En mundo laboral ha aumentado progresivamente el uso de lectores de huellas dactilares como método de fichaje. Sin embargo, éste no es el único ámbito donde se ha implantado dicho mecanismo, ya que, cada día es más utilizado por empresas y establecimientos privados para controlar el acceso y la identidad de los visitantes.
¿La utilización de estos mecanismos puede acarrear algún tipo de problema?
La respuesta que más rápido nos viene a la mente es un SÍ. La recogida y tratamiento de huellas dactilares para controlar el acceso a un establecimiento, siempre que no se realice de forma idónea y proporcionada puede resultar invasiva, porque las huellas se encuentran catalogadas como tipos de datos especialmente protegidos.
La cuestión anterior se suscitó en un gimnasio de Murcia, donde uno de los clientes denunció ante la Agencia Española de Protección de Datos (AEPD), en febrero de 2017, que solamente se pudiera acceder al interior del gimnasio por un método de autenticación con la huella dactilar, cuando siempre se había estado utilizando una pulsera o tarjeta facilitada por el centro. Para identificar la huella con la persona en cuestión, el sistema informático recoge unos puntos concretos de la huella y a través de un algoritmo crea una serie numérica con la que identifica al cliente. Por ello, en las bases del gimnasio no se encuentran almacenadas las huellas dactilares, sino la sucesión de números.
Aun con todo, la AEPD, haciendo una interpretación de la LOPD (anterior al RGPD que aún no era de aplicación) entendía que el el hecho de recoger la huella dactilar sin tener otro método alternativo, suponía desproporcionada y excesiva en relación con la actividad que se presta y las finalidades para las que se utiliza, en conclusión, les impuso una sanción económica de mil quinientos euros.
Ante esta situación, el gimnasio recurrió la sanción y la Audiencia Nacional en la Sentencia 3675/2019, de 19 de septiembre, estima el recurso de la empresa y anula la sanción impuesta por la AEPD. ¿Por qué?. aunque la Audiencia Nacional no interpreta el RGPD porque los hechos ocurrieron en un período anterior a su aplicación, entiende lo siguiente:
- Por un lado, el número creado por el algoritmo a través de la huella se puede considerar como dato personal, porque, además de que las normas pre-RGPD identificaban la huella como un dato biométrico, aunque no podamos identificar a la persona únicamente con el número, cada vez que pasa el dedo por el lector, la huella se confronta con el algoritmo almacenado y permite su identificación.
- Por otro lado, la AN acoge el criterio de la empresa y entiende que es pertinente, proporcionada y no es excesiva la utilización de la huella digital. La instalación de estos mecanismos pretende únicamente la identificación de los clientes del gimnasio para permitirles el acceso de forma segura.
- En último lugar, se cumple el juicio de idoneidad con la identificación a través de la huella dactilar. Lo que se pretende es que aquellas personas que no son clientes del gimnasio no puedan pasar intercambiándose tarjetas o pulseras con aquellos que sí que son clientes.
Por lo tanto, ¿podría utilizar para prestar mis servicios la identificación a través de la huella dactilar en todo caso?
No, algo que puntualiza la AN en su sentencia haciendo referencia en cierta forma a la legislación actual, es que, para poder tratar con datos de especial protección siempre deberá estar justificado y ser necesario. Habrá que estar pendiente a cada caso en concreto, pero, en conclusión, siempre es preferible utilizar las alternativas menos dañinas para los datos personales y sobre todo, aquellos especialmente protegidos.
– Laura Cebrián Santaolalla- 
