en tres sanciones de 80.000, 50.000 y 30.000 euros), fue reducida en un 40% tras el reconocimiento de responsabilidad por parte de la empresa y el pago voluntario de la sanción.
La infracción fue denunciada en 2023 por la organización de consumidores FACUA-Consumidores en Acción, tras recibir quejas de socios que consideraban el sistema de reconocimiento facial "invasivo" y "excesivo" para acceder a los gimnasios. Según FACUA, Supera impuso este método sin ofrecer alternativas, como tarjetas o códigos, y sin obtener el consentimiento explícito y libre de los usuarios, requisitos imprescindibles según el artículo 9 del RGPD, que clasifica los datos biométricos como datos personales de categoría especial cuyo tratamiento está generalmente prohibido.
La AEPD determinó que Supera incumplió varias disposiciones del RGPD, incluyendo la falta de un consentimiento válido y la ausencia de métodos alternativos de acceso, lo que invalidaba cualquier aceptación por parte de los usuarios. La empresa intentó defenderse argumentando que no almacenaba imágenes faciales, sino un "patrón numérico" generado por un algoritmo, y que este no constituía un dato personal. Sin embargo, la AEPD rechazó esta interpretación, aclarando que cualquier dato biométrico procesado para identificar a una persona, como en este caso, está protegido por la normativa europea y requiere una justificación estricta.
Supera opera 30 centros deportivos en 21 municipios de España, incluyendo A Coruña, Alicante, Almería, Burgos, Chiclana de la Frontera, Estepona, Marbella, Guadalajara, León, Móstoles, Oviedo, Palencia, Parla, Rivas-Vaciamadrid, Talavera de la Reina, Valdemoro, Santander, Sevilla, Toledo, Valencia y Valladolid. La implementación del sistema de reconocimiento facial se llevó a cabo en varios de estos centros, como el Supera Entrepuentes de Sevilla, sin notificar previamente a los socios ni ofrecer alternativas al método biométrico.
FACUA ha destacado que el reconocimiento facial es una de las formas más invasivas de control, ya que utiliza un dato íntimo e inmodificable como el rostro, lo que plantea riesgos significativos en caso de filtraciones o uso indebido. La organización también ha instado a los usuarios afectados a ejercer sus derechos de acceso y supresión, exigiendo a Supera que informe si sus datos biométricos siguen almacenados y, de ser así, que los elimine inmediatamente, conforme a la normativa.
Este caso se enmarca en un contexto de creciente escrutinio por parte de la AEPD sobre el uso de tecnologías biométricas en España. En los últimos años, la agencia ha intensificado sus acciones contra empresas que emplean sistemas de identificación sin cumplir con el RGPD, subrayando la necesidad de métodos menos invasivos, como tarjetas o pulseras, para fines como el control de acceso. La resolución envía un mensaje claro: las empresas deben garantizar el consentimiento explícito y ofrecer alternativas viables cuando manejen datos sensibles, especialmente en entornos cotidianos como los gimnasios.
La sanción a Supera no solo representa un precedente importante en el sector del fitness, sino que también pone de relieve los desafíos éticos y legales de la digitalización en espacios privados. Los usuarios afectados y las organizaciones de consumidores seguirán vigilantes para asegurar que las empresas cumplan con las normativas de protección de datos y respeten los derechos de privacidad de los ciudadanos.
.png "Google-Translate-Spanish to English")
.jpg)
COMMENTS