Esta cadena de gimnasios obligaba a usar reconocimiento facial para acceder a sus centros, ahora tiene que pagar una gran multa

La Agencia Española de Protección de Datos (AEPD) ha sancionado a la cadena de gimnasios Supera, perteneciente al grupo Sidecu, por imponer el reconocimiento facial como sistema de acceso a sus instalaciones. La investigación se inició tras una denuncia de FACUA-Consumidores en Acción, que cuestionó la legalidad de esta medida al considerar que se trataba de un tratamiento excesivo de datos personales.

La sanción impuesta asciende a 160.000 euros, aunque se ha reducido a 96.000 euros porque la cadena reconoció la infracción. La resolución señala que la compañía infringió varios artículos del Reglamento General de Protección de Datos (RGPD) al implantar un sistema de control que obligaba a los usuarios a ceder información biométrica para poder entrar a los centros deportivos.

Existen métodos de control menos invasivos

Según detalla FACUA, esta práctica consistía en instalar un sistema de cámaras que identificaba a los socios mediante sus rasgos faciales. Este procedimiento, que se presentaba como una fórmula de comodidad y rapidez, también suponía tratar datos especialmente sensibles. El RGPD establece que la información biométrica solo puede usarse en circunstancias muy concretas y siempre bajo el consentimiento explícito y justificado de la persona afectada.

En este caso, la AEPD determinó que la empresa no acreditó una base legal suficiente para implantar el sistema. Además, no ofreció alternativas a los usuarios que no quisieran facilitar sus datos faciales, lo que en la práctica convertía la medida en obligatoria. Este hecho resultó clave para que se considerase una vulneración grave de la normativa de protección de datos.

FACUA destacó que el reconocimiento facial es una de las formas más invasivas de control. Esto se debe a que convierte en requisito indispensable un dato íntimo e imposible de modificar: el rostro. La organización subrayó que los consumidores no deberían tener que entregar esta información para algo tan cotidiano como acceder a un gimnasio.

Por su parte, la AEPD recordó en su resolución que el tratamiento de datos biométricos exige un nivel de justificación más alto que cualquier otro. El motivo es que estos datos pueden revelar aspectos únicos de la identidad de una persona, por lo que entrañan mayores riesgos en caso de filtraciones o uso indebido. La agencia consideró que el sistema de Supera no cumplía con estos estándares de proporcionalidad y necesidad.

El caso refleja cómo el despliegue de tecnologías avanzadas en espacios de uso común debería estar sometida a un análisis legal riguroso, cosa que en muchas situaciones no sucede. Aunque el reconocimiento facial se emplea cada vez más en aeropuertos, bancos o sistemas de seguridad, su aplicación en ámbitos como el ocio o el deporte puede considerarse desproporcionada.

De hecho, la normativa europea no solo exige el consentimiento del usuario, sino también que se evalúen alternativas menos invasivas. En el caso de los gimnasios, la AEPD apuntó que existían métodos suficientes para controlar el acceso que no almacenaban datos sensibles de los usuarios, como tarjetas, pulseras o códigos.

La multa a Supera se enmarca en un contexto de creciente vigilancia sobre el uso de tecnologías biométricas en España. En los últimos años la AEPD ha endurecido sus actuaciones contra empresas e instituciones que emplean sistemas de identificación sin ajustarse al RGPD. Esto se debe a que la Comisión Europea y el Parlamento Europeo han señalado reiteradamente que los datos faciales se encuentran entre los más delicados dentro del marco legal de la privacidad.