Una compañía española impuso reconocimiento facial a sus gimnasios. Resultado: multa de 96,000 euros – Desde dentro
La Autoridad de Protección de Datos española (AEPD) ha impuesto Una sanción de 96,000 euros en la cadena de
La Autoridad de Protección de Datos española (AEPD) ha impuesto Una sanción de 96,000 euros en la cadena de los estudios de fitness excede la protección de datos de sus clientes. ¿La razón? El reconocimiento de la cara como el único método de acceso a sus gimnasios impuestos. Los hechos fueron denunciados por FACUA en 2023 y ahora la resolución es conocida.
¿Qué pasó? El 4 de agosto de 2023, Sidecu, una compañía con sede en una coruña que es responsable del gimnasio. Según el documento (Pdf) El Centro Sports excede los EntrePuentes en Sevilla «acceso a las instalaciones», ya que se implementó un nuevo método de acceso a través de un sistema de reconocimiento facial. «
El demandante opinó que este acceso era «invasivamente sobre su intimidad» y «exagerado para el acceso a este establecimiento». Hasta la implementación del sistema de reconocimiento facial, que no se había comunicado a los socios y era obligatorio, era posible ir al gimnasio con una tarjeta. Este reclamo se agregó a dos más y finalmente en septiembre de 2023 denunció FACUA Sidecu.
La defensa. SidEC se defendió de que no guardaba imágenes del usuario, sino un patrón facial sobre un algoritmo patentado por la compañía que desarrolló el sistema. Según la cadena de los estudios de fitness, esta «plantilla» no era suficiente para identificar a los usuarios o para obtener sus propiedades físicas. Esto fue suficiente para Sidecu para que el sistema llenara el GDPR, pero la verdad es no.
El primer error. Comprenda las regulaciones incorrectamente y rompa el artículo 9 del RGPD. El artículo 4.14 del RGPD muestra que los datos biométricos son «datos personales de un tratamiento técnico específico que se relaciona con las características físicas, fisiológicas o de comportamiento de una persona natural que permite o confirma la identificación clara de esta persona, como imágenes faciales o datos dactioscópicos». Según el artículo 9 del mismo reglamento, el tratamiento de «datos biométricos que apuntan a identificar claramente a una persona natural».
El segundo error. El sistema impuso y no advierte, lo que significa que el artículo 13 del RGP está roto. No solo advirtió a los usuarios, sino que el reconocimiento facial era la única forma de acceder a las instalaciones, y no había otra opción real, que causó el juego: el consentimiento no fue gratuito. Es cierto que la compañía finalmente implementó un sistema de acceso alternativo (que ID enseñó en la puerta), pero su llegada fue luego reclamos. No advierta que los usuarios violen el artículo 13 del GDPR.
El tercer terror. No califique los riesgos y finalmente rompa el artículo 35 del RGPD. Según la oración, SidEC no justificó por qué era necesario implementar este sistema, sobre todo, alternativas menos invasivas e igualmente efectivas. La AEPD indica que la Compañía no realizó las consecuencias de la protección de los datos personales (si no se trató con datos personales) y que actuó sin fraude, sino negligentemente y sin «el cuidado especial que se puede aplicar para este tipo de tratamientos».
Las sanciones. Tres, uno para cada artículo: 80,000 euros debido a la violación del artículo 9 del RGPD, 30,000 euros porque no informó a los usuarios por adelantado (artículo 35) y 50,000 euros porque no ha preparado la siguiente evaluación para proteger los datos personales (Artículo 9). En general, una multa de 160,000 euros, que ha permanecido 96,000 euros debido al reconocimiento de la responsabilidad y la lámpara pronto a ser de la Sidecu.
Imagen de portada | Gold’s Gym Nepal
En | Membresía para la Comisión Europea en Europa: violó su propia regulación general de protección de datos
