La Agencia Española de Protección de Datos ha impuesto sanciones a dos gimnasios de Barcelona por el uso indebido de datos biométricos. Supera deberá abonar 160.000 euros y Metropolitan 27.000 euros tras recabar huellas dactilares y emplear sistemas de reconocimiento facial para controlar el acceso de los usuarios, una práctica considerada sancionable según el Reglamento General de Protección de Datos.
Requisitos legales y advertencias de expertos
El abogado Miguel Recio, del departamento de TMC de CMS Albiñana & Suárez de Lezo, subraya la necesidad de adoptar garantías adicionales como la evaluación de impacto relativa a la protección de datos antes de implantar este tipo de tecnologías. La normativa europea exige que cualquier tratamiento de datos personales, especialmente los biométricos, cuente con medidas que eviten accesos no autorizados y que el consentimiento del afectado sea explícito.
"Es necesario adoptar garantías adicionales como realizar una evaluación de impacto relativa a la protección de datos" - Miguel Recio, CMS Albiñana & Suárez de Lezo
El uso de imágenes personales para obtener animaciones mediante plataformas como OpenAI también requiere el consentimiento expreso del usuario. Recio advierte que perder el control sobre los datos personales es uno de los principales riesgos de la conversión de imágenes a otros formatos digitales.
Hoteles, alojamientos y registro de viajeros
En la Costa Brava y otras zonas turísticas de Girona y Tarragona, la Agencia Española de Protección de Datos ha recordado a los alojamientos que no pueden exigir el escaneo del DNI a los huéspedes. El afectado puede solicitar la intervención de la AEPD si considera que sus datos han sido tratados de forma indebida. La petición del documento debe limitarse a la comprobación de los datos necesarios y realizarse con garantías para proteger la información personal.
"Es importante que sepamos si nuestro DNI va a ser utilizado para comprobar los datos necesarios o si va a ser escaneado, lo que daría lugar a un tratamiento indebido" - Miguel Recio, CMS Albiñana & Suárez de Lezo
Las sanciones por incumplimiento del RGPD pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio anual global.
Difusión y grabación de datos sensibles
La difusión de imágenes, audios o vídeos de carácter sexual o violento que permitan identificar a una persona sin su consentimiento está considerada un tratamiento ilícito de datos personales. La AEPD puede abrir procedimientos sancionadores y, en casos graves, imponer multas de hasta 600.000 euros. Además, estos hechos pueden acarrear responsabilidades penales y civiles, incluyendo penas de prisión de seis meses a dos años por delitos contra la integridad moral.
En julio, el Tribunal Supremo declaró la vulneración del derecho a la intimidad de los vecinos por el uso de una mirilla digital en una comunidad. El tribunal recordó que estos dispositivos deben cumplir con la normativa de protección de datos si permiten el tratamiento de información personal.
Ámbito laboral y educativo
En marzo, el Tribunal Supremo condenó a un despacho de abogados a indemnizar con 3.000 euros a un empleado por intromisión ilegítima en el derecho a la intimidad tras acceder a una carpeta digital con datos sensibles. Para reclamar indemnización por vulneración de la normativa de protección de datos deben concurrir tres requisitos cumulativos: la existencia de un tratamiento ilícito, la producción de daños y perjuicios y la relación de causalidad entre ambos.
La AEPD dispone de una guía específica para relaciones laborales que aborda los límites en el tratamiento de datos, la identificación de empleados y el registro de jornada. En el entorno educativo, los centros de Barcelona, Girona y Tarragona que ofrezcan enseñanzas regladas deben nombrar un delegado de protección de datos y comunicar cualquier riesgo detectado sobre la información personal de los alumnos.
Responsabilidad y reclamaciones
El Tribunal de Justicia de la Unión Europea establece que el responsable del tratamiento responde por los datos gestionados por su cuenta, pero no si el encargado los utiliza para fines propios. En caso de daño moral o económico por tratamiento ilícito, se puede iniciar un procedimiento legal en la jurisdicción civil para solicitar indemnización.
En situaciones graves de acoso físico o psicológico en el entorno educativo, la recomendación es denunciar los hechos a la Fiscalía y contactar con el teléfono de ayuda 900 018 018.
- Supera sancionado con 160.000 euros por uso de huellas dactilares
- Metropolitan multado con 27.000 euros por reconocimiento facial
- Las sanciones por incumplir el RGPD pueden alcanzar 20 millones de euros o el 4% del volumen de negocio anual
- La AEPD puede imponer multas de hasta 600.000 euros por grabar imágenes sin permiso