Volver a página de inicio

PRIMERO.- Se impugna en el presente recurso contencioso-administrativo la resolución de la Directora de la Agencia Española de Protección de Datos de fecha 25 de julio de 2018 (PS/00191/2018) que confirma en reposición la resolución de 14 de junio de 2018, que impone a la entidad mercantil Fitness Murcia Promotions S.L. una sanción de 1.500 €, por una infracción del artículo 4.1 de la Ley Orgánica 15/1999 (LA LEY 4633/1999), de 12 de diciembre, de Protección de Datos de Carácter Personal (LOPD), tipificada como grave en el artículo 44.3.c) de dicha norma, una multa de 1.500 €.

Considera la AEPD que se ha incurrido en dicha infracción por cuanto el tratamiento de los datos de reconocimiento de huella por parte de los usuarios del gimnasio para control de acceso de su titular y siendo el único modo de acceder, utiliza los datos de forma no proporcionada y excesiva en relación con el ámbito y finalidades determinadas, con vulneración del artículo 4.1 LOPD. Señala, que el mismo objetivo podría lograrse si se estableciera un sistema de control de acceso que sin perjuicio de aplicar medidas de control biométrico, permitiera que el propio dato biométrico o el algoritmo, permaneciese bajo el control del usuario incorporado en una tarjeta inteligente que portara el socio, por ejemplo, y no fuera incorporado al sistema.

Aplica la circunstancia prevista en el artículo 45.5.a) de la LOPD y fija la sanción, a la vista de las circunstancias concurrentes, en 1.500 €.

SEGUNDO.- De lo actuado en el expediente administrativo resultan acreditados los siguientes hechos probados:

1. El denunciante, socio usuario del gimnasio QUO Fitness, titularidad de Fitness Murcia Promotions, denuncia ante la Agencia Española de Protección de Datos (AEPD) el que utilizaba el sistema de entrada al gimnasio mediante pulsera y que a partir del 2 de febrero de 2017 el acceso al centro sólo puede hacerse a través de la huella digital.

2. Cuando se toma la huella dactilar al socio del gimnasio, no se guarda ésta sino que se genera una plantilla numérica o patrón utilizando algunos puntos de la huella generados a partir de algoritmos matemáticos, creando así un código único para cada huella.

3. Al usuario que pretende utilizar los servicios de gimnasio de la recurrente se le informa en el contrato que para acceder a QUO Fitness se utilizará un sistema de identificación biométrico basado en la creación de un patrón partiendo de la toma de huella dactilar, de la que se toman una serie de puntos y de algoritmos matemáticos y que sólo se permite la entrada a las instalaciones de dicha manera, no existiendo normalmente alternativa salvo para casos excepcionales, como lesiones o profesiones en que la huella no se halla en óptimas condiciones para su recogida.

4. El sistema se implantó por razones de seguridad de uso de la instalación por el propio titular, debido a la facilidad de identificación evitando llevar tarjetas u otros dispositivos que podrían ser intercambiados con otros usuarios.

5. En el sistema se almacenan por parte del responsable del fichero Fitness Promotios SL., a través de un contrato de encargado de tratamiento con la entidad Proyectos Visuales Zaragoza S.L. (PROVISPORT), los puntos de la huella recogida de los usuarios transformados en un algoritmo matemático.

6. La recurrente tiene inscrito en la AEPD el fichero CLIENTES en el que entre otros, se almacenan los puntos de la huella convertidos en algoritmo matemático.

TERCERO.- La actora sustenta su pretensión impugnatoria en dos motivos: a) los datos recogidos por la entidad recurrente según los requerimientos técnicos de la empresa Nitgen Biometric Solutions no tienen la consideración de datos de carácter personal; b) adecuación de la medida al artículo 4.1 LOPD.

Comenzando por el examen del primer motivo de impugnación, se aduce que la empresa Nitgen Biometric Solutions provee del sistema técnico de toma de datos biométricos a Provisport, empresa de tratamiento de datos de los ficheros de la recurrente y que los datos que se obtienen por este sistema, a juicio de dicha parte, no pueden ser considerados datos de carácter personal.

Ello es así, según la actora, porque no permite la identificación de sus titulares, pues la información recogida no es una huella humana sino parte de la misma que se convierte en un código numérico asociado a un número concreto, que en este caso es un cliente. Añade que la huella del cliente no se guarda ni almacena sino que se convierte en un algoritmo matemático que no puede ser descodificado.

