La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que ilustra perfectamente los riesgos de implantar sistemas biométricos sin una base legal sólida ni un análisis de proporcionalidad. La sanción de 250.000 euros a Loro Parque, S.A. por el uso de huellas dactilares para controlar el acceso con la entrada «Twin Ticket» (TT) abre un debate crítico: ¿hasta dónde pueden llegar las empresas al verificar la identidad de sus clientes, y con qué salvaguardas?
Hechos
Loro Parque y Siam Park, ambos en Tenerife, ofrecían una entrada combinada TT que permitía visitar ambos recintos a precio reducido. Para evitar el uso fraudulento de esta oferta, el parque implantó un sistema de verificación basado en captura de 10 puntos de coincidencia de la huella dactilar del visitante en el primer acceso. Esa información se encriptaba, convirtiéndose en una «representación matemática» que se usaba para confirmar que la misma persona accedía después al segundo parque.
La empresa ha alegado que el tratamiento no implicaba datos personales según el RGPD porque no se almacenaban imágenes de la huella y la plantilla biométrica no permitía identificar a una persona de forma directa ni realizar ingeniería inversa.
Sin embargo, la AEPD ha concluido lo contrario: las plantillas biométricas derivadas de huellas sí son datos personales cuando se usan para autenticar o verificar la identidad de un individuo.
La AEPD recuerda que el art. 9 RGPD prohíbe tratar datos biométricos salvo en supuestos tasados y, en este caso, no existía consentimiento válido ni otra base legal aplicable. En este sentido, subraya que el consentimiento no puede considerarse libre cuando no se ofrece una alternativa real al uso de la huella.
Además, no se había realizado la preceptiva Evaluación de Impacto en Protección de Datos (EIPD) ni un análisis documentado de proporcionalidad.
Conclusión
Este caso marca un precedente importante para cualquier empresa que utilice sistemas biométricos, especialmente en contextos no esenciales como el ocio. La AEPD ha sido clara:
- Las plantillas biométricas son datos personales si permiten autenticación, aunque estén cifradas y desvinculadas de nombres u otros datos.
- La proporcionalidad es clave: debe demostrarse que no hay métodos menos intrusivos para lograr el mismo fin.
- El consentimiento debe ser libre y con alternativas, lo que implica ofrecer otro método de verificación sin penalización para el usuario.
Para el sector, el mensaje es evidente: la implementación de biometría requiere un sólido soporte legal, una EIPD completa y una evaluación de alternativas menos invasivas. De lo contrario, el coste en sanciones —y en reputación— puede ser mucho más alto que el fraude que se pretendía evitar.
Como siempre, cuidad los datos y ¡cuidaos!
Para consultar la resolución, haga clic aquí.
