Multa a gimnasio por reconocimiento facial obligatorio
La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 96.000 € a Sidecu SA, cadena que gestiona 30 centros en 21 municipios, por obligar a sus usuarios a acceder mediante reconocimiento facial sin alternativa ni consentimiento.
Detalles de la sanción y vulneraciones legales
La multa inicial ascendía a 140.000 €, desglosada en tres sanciones de 80.000, 50.000 y 30.000 €. La empresa reconoció la infracción y pagó de forma voluntaria, lo que motivó una reducción del 40 % y el importe final de 96.000 €.
La AEPD constató que el tratamiento de datos biométricos vulneró el RGPD, concretamente el artículo 9 que prohíbe su uso sin consentimiento explícito y sin ofrecer métodos menos invasivos. No se informó adecuadamente a los usuarios sobre la finalidad ni la conservación de sus datos faciales.
"El consentimiento recabado no fue libre, al imponer el sistema como única vía de acceso," señaló la AEPD en su resolución, subrayando que la falta de alternativas constituye una infracción grave.
La investigación se abrió en 2023 después de que Facua‑Consumidores en Acción presentara una denuncia. La AEPD realizó inspecciones en varios centros y confirmó la falta de mecanismos alternativos.
Los datos faciales se consideran datos personales de categoría especial. Su tratamiento solo es lícito con el consentimiento explícito del interesado o bajo excepciones muy limitadas previstas en el artículo 9.2 del RGPD, como la necesidad para la seguridad pública, lo que no se aplicó al caso del gimnasio.
La normativa exige que cualquier sistema de control de acceso ofrezca opciones menos intrusivas, como tarjetas o códigos, y que el usuario pueda decidir libremente. La imposición de la tecnología sin alternativa vulnera tanto la privacidad como la igualdad de trato.
El artículo 9 del RGPD clasifica los datos biométricos como sensibles, y la jurisprudencia europea ha reiterado que su tratamiento requiere una base jurídica robusta.
Repercusiones y próximos pasos
La sanción envía una señal clara al sector del fitness: la digitalización no puede sacrificar la protección de datos. Los gimnasios deberán revisar sus protocolos y garantizar el respeto al RGPD para evitar multas similares.
Ante la sanción, la empresa ha presentado un plan de adecuación que incluye la instalación de lectores de tarjetas y la eliminación del registro facial hasta que se obtenga el consentimiento necesario.
En un contexto de creciente adopción de tecnologías de identificación, como los robots que compiten en la media maratón de Pekín Robot Shandian gana medio maratón de Pekín y rompe récord humano, la autoridad refuerza la necesidad de equilibrar innovación y derechos fundamentales.
Los socios que se negaron al reconocimiento facial fueron impedidos de entrar, lo que provocó protestas y la pérdida de varios clientes en los centros afectados.
Sidecu SA ha anunciado que revisará sus sistemas y habilitará alternativas de acceso en todos sus centros antes de final de año, para cumplir con la normativa y recuperar la confianza de sus socios.
Empresas de telecomunicaciones y bancos ya han sido multados por prácticas similares, lo que muestra una tendencia de la AEPD a reforzar la protección de datos en ámbitos de alta tecnología.
Se espera que la AEPD continúe supervisando el cumplimiento en el sector, y que otras entidades revisen sus políticas de datos para evitar sanciones.