En resumen, considera que al ser los datos meras minucias que no permiten por si mismas la identificación de una persona si no es con una actividad "desproporcionada" como es la aplicación del algoritmo utilizado por la empresa y que sirve exclusivamente para el acceso al gimnasio, no tienen el carácter de datos personales.

A la vista de dicho planteamiento, cabe señalar que el concepto de "datos personales" engloba, en virtud de la definición recogida en el artículo 2, letra a), de la Directiva 95/46 (LA LEY 5793/1995), que traspone la LOPD en su artículo 3.a) " toda información sobre una persona física identificada o identificable (...) se considerará identificable toda persona cuya identidad pueda determinarse, directamente o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica (... )".El considerando 26 añade la siguiente explicación " para determinar si una persona es identificable, hay que considerar el conjunto de los medios que puedan ser razonablemente utilizados por el responsable del tratamiento o por cualquier otra persona, para identificar a dicha persona".

En esta línea, el artículo 5.1. f) del Real Decreto 1720/2007, por el que se aprueba el Reglamento de desarrollo de la LOPD (LA LEY 13934/2007) (RLOPD (LA LEY 13934/2007)), detalla al definir que se entiende por datos personales como "Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concernientea personas físicas identificadas o identificables".

De acuerdo con dicha definición, los datos biométricos pueden considerarse como "información sobre una persona física" ya que afectan a datos que proporcionan, por su propia naturaleza, información sobre una persona determinada.

Entre los datos biométricos más utilizados se encuentra la huella dactilar y si bien una huella dactilar completa identifica a la persona, también es susceptible de identificarse a la misma persona con la toma de muestras o "minucias" recogidas de partes de la huella transformadas en una plantilla, aunque sea a través de un algoritmo, ya que, como razona la resolución recurrida, esas minucias convertidas en algoritmos, mediante su registro en una base de datos, permiten al ser tratados la identificación de la persona cuando acude al gimnasio, a través del proceso de matchmaking (emparejamiento), entrando en el ámbito de dato personal.

En efecto, aunque el registro de la huella se transforme en un algoritmo, el sistema se pone en marcha siempre y cada vez que el socio acude al gimnasio, poniendo el dedo en el lector digital lo que da lugar a la confrontación de datos con el algoritmo almacenado en los sistemas de la recurrente.

Es decir, originariamente el funcionamiento del sistema está basado en la lectura de datos de la huella que se introduce en un terminal y en la confrontación con el algoritmo o secuencia numérica, que figura incorporado, que es un dato permanente y que está en una base de datos de la recurrente, el cual permite su asociación con la identidad de los socios. Por tanto, a partir de un dato único de cada socio que se transforma en algoritmo y que se verifica en cada entrada se están tratando datos del socio que accede al gimnasio y se permite su identificación.

A lo anterior hay que añadir, que la propia actora en el contrato que suscribe con los clientes del gimnasio, informa que " Para acceder a QUO Fitness se utilizará un sistema de identificación biométrico (...)" resultando acreditado, en definitiva, que el sistema implantado para el acceso al gimnasio utiliza datos de carácter personal.

En esta línea, la citada por la actora STS de 2 de julio de 2007 (Rec. 5017/2003 (LA LEY 79701/2007)), que ha entendido legitimo el tratamiento de los datos biométricos que realiza la Administración para el control horario de sus empleados públicos, sin que sea preciso el consentimiento previo de los trabajadores por ser de aplicación el artículo 6.2 de la LOPD, que alude a " la plasmación numérica de datos o aspectos personales" y a la " reducción a algoritmo digitalizado de la imagen de la mano", les considera también datos de carácter personal.

El motivo, en consecuencia, debe ser desestimado.

CUARTO.- En segundo lugar, esgrime la actora, que la utilización del sistema implantado es acorde al artículo 4.1 de la LOPD y que la medida es proporcional y adecuada, por lo que al no darse el elemento básico de la infracción la sanción debe ser revocada.

Señala que la AEPD ignora tanto el ámbito en el que se produce la prestación de servicios de dicha empresa (ámbito privado), la finalidad de la recogida de esos datos (entrada y salida de socios) y su puesta en relación con los elementos del tratamiento de los mismos (consentimiento libre y pleno) y los requisitos de proporcionalidad y necesidad que deben aplicarse al mismo.

