Biometría en gimnasios y cumplir RGPD: uso de huella dactilar

El uso de la biometría en gimnasios necesita cumplir con el RGPD para proteger adecuadamente la información de sus usuarios. Los aspectos claves que deben tenerse en cuenta son:

• La base legal del uso de la huella dactilar en gimnasios.
• Los requisitos de la normativa de protección de datos (RGPD y LOPDGDD).
• La necesidad de realizar evaluaciones de impacto.
• Opciones menos intrusivas para centros deportivos.

¿Qué implicaciones tiene el uso de la huella dactilar en centros deportivos?

Para poder hacer uso de la biometría en gimnasios y cumplir con el RGPD es necesario tener en cuenta determinadas pautas y criterios. Estos se recogen en el RGPD y en su normativa española, la LOPDGDD:

• Recabar el consentimiento explícito como base de legitimación, si bien, también debe ofrecerse una alternativa al uso de la huella, ya que esta es una medida desproporcionada de acuerdo con la finalidad del tratamiento.
• Adoptar medidas adecuadas al tratamiento de categorías especiales de datos, puesto que la huella dactilar es un dato biométrico.
• Realizar una evaluación de impacto para poder acreditar que se está llevado acabo un tratamiento necesario, idóneo y proporcionado.

¿Es posible utilizar la biometría en gimnasios y cumplir el RGPD?

La autenticación biométrica es cada vez más habitual en muchos sectores. Debido a ello, es muy común que los centros deportivos utilicen la huella digital como forma de garantizar la identidad del usuario que está haciendo uso de las instalaciones.

En España, no puedes exigir huella o facial para acceder al gimnasio salvo que superes una EIPD y demuestres que no existe alternativa menos intrusiva. Si usas consentimiento explícito, debe ser libre y con opción equivalente (QR/tarjeta/app) y con medidas reforzadas. Sin eso, alto riesgo de sanción.

Entrada con tornos y huella dactilar

Por ejemplo, muchos centros deportivos incorporan un torno que solo se abre con la lectura de la huella dactilar. Por consiguiente, su personal no debe estar vigilando la entrada en todo momento para garantizar que el usuario que entra es el que efectivamente está inscrito.

Sistemas de doble verificación con datos biométricos

También, en ocasiones, la huella digital se suele asociar a un dispositivo de entrada como una pulsera o un carnet de socio, incorporándose así una doble verificación.

Cómo utilizar biometría en gimnasios y cumplir el RGPD

El uso de la biometría en gimnasios debe cumplir con el RGPD. Por tanto, resulta necesario atender a las siguientes pautas generales:

• Informar a los usuarios del gimnasio sobre el tratamiento de datos biométricos.
• Informar a los interesados acerca del nivel de riesgo del tratamiento de datos sensibles.
• Implementar medidas técnicas de seguridad, como el cifrado.
• Suprimir los datos personales si no están o dejan de estar vinculados a la finalidad del tratamiento.
• Protección de datos desde el diseño.

¿Qué es el cifrado de datos de los usuarios?

El cifrado de datos es una de las medidas que tu centro deportivo puede implantar para facilitar el cumplimiento de la normativa de protección de datos. Consiste en la conversión de un texto legible a uno que no se pueda comprender a simple vista a causa de la aleatoriedad de los caracteres.

Para ello, se utiliza un algoritmo y se traduce en que si un centro deportivo sufre un ciberataque, los atacantes no podrán vincular la información guardada en los sistemas informáticos del gimnasio a una persona física concreta. Por tanto, se evita que se vulneren la información personal de los usuarios.

¿Cómo cumplir con la protección de datos desde el diseño?

La protección de datos desde el diseño tiene un carácter eminentemente preventivo. Es decir, consiste en que el propio diseño de los sistemas y procedimientos del gimnasio ya esté focalizado al cumplimiento de los principios de protección de datos desde su inicio.

