El uso de sistemas biométricos para controlar el acceso a instalaciones como gimnasios, bibliotecas, centros educativos o empresas se ha extendido notablemente en los últimos años. El más habitual es el lector de huellas dactilares, presentado como una solución cómoda, moderna y segura. Sin embargo, desde el punto de vista jurídico, conviene analizar con detalle qué se guarda realmente y qué implicaciones tiene este tipo de tecnología en materia de protección de datos.
1. ¿Qué dice la AEPD sobre el uso de huellas para el registro de accesos?
La Agencia Española de Protección de Datos ha abordado esta cuestión en la resolución PS/00432/2023, en la que aclara que, aunque no se almacene la imagen de la huella, el uso de una plantilla biométrica —una representación matemática cifrada que permite verificar si una persona es la misma que accedió anteriormente— constituye un tratamiento de datos biométricos conforme al Reglamento General de Protección de Datos (RGPD).
¿Qué es la correspondencia biométrica? (pulsa aquí para leer más)
Se trata de un sistema que no necesita saber tu nombre ni vincularte a una base de datos nominativa. Basta con que reconozca que “eres tú” cada vez que accedes. Si puede hacerlo de forma unívoca, está tratando datos personales sensibles. Por tanto, no es cierto que no se guarde nada relevante. Se guarda lo suficiente como para identificarte. Y eso activa todas las garantías legales previstas en el artículo 9 del RGPD.
2. Requisitos legales para el uso de biometría
Desde el punto de vista jurídico, este tipo de tratamiento exige:
- Una base legítima adecuada.
- Una evaluación de necesidad y proporcionalidad.
- En muchos casos, una evaluación de impacto en protección de datos (EIPD).
- La existencia de una alternativa no biométrica.
¿Es válido el consentimiento? (pulsa aquí para leer más)
El consentimiento, por sí solo, no legitima el uso de sistemas biométricos si no existe una opción equivalente que permita al interesado ejercer su derecho a elegir libremente. Obligar a usar la huella sin alternativa es ilícito.
3. Riesgos y consecuencias
La AEPD ha impuesto sanciones relevantes por el uso indebido de sistemas biométricos. Las infracciones más comunes incluyen:
- Falta de información clara al usuario.
- Ausencia de alternativa no biométrica.
- Tratamiento sin base legal suficiente.
Las multas pueden superar los 100.000 euros, y el daño reputacional asociado es considerable.
4. Recomendaciones para responsables de entidades
Si gestionas un gimnasio, biblioteca, empresa o centro educativo que utiliza huellas dactilares para el acceso, conviene:
- Revisar si el sistema realmente trata datos biométricos.
- Evaluar si es necesario o si existen alternativas menos intrusivas.
- Informar correctamente a los usuarios.
- Documentar las medidas adoptadas.
- Consultar con profesionales especializados en protección de datos.
5. ¿Qué puede hacer el usuario?
Si te obligan a usar tu huella sin ofrecerte otra opción, puedes:
- Ejercer tu derecho de oposición.
- Solicitar la limitación del tratamiento.
- Reclamar ante la AEPD si no obtienes respuesta adecuada.
6. Conclusión
La tecnología avanza, pero los derechos también. La huella dactilar, como dato biométrico, merece una protección reforzada. No se trata solo de cumplir con la norma, sino de generar confianza, prevenir riesgos y demostrar que la privacidad forma parte de la cultura organizativa.
Cumplir no es solo evitar sanciones. Es proteger, prevenir y liderar con responsabilidad.
Pablo Fdez. Burgueño 