Expresa que la resolución considera desproporcionada la medida porque los datos de la huella o el algoritmo no se almacenan en una hipotética tarjeta que llevara el usuario y no fuere incorporado al sistema o base de datos y que, a su juicio, yerra al fundamentar la sanción en dicho punto, porque se confunde obligación con recomendación, al afirmar "... cabría plantearse si no sería posible aún una menor injerencia en el derecho fundamental.. De ese modo sería posible..."

Reconoce que el tratamiento del sistema de huellas para acceder a un establecimiento exige una especial atención a la proporcionalidad y por esa razón, alega, que el medio más oportuno para ello es la huella fragmentada que se ha utilizado.

Sostiene que la medida es susceptible de conseguir el objetivo propuesto de identificación y a efectos de exclusividad del uso del servicio (juicio de idoneidad), lo que responde a fines de seguridad y personalización de un servicio privado que el cliente puede rechazar acudiendo a la competencia; que no existe otra medida más ponderada para la consecución de tal propósito con igual eficacia dado que el uso de la tarjeta que se sugiere como alternativa, es transferible y puede ser utilizada por personas distintas (juicio de necesidad) y que la medida es ponderada o equilibrada (juicio de proporcionalidad), por cuanto los socios no pueden ser identificados para otros fines distintos al acceso al gimnasio, no teniendo otro uso y con dicho sistema se pretende salvaguardar los derechos tanto de la propia empresa (al evitar intrusismos y aumentar la calidad del servicio) y como los de los propios clientes que verán así incrementad la calidad del servicio prestada y su propia seguridad al evitar que entren personas ajenas al centro.

QUINTO.- La resolución recurrida señala que dos son las cuestiones fundamentales sobre la implantación de la huella dactilar: si con la utilización de la huella propuesta con la denunciada se cumple el principio de calidad de datos previsto en el artículo 4.1 de la LOPD y si es necesario el consentimiento de los titulares de los datos pese ( art. 6 de la LOPD) a ser un servicio de uso privado abierto a los consumidores.

Se centra en la primera de ellas. Téngase en cuenta respecto de la segunda, que la resolución reconoce que los contratos contemplan la información sobre la recogida de datos de la huella dactilar. Efectivamente, al cliente que pretende acudir al gimnasio de la recurrente se le informa en el contrato del sistema utilizado para el acceso, recogiéndose en concreto- página 33 del expediente-, que " Para acceder a QUO Fitness se utilizará un sistema de identificación biométrico que, basadoen la creación de un patrón partiendo de la toma de huella dactilar, del que se toman una serie de puntos a partir del cual se crea un patrón biométrico, partiendo de algoritmos matemáticos. No se permitirá la entrada en las instalaciones de ninguna otra manera".

Existe también en el contrato un apartado concreto referido en general a la recogida de datos y sede ante la que ejercer los derechos, figurando al final un apartado para firma del cliente, quien caso de estar conforme y aceptar dichas condiciones firma el contrato.

Sentado lo anterior hay que precisar, que los hechos denunciados son de febrero de 2017 y el procedimiento sancionador del que trae causa el presente recurso se incoó el 30 de enero de 2018, con anterioridad a la entrada en vigor del Reglamento General Protección de Datos (RGPD) que tuvo lugar el 25 de mayo de 2018 y que incluye los datos biométricos dentro de las categorías especiales de datos (artículo 9), por lo que dicho RGPD (LA LEY 6637/2016), que establece una regulación más estricta para dicha categoría de datos que la hasta entonces existente, no resulta aplicable al procedimiento sancionador que nos ocupa.

Efectuada dicha matización, según el artículo 4.1 de la LOPD, referente al principio de calidad de datos, que la resolución recurrida considera infringido " 1. Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterse a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido".

Con arreglo al artículo 6 de la Directiva 95/46/CE (LA LEY 5793/1995), que constituye el marco normativo vigente, y por lo que aquí nos interesa, los datos personales serán adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente.

El cumplimiento de este principio implica en primer lugar una determinación clara de los fines para los que se recogen y tratan los datos biométricos. Por otra parte, hace falta evaluar el cumplimiento de la proporcionalidad y de la legitimidad, teniendo en cuenta los riesgos para la protección de los derechos y libertades fundamentales de las personas y especialmente si los fines perseguidos pueden alcanzarse o no de una manera menos intrusiva, como señala el Documento de Trabajo sobre biometría adoptado el 1 de agosto de 2003 del Grupo del artículo 29.