De este modo, el centro deportivo ahorraría costes posteriores, evitando tener que implantar dichos principios una vez desarrollados sus sistemas y procedimientos. Algunos ejemplos de protección de datos desde el diseño son:

• Evitar las casillas preseleccionadas, como podría ocurrir si se incluye una para la de cesión de imágenes al gimnasio con fines de mercadotecnia.
• Si el centro deportivo elabora una aplicación móvil, realizar una evaluación de impacto previa.

Si quieres saber cómo proteger los datos personales de tu centro deportivo desde el diseño, contacta con Legal Veritas.

¿Es obligatorio realizar una evaluación de impacto si se utilizan datos biométricos?

De acuerdo con el artículo 35 del RGPD, una evaluación de impacto es obligatoria cuando un tipo de tratamiento de datos pueda entrañar un riesgo elevado para los derechos y libertades de los interesados. Por esta razón, en el caso de los datos biométricos es obligatoria. ¡Contáctanos y te asesoraremos!

¿Qué aspectos mínimos debe incluir una evaluación de impacto en un gimnasio?

Como resultado de todo lo mencionado anteriormente, los aspectos mínimos que debe incluir una evaluación de impacto para usar biometría en gimnasios y cumplir con el RGPD son:

• En primer lugar, una descripción de las operaciones que se prevén en el tratamiento de datos, sus fines y, cuando proceda, el interés legítimo.
• Segundo, la evaluación de los riesgos existentes del uso de los datos biométricos en el gimnasio.
• En tercer lugar, la evaluación de la necesidad y proporcionalidad del tipo de tratamiento que se le dé a los datos biométricos en relación con la finalidad.
• Por último, las medidas que se van a tomar para hacer frente a los riesgos, así como las garantías de protección de los datos personales.

¿Qué opciones menos intrusivas pueden incorporar los gimnasios?

Al margen de las pautas y consejos expuestos, los gimnasios siguen necesitando un sistema de acceso fiable para controlar la entrada de sus socios. Sin embargo, existen para ello medidas menos intrusivas que se pueden incorporar como alternativa al uso de datos biométricos. Algunas de ellas pueden ser:

• La foto del usuario en la pantalla del ordenador del personal de recepción al insertar el carnet o pasar la pulsera de socio.
• Otra podría ser incorporar el acceso con un código QR vinculado a la aplicación del usuario.
• La apertura manual por el personal del gimnasio al enseñar el carnet con la foto del socio.
• Acceso desde una aplicación móvil con geolocalización que solo permita su instalación en un dispositivo al mismo tiempo.

Cuidado con el tratamiento de datos a gran escala

El hecho de que las medidas anteriores sean alternativas al uso de datos biométricos y menos intrusivas, no implica que no se estén tratando datos personales. Por ello, cabe mencionar en este aspecto que un dato personal es todo aquello que pueda hacer reconocible a una persona física.

Así pues, se deben seguir aportando medidas de seguridad para protegerlos, más aún si se tiene en cuenta que los gimnasios, con carácter general, tratan datos a gran escala. Contacta con nosotros para que te orientemos.

Contacta con expertos en protección de datos para utilizar biometría en gimnasios y cumplir con el RGPD

El contenido de este artículo está redactado de manera informativa. Por tanto, no debe tomarse como un asesoramiento jurídico aplicable a tu caso. En protección de datos, cada supuesto debe ser estudiado de forma individual, por lo que si necesita asesoramiento para implementar un control de acceso a su gimnasio sin vulnerar la normativa, no dudes en contactar con nosotros.

Si tratas datos biométricos, deja el cumplimiento del RGPD y de la LOPDGDD a cargo de expertos cualificados en la materia. En Legal Veritas contamos con un equipo experto en protección de datos.

Preguntas Frecuentes (FAQ)

Fuentes y recursos

• RGPD: Reglamento UE 2016/679 del Parlamento Europeo y del Consejo relativo a la protección de datos personales
• LOPDGDD: Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
• AEPD: Ejerce tus derechos
• AEPD: Utilización de datos biométricos