La resolución recurrida examina en orden al cumplimiento del principio de proporcionalidad, siguiendo la doctrina del Tribunal Constitucional, si se cumplen los tres parámetros o requisitos siguientes: si tal medida es susceptible de conseguir el objetivo propuesto (juicio de idoneidad); si además es necesaria, en el sentido de que no exista otra medida más moderada para la consecución de tal propósito con igual eficacia (juicio de necesidad) y finalmente si la misma es ponderada o equilibrada, por derivarse de ella más beneficios o ventajar para el interés general que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad en sentido estricto).

En cuanto a la idoneidad de la medida, cabe señalar que la recogida y uso de la huella es para la prestación de un servicio, cual es el de acceso y uso del gimnasio y que el registro mediante huella dactilar consigue dicha identificación/seguridad que la persona que accede al gimnasio es la que dice ser al poner el dedo en el lector y correlacionar su algoritmo registrado, por lo que con ella se consigue el objetivo pretendido y dicho juicio de idoneidad se cumple.

Respecto a si la medida se considera necesaria para satisfacer dicha necesidad, o si es esencial para responder a dicha necesidad y no sólo la más adecuada o rentable, hay que señalar que la implantación del sistema, como reiteradamente ha sostenido la parte a lo largo del procedimiento, no obedece a razones de comodidad, sino a evitar que pretendan acceder al gimnasio personas ajenas al mismo, ya que se evita llevar tarjetas, pulseras o dispositivos que pueden ser intercambiados con otros usuarios dando lugar a intrusismo y fraude, redundando su uso en un aumento de la calidad del servicio y seguridad de los clientes y de la propia empresa. Interesa subrayar, como la resolución sancionadora -página 13- reconoce que " No son relevantes los beneficios obtenidos como consecuencia de la infracción pues ha invertido en la operativa del sistema del tratamiento de la huella".

Enlazamos así con el principio de proporcionalidad estrictu sensu, pues las garantías adoptadas en el sistema de tratamiento de la huella por parte de la entidad recurrente son relevantes a la hora de valorar la injerencia en el derecho fundamental de protección de datos y en la proporcionalidad de la medida. A tal fin debe tomarse en consideración que la entidad recurrente se ha preocupado por la confidencialidad con la conversión de la huella a su algoritmo y no ha conservado en el sistema la huella o puntos de la misma, sino el algoritmo, tratando de minimizar así la ingerencia en el derecho fundamental.

A lo anterior hay que añadir que los datos son recogidos para el acceso y uso del gimnasio y los socios no pueden ser identificados para otros fines distintos a dicho acceso, permaneciendo en tanto que socios del gimnasio; en el contrato se informa del procedimiento de huella digital y si el cliente está conforme firma el contrato.

De otro lado, se trata de una microempresa, por lo que como reconoce la resolución sancionadora -página 13- " el volumen de datos afectados se estima que no sea masivo".

La AEPD se plantea " si no sería posible aún una menor injerencia en el derecho fundamental" y responde que " El mismo objetivo podría lograrse si se estableciera un sistema de control de acceso, que sin perjuicio de adoptar medidas de control biométrico, permitiera que el propio dato biométrico o el algoritmo permaneciese bajo el control del usuario y no fuera incorporado al sistema o base de datos". Añadiendo que " Así sería posible que la información que según el sistema descrito sería recogida y almacenada en el propio sistema que se incorporase a una tarjeta inteligente en poder del socio, que para acceder a las instalaciones, hubiera de utilizar la tarjeta y al propio tiempo posicionar su huella sobre el lector", aludiendo a la aplicación analógica del uso de la huella dactilar en un centro educativo, a que se refiere el informe 65/2016.

Ahora bien, cabe señalar que el citado informe 65/2016 toma en consideración la condición mayoritaria de menores de edad de los alumnos y se refiere a un ámbito, (centro educativo), que difiere del presente, circunstancias que singularizan aquel supuesto respecto del que nos ocupa.

Así las cosas, valorando todas las circunstancias concurrentes expuestas y atendiendo a la normativa aplicable ratione temporis, estima la Sala que no puede considerarse infringido el principio de calidad de datos del artículo 4.1 de la LOPD, procediendo en consecuencia dejar sin efecto la sanción impuesta.

El recurso, por tanto, debe ser estimado.

SEXTO.- La estimación del recurso conlleva la imposición de las costas a la demandada, ex artículo 139.1 de la Ley Jurisdiccional.